Windows 10がMicrosoftアカウントへの「パスワードを使わない」認証方法に対応する予定
by rawpixel
Microsoftは2019年7月10日、一般公開前のWindows 10の最新機能にアクセスできる協力者グループ「Windows Insider Program」のユーザー向けに、2020年春に正式公開される予定の「Windows 10 20H1」を先行公開しました。Windows 10 20H1では「Windows 10搭載のデバイスでMicrosoftアカウントにパスワード不要でサインインできる機能」が追加されています。
Announcing Windows 10 Insider Preview Build 18936 | Windows Experience Blog
https://blogs.windows.com/windowsexperience/2019/07/10/announcing-windows-10-insider-preview-build-18936/
Microsoftによると、Windows 10 20H1には「Surfaceデバイスで利用可能な電話アプリ」や、「タスクバーから簡単にイベントを作成可能な機能」などが搭載されているとのこと。
これらの新機能に加え、新たにMicrosoftが提案しているのが「パスワードなしでのMicrosoftアカウントへのサインイン」です。Windows 10 20H1搭載のデバイスではMicrosoftアカウントへのサインイン時にパスワードを使わない方法が選択可能であり、指紋または顔認証を使ったサインイン方法のWindows Helloや、PINコードを使用したサインインが利用できるそうです。
PINコードは最低4ケタの数字を入力するだけでアカウントへのサインインが可能になるため、長い文字列を使用したパスワードに比べて、セキュリティ面で不安だと感じる人も多いはず。しかし、MicrosoftはPINコードを用いたサインインについて、「パスワードを入力するよりも安全である」と主張しています。
いったいなぜPINコードでのサインインが安全なのかという疑問について、Microsoftは解説ムービーをYouTubeで公開しています。
Why is the PIN for Windows Hello more secure than a password? | One Dev Question - YouTube
「なぜパスワードよりも単純なPINコードがパスワードよりも安全なのか、疑問に思うかもしれません」と語るのは、Microsoftのセキュリティエンジニア部門でディレクターを務めているDana Huang氏。
その答えは、「パスワードは対称鍵暗号(共通鍵暗号)である一方、PINコードはそうでないため」とのこと。対称鍵暗号において、パスワードが正しいかどうかはサーバー側に保存された鍵を使って確認する必要がありますが、PINコードではユーザーが使用するデバイス上にサインインに必要な情報が保存されています。
もしもパスワードを入力する様子をのぞき見られるなどして悪意ある攻撃者が誰かのパスワードを知った場合、攻撃者は自分のデバイスでもネットカフェなどのPCでも、どのようなデバイスからでもパスワードを入力してアカウントにアクセスすることが可能となります。パスワードが正しいかどうかはサーバー側との間でのみ確認されるため、誰がどのようなデバイスでサインインするかは関係がありません。一方、Windows Helloが提供するPINコードはサインインに必要な情報が特定のデバイス上にのみ存在するため、たとえPINコードが流出してしまったとしても、攻撃者は正しいデバイスを手に入れなければアカウントにサインインできないとのこと。
さまざまな場所でパスワードを入力していれば、その分だけパスワードが第三者に知られる危険性が増えます。一方、普段からパスワードを使わずにデバイスと紐付けたPINコードの入力のみを行っていれば、デバイスそのものを盗まれない限りは第三者が容易にアカウントへアクセスできません。PINコードはデバイスに搭載されているセキュリティ技術のTrusted Platform Module(TPM)により、強固に守られているとHuang氏は主張しています。
by stevepb
なお、Windows 10 20H1は初期のバージョンであり、多数のバグを含んでいる可能性があります。そのため、MicrosoftはWindows Insider Programユーザーからのフィードバックを募り、正式公開までに改善を行っていく予定です。
・関連記事
Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ - GIGAZINE
8文字のWindowsパスワードはわずか2時間半で突破可能と判明 - GIGAZINE
パスワード不要のログイン方法「WebAuthn」がウェブ標準になる - GIGAZINE
Googleが一部のユーザーパスワードを暗号化していない状態で14年もの期間保管していたことが発覚 - GIGAZINE
ハッキング被害に遭った2300万人以上が使っていた最も危険なパスワードは「123456」 - GIGAZINE
ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは? - GIGAZINE
・関連コンテンツ