Windows10に実装されるパスワードレスのサインイン

Windows10のMay 2019 UpdateではパスワードレスでWindowsにサインインできる機能が実装されます。これは電話番号を使って作成したMicrosoftアカウントを利用することによって実現されています。

Microsoftアカウント

Microsoftアカウントはメールアドレスを使って作成するのが一般的かと思っていましたが、電話番号で作成するとパスワードレスのサインインという機能が使うことができるようになるとは思ってもみませんでした。

パスワードがありませんので、攻撃をする人は遠隔地からリモートで盗み出すことはできなくなります。あくまでも、電話番号とともに物理的に携帯電話機(スマホ)を盗み出す必要があるからです。携帯電話機にはPINを設定して、Windowsログイン時には携帯電話でPINを投入することでログインができます。PINを使わずに「Windows Hello」と呼ばれる生体認証でログインすることもできるそうです。

PINとパスワードの違い

PINも何桁かの番号を自分で決めて設定するので、パスワードと同じもののような気がします。なぜ、PINとパスワードは言葉を使い分けているのでしょう。

パスワードはその内容がネットワークを通じてサーバー側に届き、サーバー内で保存されているパスワードと合致しているかどうかを判定します。しかし、PINはネットワーク上を流れてサーバーに届くことはありません。あくまでも、入力したデバイス内で完結して照合が終わります。

今回のMicrosoftアカウントのパスワードレスサインインに関しても、スマホ上で打つPINはそのスマホの中で認証が完結する仕組みになっているのでしょう。

FIDO2準拠

このWindows Helloについては、5月6日にFIDO2認定を取得したことが発表されています。FIDO2はモバイル機器の生体認証やFIDOセキュリティキーなどを使って、Webサイトやアプリに簡単、安全にログインすることを可能とする標準規格です。May2019アップデートではWindowsアカウントへのログインだけではなく、EdgeブラウザについてもFIDO2をサポートします。

手元にスマホが無いときはどうなる?

ただ、心配なことも一つ。手元にスマホがないときには、どのようにログインができるのかということです。何らかの手段が準備されているものと思いますが、記事を確認している中では、どんな手段が準備されているのかは判りませんでした。

ここで、パスワードでログインできるようにさせてしまうと、遠隔地から攻撃をしかけてくる犯人に対して、穴を開けてしまうことになるので、もっとセキュリティ的に強固な、何らかの手段が準備されているものと思います。

コメント