現在のAndroidには、画面ロックのためのパスワード、指紋認証、スマートウォッチなどでロック解除状態を延長するといったことができ、こちらの記事の説明のように安全に便利に使うために有効です。まず1回としてAndroid認証セキュリティの三層構造について説明します。
- 第1回:Android認証セキュリティの三層構造 (今回)
- 第2回:指紋認証の精度を決める3つの指標
<参考記事> 認証なしで使えてしまうユル〜い「おサイフケータイ」のセキュリティを高める
Android認証セキュリティの三層構造
Androidではロック解除認証のセキュリティを3つの層に分けています。
[Google Developers] Android 11 のロック画面と認証の改善第1階層-知識ファクタ
ユーザー個人しか知り得ない情報を利用した認証です。具体的にはパスワード(PINやパスコード)、パターンなどがこれに該当します。
筆者が「絶対やめましょう」としつこくいう訴えるのは数字4桁のパスコード(PIN)やパターンです。これらは盗み見されやすく非常に脆弱です。電車の隣に座った人がスマホのPINを入れるのが覗き見る気はなくとも目に入ってしまった時、多くはその4桁数字がすぐにわかると思いますし、パターンでは指の動きが大きいのがさらに明らかです。
ロック解除のためのパスコードは、英数字10桁以上のものを使いましょう。これであれば盗み見で見破られる可能性はかなり少なくなりますし、入力の際に少し手や体や荷物で隠すようにすればなおGOODです。
第2階層-生体認証
今回話題にしているのが指紋認証です。多くのAndroidでは顔認証はiPhoneのような高精度の3D認証ではなく単なる画像認証なので精度が低く情報は論外です。
Androidスマホで指紋認証を無効にしている人はまずいないと思いますのが、必ず設定しましょう。指紋認証の出来が悪くて認証精度が低いと無効にしたくなるかもしれません。傾向としてはサイドボタンが指紋センサーを兼ねているタイプは、概して認証エラーが多くなります。
生体認証を登録や削除する前には必ず第1階層のパスワードが必須になっています。
第3階層-環境
物理的にユーザーが持っているものを認証に使う方式です。
具体的にはAndroid 13以前のSmart LockやAndroid 14のロック解除延長で、常に身につけていてBluetoothで常時接続しているスマートウォッチを認証デバイスに使うというものです。
これらのデバイスを追加・削除するには必ず第1階層のパスワードが必須になっています。
パスワードは認証の基本なので4桁数字は絶対NG
Androidの認証セキュリティは三層構造になっていて、第1階層はパスワード認証、第2階層は指紋認証、第3階層はスマートウォッチなどによる認証(ロック解除延長)である。
パスワードは認証の階層において最も重要なものであり自分以外の人間が知っていてはいけないものである。
パスワードを4桁数字を使うのは絶対ダメです。10桁以上の英数字以上に直ちに変更すること。
次回の第2回は指紋認証といってもその精度はさまざま。実は3つの指標があるという話です。