知識情報の概要

知識情報とは、本人しか知り得ない情報のことをいいます。パスワード認証など、最も普及・利用されている基本的な認証要素です。
本人が記憶している情報を認証側にも置いて一致させるだけといったシンプルな仕組みの為、汎用性が高くコストも低いのが特徴です。開発者目線でも、ほとんどのプログラマが実装できるほどシンプルなものだと思っています。

知識情報を利用した認証の例

主な知識情報には以下のものがあります。

• パスワード・・・キーワードや、アルファベット・数字の組み合わせ
• マトリクス・・・使い捨てパスワードのひとつで、表にある文字や数値の位置を利用する
• ナレッジベース・・・秘密の質問と答え

メリット

導入しやすくコストが安いので、 比較的簡単にさまざまなシステムで利用できます。
ひとつのパスワードで不安という場合にはパスワードと秘密の質問、というように多段階認証方式をとることで、セキュリティレベルを上げることも可能です。

デメリット

他の認証要素よりも簡単に導入できる為、セキュリティに問題が出てきてしまいます。

覚えられない

セキュリティを高くするために、定期的にパスワードを変更したり、長いパスワードを設定したりします。
ところが、パスワード自体を覚えられず、結果メモ書きをしてソーシャルエンジニアリングの被害に遭ってしまう事例があります。

※ソーシャル・エンジニアリング
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。
（フリー百科事典　ウィキペディアより）

漏えいしやすい

パスワード認証におけるパスワードには、全ての英数字の組み合わせを試す「総当たり攻撃」 や、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」などさまざまな攻撃手法もあることから、セキュリティ的にはとても問題があるといえます。開発者側は、パスワードを暗号化や、ワンタイムパスワード認証、秘密の質問といった多段階認証を活用することでセキュリティを高めることは可能ですが、それでもユーザー側の手間も考えると知識情報だけで認証を行うには限界があるでしょう。

漏えい期間が長い

パスワードが漏えいしたことを本人が気づくまで、パスワードは不正に利用され続けます。
また、パスワードが漏えいしたことを知らせる機能が少ないというのも問題点です。