現代のネットサービスではユーザ認証としてパスワードが多く使われています。最近はそれに加えて2段階認証/2要素認証が少しずつ増えてきています。SMS/スマホアプリ認証とか生体認証とかですね。それとは別軸で認証要素を追加できないかなというお話です。別に私のオリジナルなアイデアというわけではないと思いますが、あまり見かけない言説な気がするので書いてみます。
クレジットカードの決済承認のうちで買い物パターンというのがあるそうですね。この人は普段こういう買い物をしているのに、それとは全く違う買い物をしている場合、もしかしたらクレジットカードが盗難にあったのではないかという考え方です。地元のスーパーで食品しか買い物してない人が、突然デパートで宝飾品を買おうとしていたら怪しいとかですね。国内でしか買い物してない人が事前に航空券も買ってないしホテルの予約もしてないのに海外のショップで買い物しようとしているとか。本当にその人が宝飾品や海外のお店で買おうとしていたら余計なお世話ではあるんですが、クレジットカード盗難被害を防ぐ効果もそれなりにあるようですので、これは仕方がないのかなと。買い物出来ないわけではなく、決済認証時に本人確認が余計にかかったりすることで大抵は買い物は出来ますからね。
で、これをパスワード認証にも応用してみようという話です。ネットサービスで使える手段としては、時間帯とアクセス元が考えつくでしょうか。普段の利用パターンとは違うアクセス時間であるとか、普段とは全くかけ離れたアクセス元IPアドレスである場合、それは不正利用である可能性があると考える。もちろんそれだけでいきなり不正アクセスと断じるわけではなくて、不正かもしれないアクセスパターンの場合には2段階認証を発動して本人確認を厳密に行えばいいわけですね。逆に言えば普段と同じアクセスパターンの場合は2段階認証を省略して、パスワード認証のみでもよいと。既にアクセスパターン認証は通過していますからセキュリティ的に極端に弱くなっているわけでもない。そうすればユーザとしても面倒な2段階認証をパスできるので利便性が上がりますよね。
ということでなかなかいい方法ではないかなと思うのですが、個人的に知ってる範囲ではこういうアクセスパターン認証を導入しているというのは見かけたことがない。私が気が付いてないだけで、実はサービスの裏側では導入されているのかもしれませんけどね。クレジットカード会社のマイページとかは導入されてそうな気もするなぁ。