“記憶認証”がプライベートバンクの入室管理で採用 - @IT

タイトルが少し変になっていたので修正、あわせて本文にも追記しました(2007/03/22)

利用者は認証画面の中にマトリックス状に表示される複数の画像から、家族やペット、ふるさとの風景など自分にとって懐かしい写真や図柄に触れることで認証を行う。ダミー画像と正解画像の組み合わせは膨大な数になるため安全性が高く、利用者はパスワードや暗証番号などを覚える必要がない。

“記憶認証”がプライベートバンクの入室管理で採用 − @IT

ニーモニックガードという製品です。

面白いですね。暗証番号のように無理に考え出して記憶するという負担がありません。そのため忘れてしまうということもないでしょう(健康な状態であれば)。

ある種のエンタテインメント性もあります。また、プライベートバンクの利用者と銀行との間の「密着感」のようなものを演出する小道具にもなっているように感じます。

「ダミー画像と正解画像の組み合わせは膨大な数になる」

もし50枚の画像から、何枚含まれているか判らない自分の画像を選ぶことで認証するのであれば、単純計算で2^50(50bit)の組合せです。もし自分の画像が5枚と決まっているのなら、50C5≒2^21(21bit)になります*1

ちなみに、4桁数字の暗証番号は10000通り≒2^13(13bit)です。ただ現実には、想像しやすい暗証番号が使われることがあるため、実質的強度は13bitを下回りそうです。また指紋認証などは、FAR(他人受入率)を0.01%とすると、これも10000通り(13bit)になります。

従って、「組み合わせは膨大な数になる」というのは、暗証番号などと比べると、その通りだと言えそうです(ただ認証の強度は、ロックアウト方式や監視の程度、秘密情報の窃取や想像のしやすさ、ブルートフォースのしやすさなど、様々な要因に左右されるはずです)。

最後にニーモニックの問題をいくつか(思いついた範囲で)。

  • 盲目の人には使えない。
  • 知人・家族などからの攻撃に弱そう。
  • 事前に写真を提出する面倒くささ、事務処理コスト。
  • 基本的に写真は秘密情報では無いため、簡単に人にアルバムを見せたりする。
  • 普及すればするほど強度が下がる(多分写真が使い回しされる)。

*1:この50とか5とかいう数字には根拠はありません。私が勝手に想定した数字です。