認証とは?
セキュリティの入り口とも言われる認証について。
認証を簡単に言うと、複数人の中から1人を特定することです。
特定するための行為そのものを認証と言ったりします。
認証を行う為には、まず、複数人の中から1人を識別する必要があります。
そして、識別された1人が本当に特定したい本人であるのか検証することで認証を行います。
よく用いられている認証としてIDとパスワードを用いた認証(パスワード認証)を例に考えてみます。
まず、インターネットを利用する人の中からIDで1人を識別します。そして、識別された1人が本当にIDの人なのかをパスワードで検証します。
IDに対応したパスワードが一致すれば識別された人がIDの人だと言える=認証が行われたことになります。
ここで、認証には識別と検証という二つの側面があることが言えます。
(識別のことを個人識別、検証のことを本人認証とも言われる)
識別に用いられる情報(パスワード認証でいうID)は識別を行いたいだけなので、他者と重複しない性質(唯一性)が求められる。また、認証を行う度に変わると不便になるので、ある程度変わらない性質(不変性)が求められます。
検証に用いられる情報(パスワード認証でいうパスワード)は、本人しか持ち合わせない、知りえないような固有情報である必要があります。
一般的に認証に用いられている固有情報には、生体情報、所持情報、知識情報があります。(位置情報が加えられる場合もありますが…)
認証で一番注意しないといけないのは、認証された人が必ずしも特定したい人であるとは限らないことです。
パスワード認証で考えてみると、IDとパスワードを知っていれば誰でもその人になりすまされて認証されてしまいます。
認証された人が必ずしも特定したい人とは限りません。