Windows 10の次期バージョンでパスワードレスサインインが実現：パスワードのない世界にまた一歩前進

Windows Helloなどによって、Windows 10のパスワードレスサインインは既に部分的に実現している。次期メジャーアップデートでは、この機能がさらに拡張されるという。

[Warwick Ashford，Computer Weekly]

　パスワードを使っても、安全はほとんどまたは全く保護されないことをセキュリティ業界は以前から認識している。Microsoftは、「Windows 10」でようやくパスワードなしのサインインを可能にする。

　2020年のメジャーアップデート（20H1）で、パスワードを入力せずにサインインできるようになる。ユーザーはMicrosoftアカウントへのアクセスに「Windows Hello」の顔認証、指紋、個人識別番号（PIN）のいずれかを選択できる。

　「パスワードを入力しないでサインインできるようになる。Windows 10は、全てのMicrosoftアカウントを最新認証方式に切り替える」とMicrosoftブログ記事で伝えている。

　PINとパスワードはほとんど変わらないように思えるが、Microsoftの主張によるとPINの方がはるかに安全性が高いという。パスワードはサーバに保管しなければならない対称鍵だ。そのためサーバが侵害を受ければパスワードも侵害される。一方、PINは「ユーザー指定のエントロピー」（ランダム）であり、端末のTrusted Platform Module（TPM）に保管される。そのためパスワードと同じ方法で侵害を受けることはない。PINは関連付けられたTPMがなければ機能しないため、ユーザーの端末なしでは役に立たない。

関連記事

• 十分に進化した生体認証は“手に埋め込んだチップ”すら不要
• FIDO U2F標準対応の効果は？　60万件/日のセキュリティ侵害が生じるFacebook
• 弊害だらけの「複雑なパスワード」と時代遅れの「定期変更」からの解放
• 「パスワードは安全だと思わない」――生体認証が不可欠の時代へ
• パスワードのない世界の条件は「FIDO＋アルファ」

　業界は二要素認証の利用を促し、パスワードに頼る世界を終わらせることに取り組んでいる。パスワードは侵害を受けやすく、複数のアカウントで使い回されることが多いため、クレデンシャルスタッフィング攻撃を可能にする。

　Microsoftは既に、テキストメッセージで送信されるコード、スマートフォンアプリ「Microsoft Authenticator」、Windows Hello、FIDO2規格に準拠する物理セキュリティキーを利用してサインインするオプションをWindows 10に提供している。

　FIDO2を利用すれば、モバイル環境でもデスクトップ環境でも一般的な端末を使ってオンラインサービスの認証を受けることができる。「Chrome」「Firefox」「Microsoft Edge」などの複数の主要なWebブラウザがFIDO2をサポートし、「Android」、Windows 10とそのMicrosoft関連技術がFIDO認証を組み込みでサポートしているためだ。

　Microsoftは、パスワードを使わずにMicrosoftアカウントを設定することも可能にしている。ユーザー名として携帯電話番号を入力し、その携帯電話番号に送信されるコードを入力することでログインできる。一度Windows 10にログインすると、ユーザーはWindows HelloやPINを利用して自身の端末にログインできる。

　素晴らしいことに、パスワードを使わないオプションは「Azure Active Directory」の企業ユーザーも利用できるようになる予定だ。これにより、企業は全くパスワードを使わずに済むようになる。