"

パスワード認証について

パスワード認証は、IDとパスワード(以降、PW)の組み合わせを使い本人確認する方法です。この認証方法は、システム構成が単純で使い勝手の良さから広く利用されています。勿論、ユーザにとっては、PWの管理の煩雑さや使い回しによる漏洩など、問題があるのも事実です。
最近、Passkey(パスキー)というパスワードレス認証方式の導入が大企業を中心に進んででいますが、システム構成が複雑という側面もあり、簡便なシステムを求める企業等に向いているとは言えません。このことからもパスワード認証が社会からなくなることは想像できません。

パスワードQRについて

弊社はパスワードを安全に格納できる2次元コード パスワードQR (pDSQR)を開発しました。

パスワードQR は、DSQRコードにパスワード機能を追加した2次元コードです。
このパスワードQRは、楕円曲線デジタル署名アルゴリズム(ECDSA)を改良したアルゴリズム(modified ECDSA)を使用しています。このmodified ECDSAでは、通常のECDSAと同じ長さのデータが生成されるため、外見上、両者を区別することはできません。
重要なポイントは、このアルゴリズムが署名を作成する際にPWを組み込んでいることです。そのため、アルゴリズム的にPWを解読することはほぼ不可能と考えられます。ただし、ブルートフォース攻撃(総当たり攻撃)を用いれば確率的に解読は可能ですが、試行回数に制限を設けることでこの攻撃を防ぐことができます。

パスワードQRは、スマホ表示でも紙印刷でもよく、極めて低コストな本人確認を実現します。

パスワードQR(pDSQR)による本人確認

オンラインの場合
下図は、パスワードQRとPWをWebサーバにアップロードしたときの判定結果を表しています。
この判定はパスワードQRに内包されてるPWに基づいています。

  
  

上図(上)はメッセージとPW が格納されたパスワードQR(pDSQR)、上図(中)はパスワードQR及びPWの入力と送信、上図(下)は検証結果、をそれぞれ表しています。不正なアップロードを防ぐために、アップロードのファイルに制限を設けます。

対面の場合

図のように、ユーザはパスワードQRをWebカメラ(CP-01など)にかざし、PWを入力します。パスワードQRとPWの両方が真正のとき本人確認が完了します。また、パスワードQRの認証後にPWを入力する2段階認証も可能です。

対面の本人確認では、パスワードQRやPWの認証にWebサーバは使用しません。

一般的なQRコードによる個人認証について

ここで、QRコードにPWを格納する方法について考えてみます。一般的には、次の2つの方法が知られています。
① QRコードの終端パターンを利用する方法
QRコードには埋め込みデータの最後に終端パターンが挿入されており、汎用のQRコードリーダは終端パターン以降のデータは読み込みません。この特性を利用して、終端パターン以降にPWを挿入する方法です。

② QRコードに直接埋め込む方法
QRコードは、複数のリード・ソロモン符号で構成されており、その特定の固定位置にPWを埋め込む方法です。

これらの方法はセキュリティ的に問題があります。①は、QRコードリーダのデコーダを修正すれば簡単にPWを読むことができます。②は、PWの埋め込み位置の解析や埋め込み位置情報の漏洩によりPWの解読が可能です。
パスワードQRは上記①②とは異なる手法でPWが組み込まれています。