パスワード認証について

パスワード認証は、IDとパスワード（以降、PW）の組み合わせを使い本人確認する方法です。この認証方法は、システム構成が単純で使い勝手の良さから広く利用されています。勿論、ユーザにとっては、PWの管理の煩雑さや使い回しによる漏洩など、問題があるのも事実です。
最近、Passkey（パスキー）というパスワードレス認証方式の導入が大企業を中心に進んででいますが、システム構成が複雑という側面もあり、簡便なシステムを求める企業等に向いているとは言えません。このことからもパスワード認証が社会からなくなることは想像できません。

パスワードQRについて

弊社はパスワードを安全に格納できる２次元コード パスワードQR （pDSQR）を開発しました。

このパスワードQRは、楕円曲線デジタル署名アルゴリズム（ECDSA）を変形したアルゴリズム(modified ECDSA)に基づいています。modified ECDSAによるデジタル署名値は、ECDSAと同じビット長のデータであり両者は区別ができません。また、modified ECDSAは、署名生成の過程でパスワードを組み込んでおり、アルゴリズム的にパスワードの解読はほぼ不可能と考えられます。勿論、ブルートフォース攻撃を使えば確率的に解読の可能性はありますが、この攻撃は試行回数に制限をかけることで防ぐことができます。

パスワードQRは、スマホ表示でも紙印刷でもよく、極めて低コストな本人確認を実現します。

パスワードQR（pDSQR）による本人確認

オンラインの場合
下図は、パスワードQRとPWをWebサーバにアップロードしたときの判定結果を表しています。
この判定はパスワードQRに内包されてるパスワードに基づいています。


上図（上）はメッセージとPW が格納されたパスワードQR（pDSQR）、上図（中）はパスワードQR及びPWの入力と送信、上図（下）は検証結果、をそれぞれ表しています。不正なアップロードを防ぐために、アップロードのファイルに制限を設けます。

対面の場合

対面の本人確認では、パスワードQRやPWの認証にWebサーバは使用しません。

一般的なQRコードによる個人認証について

ここで、QRコードにパスワードを格納する方法について考えてみます。一般的には、次の２つの方法が知られています。 QRコードには埋め込みデータの最後に終端パターンが挿入されており、汎用のQRコードリーダは終端パターン以降のデータは読み込みません。この性質を利用して、終端パターン以降にパスワードを挿入する方法です。

QRコードは、複数のリード・ソロモン符号で構成されており、その特定の固定位置に排他的論理和によりパスワードを埋め込む方法です。

これらの方法はセキュリティ的に問題があります。①は、QRコードリーダのデコーダを修正すれば簡単にパスワードを読むことができますし、②は、パスワードの埋め込み位置の解析や埋め込み位置情報の漏洩によりパスワードの解読が可能です。
パスワードQRは上記①②とは異なる手法でPWが組み込まれています。