Windows Helloなどによって、Windows 10のパスワードレスサインインは既に部分的に実現している。次期メジャーアップデートでは、この機能がさらに拡張されるという。
パスワードを使っても、安全はほとんどまたは全く保護されないことをセキュリティ業界は以前から認識している。Microsoftは、「Windows 10」でようやくパスワードなしのサインインを可能にする。
2020年のメジャーアップデート(20H1)で、パスワードを入力せずにサインインできるようになる。ユーザーはMicrosoftアカウントへのアクセスに「Windows Hello」の顔認証、指紋、個人識別番号(PIN)のいずれかを選択できる。
「パスワードを入力しないでサインインできるようになる。Windows 10は、全てのMicrosoftアカウントを最新認証方式に切り替える」とMicrosoftブログ記事で伝えている。
PINとパスワードはほとんど変わらないように思えるが、Microsoftの主張によるとPINの方がはるかに安全性が高いという。パスワードはサーバに保管しなければならない対称鍵だ。そのためサーバが侵害を受ければパスワードも侵害される。一方、PINは「ユーザー指定のエントロピー」(ランダム)であり、端末のTrusted Platform Module(TPM)に保管される。そのためパスワードと同じ方法で侵害を受けることはない。PINは関連付けられたTPMがなければ機能しないため、ユーザーの端末なしでは役に立たない。
業界は二要素認証の利用を促し、パスワードに頼る世界を終わらせることに取り組んでいる。パスワードは侵害を受けやすく、複数のアカウントで使い回されることが多いため、クレデンシャルスタッフィング攻撃を可能にする。
Microsoftは既に、テキストメッセージで送信されるコード、スマートフォンアプリ「Microsoft Authenticator」、Windows Hello、FIDO2規格に準拠する物理セキュリティキーを利用してサインインするオプションをWindows 10に提供している。
FIDO2を利用すれば、モバイル環境でもデスクトップ環境でも一般的な端末を使ってオンラインサービスの認証を受けることができる。「Chrome」「Firefox」「Microsoft Edge」などの複数の主要なWebブラウザがFIDO2をサポートし、「Android」、Windows 10とそのMicrosoft関連技術がFIDO認証を組み込みでサポートしているためだ。
Microsoftは、パスワードを使わずにMicrosoftアカウントを設定することも可能にしている。ユーザー名として携帯電話番号を入力し、その携帯電話番号に送信されるコードを入力することでログインできる。一度Windows 10にログインすると、ユーザーはWindows HelloやPINを利用して自身の端末にログインできる。
素晴らしいことに、パスワードを使わないオプションは「Azure Active Directory」の企業ユーザーも利用できるようになる予定だ。これにより、企業は全くパスワードを使わずに済むようになる。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
トランプ大統領にすり寄ってMetaが期待する「ごほうび」とは?
Metaが米国内でファクトチェックを廃止し、コミュニティノート方式へ移行する。その背景...
「ファクトチェック廃止」の波紋 Metaにこれから起きること
Metaがファクトチェックの廃止など、コンテンツに関するいくつかの重要なルール変更を行...
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年1月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...