Microsoftアカウントのサインインでパスワードが完全不要に
Microsoftが、Windows・Xbox Live・Office・Outlookといったサービスのログインに必要なMicrosoftアカウントで、日本時間の2021年9月16日から一般消費者向けにもパスワードを一切使わなくてもサインインできるようにすると発表しました。
The passwordless future is here for your Microsoft account | Microsoft Security Blog
https://www.microsoft.com/security/blog/2021/09/15/the-passwordless-future-is-here-for-your-microsoft-account/
Microsoft Account Goes Passwordless - Thurrott.com
https://www.thurrott.com/cloud/microsoft-consumer-services/256334/microsoft-account-goes-passwordless
パスワードは流出してしまうと一発でアウトになるので、定期的にランダムな文字列を自動生成して更新することが求められます。しかし、利用するサービスが増えるたびにパスワードが増えるので、高い安全性を保ちながら日常的にパスワードを管理するのは非常に難しいものがあります。結果として、自分の誕生日や「123456」「Password」など、簡単な文字列数パターンを使い回すケースが多いことがわかっています。
2020年に最も使われたパスワードは何だったのか?常連に加えて新顔も登場 - GIGAZINE
Microsoftによれば、Microsoftアカウントに対して毎秒579件のパスワード攻撃が行われているとのこと。Microsoftの最高情報セキュリティ責任者(CISO)であるBret Arsenault氏は「ハッカーは侵入するのではなく、ログインするのです」と述べており、パスワードそのものがセキュリティリスクであると指摘しています。
Microsoftは、これまでMicrosoftアカウントにおけるパスワードレス認証のオプションを法人向けにのみ提供していましたが、2021年9月16日からこのパスワードレス認証のオプションが一般消費者向けにも段階的に利用可能になるとのこと。これによって、一般ユーザーはWindows Helloや物理セキュリティキー、コード発行による2段階認証、スマートフォン向け認証アプリ「Microsoft Authenticator」を使うことで、OutlookやXbox Liveなどにもパスワードを使うことなくログインできるようになります。Microsoft Authenticatorは以下からダウンロード可能。
「Microsoft Authenticator」をApp Storeで
https://apps.apple.com/jp/app/microsoft-authenticator/id983156458
Microsoft Authenticator - Google Play のアプリ
https://play.google.com/store/apps/details?id=com.azure.authenticator
パスワードレス認証を有効化するためには、Microsoft Authenticatorであらかじめサインインしておく必要があります。
ブラウザのサインインページからMicrosoftアカウントにサインインして、「セキュリティ」のタブをクリック。
「高度なセキュリティオプション」を選択します。
「追加のセキュリティ」という項目に「パスワードレス アカウント」があるので、「有効にする」をクリック。
「パスワードレス アカウントを設定する」のポップアップが表示されるので「次へ」をクリック。Microsoft Authenticatorに送信される通知で承認をすると有効化に成功するとのこと。ただし、Microsoftは「パスワードレス認証オプションは数週間かけて展開する予定」としており、記事作成時点ではまだ有効化できない場合もあるので注意が必要です。
なお、パスワードレス認証は古いバージョンのソフトやサービスには対応しないとのことで、Xbox 360やOffice2010以前、Office for Mac2011以前、IMAPおよびPOP電子メールサービスを使用する製品およびサービス、Windows 8.1あるいはWindows 7以前、リモートデスクトップやクレデンシャルマネージャーを含むいくつかのWindows機能、一部のコマンドラインおよびタスクスケジューラサービスは対象外となっています。
・関連記事
「セキュリティリスクが高い」のにパスワードが認証方法として使われ続ける理由とは? - GIGAZINE
カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか? - GIGAZINE
完璧にパスワードを設定するための4つの方法 - GIGAZINE
Appleがパスワード不要でFace IDやTouch IDだけでウェブサービスにログインできる「パスキー」機能を開発中 - GIGAZINE
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明 - GIGAZINE
・関連コンテンツ