「パスワードって、暗証番号の事？」と思っていませんか？　それは違います。パスワードと暗証番号はそれ自体も、利用場面も違うのです。

ネット上で個人へのサービスが多様化し、かつ重要になっている事から、個人認証としてのパスワードは以前にも増して重要になっています。しかし、この認証という目的を遂げるために、パスワードは完全では有りません。ネット銀行では、パスワードの欠点を克服するために、ワンタイムパスワードや乱数表をによるチャレンジ・アンド・レスポンス（C＆R）方式が用いられます。C＆R方式とは、質問（チャレンジ）に対して、その回答（レスポンス）を投げ返す方式です。乱数表を用いる方式では、予め配布された乱数表に基づいて、乱数表のどの部分に書かれた文字かを問いかけ（チャレンジ）、その乱数表から指定された乱数を答える（レスポンス）方式となっています。毎回、異なる部分を問いかけるので、ワンタイムパスワード、つまり毎回パスワードが変わる方式と同じ効果を期待しています。同時にサービス毎に異なるパスワードを利用するということで、パスワードの使い回しも防いでいるのです。

パスワードの最大の欠点とは、安易なパスワードを設定する事です。パスワードは暗証番号では有りません。安易でない、つまり無意味なパスワードを付ける必要が有ります。無意味なパスワードを付ける理由は、第三者（攻撃者）から推測され難いパスワードを付けるためです。この推測され難いパスワードを付ける事が一般には難しいのです。正確にはほとんどの人が覚え易くする事を優先して、無意味ではなく、自分に取っては意味のあるパスワードを付けてしまうことです。自分や身近な人の住所や電話番号、それに生年月日に関係する英数字を付けてしまう人がまだまだ多数いるのです。これを半強制的に排除した方式が、先のワンタイムパスワードや乱数表を用いたC&R方式なのです。

暗証番号は英語で、personal identification number(PIN)となり、個人を認証するものではなく、識別するものです。つまり、暗証番号は、それ単体で認証する事は有りません。クレジットカードであったり、キャッシュカードであったり、物理的な「もの」が必要であり、それの所有者が正しい事を、その紐付けによって確認する「合い言葉」が暗証番号なのです。「もの」がない場合であっても、所有者である「人」がその人、本人であるか、すなわち、いわば所有者であるかを確認しています。「人」という物理的な存在を確認する必要が有るため、認証する人が直接、その人に会うか、すくなくともカメラ等で確認する必要が有ります。つまり、監視の目が有る場所で使われるのが「暗証番号」であり、ネットワーク越しのように、監視されていない場所で使われるのが「パスワード」なのです。