だいぶ前から、パスワードの有効性はセキュリティの専門家からも疑問の声が上がっていた。パスワードの使い回しによるセキュリティリスクや、複雑で複数のパスワード管理に閉口する読者諸氏も多いと思う。パスワードの入力場面を減少させるためにSSO(シングルサインオン)やMFA(多要素認証)が広まり、Microsoftも2020年9月に開催したMicrosoft Ignite 2020で大手企業向けパスワードレスを発表した。
-
Passwordless in the Enterpriseの説明(公式動画から抜粋)
Windows Hello for BusinessやFIDOキー、Microsoft Authenticatorアプリによって、パスワードレスを実現する。あくまで法人向けソリューションなのだが、Microsoftが現地時間2021年9月15日に発表した内容によれば、パスワードレスソリューションをMicrosoftアカウントに拡大した。つまり個人ユースのでもパスワードレス環境が得られる。
Microsoft OneDriveなどのアプリやサービスにサインインする場合、Windows Helloやセキュリティキー、Microsoft Authenticatorアプリ、電話・メールによる確認コードを用い、Microsoftアカウントのパスワードは削除する仕組みだ。先の発表では「本機能は今後数週間にわたって展開する予定」と説明しているが、筆者の環境ではすでにパスワードレスアカウントが利用可能だった。
-
Web上の「Microsoftアカウント」ページにログインし、上部の「セキュリティ」をクリック
-
「高度なセキュリティオプション」をクリック
-
「パスワードレスアカウント」を有効に切り替える
-
確認の有無をうながされたら「次へ」をクリック
-
Microsoft Authenticatorアプリへ通知を送信した旨のメッセージが現れる
-
Microsoft Authenticatorアプリで「承認」する
-
Microsoftアカウントのパスワードが削除された
Microsoftの説明によれば、職場または学校アカウント、およびMicrosoftアカウントに対するパスワード攻撃は毎秒579件。年に換算すると180億件におよぶ。
さらに「私は3分の1近くの方々が、パスワード紛失時にアカウントやサービスの使用を完全にやめることにショックを受けた」(Microsoft CVP, Security, Compliance and Identity, Vasu Jakkal氏)と述べている。
Microsoftの調査では、15%のユーザーがペットの名前をパスワードの発想に使用し、10人に1人がパスワードを使い回し、40%が「Fall2021 → Winter2021 → Spring2022」と類似するパスワードを使っていることも明らかになった。
人間がパスワードを考える以上(最近はWebブラウザーが自動的に強固なパスワードを自動生成してくれるが)、パスワード攻撃を完全に防ぐことはできない。ならばパスワード自体をなくし、攻撃のエンドポイントを減らすのは自然の流れだ。
話を少し戻して、パスワードレスのMicrosoftアカウントだが、筆者は以前からMicrosoft AuthenticatorアプリによるMFAを有効にしているため、パスワードレスでも使い勝手に変化はない。Microsoftは今後パスワードレスをAzure ADアカウントに拡大し、システム管理者がパスワード設定の有無を選択できるようになる。
Microsoftのパスワードレスに対する取り組みは、現地時間2021年10月13日開催予定のデジタルイベント「Your Passwordless Future Starts Now」で語られるので、興味がわいたら視聴登録してみてはいかがだろうか。
著者 : 阿久津良和
あくつよしかず
この著者の記事一覧はこちら
