Microsoft Authenticatorを使いパスワードレスでログイン

Microsoft Authenticatorを使いパスワードレスでログイン

2023, Aug 11    

このブログでもたびたび名前を挙げていた「パスキー」

パスキーとは iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉

パスワードの漏洩が不正ログインの根本原因ですが「複雑にしろ」「定期的に変えろ」「厳密に保管しろ」・・・「面倒くせぇ!」と僕らセキュリティ担当者ですら思います。一般の人ならなおさらでしょう。そりゃよく使われるパスワードも「password」「123456」「123456789」になるわけです。

世界で最も使われるパスワードは「password」「123456」 最新調査レポートにみるパスワード管理と各国の実態

セキュリティの一番の脆弱性ポイントは我々人間であり、パスワードというモノが使われる以上リスクは付きまといます。パスワードに対するブルートフォース攻撃やリスト攻撃、辞書攻撃に対して根本的な解決策として「パスワードレス」が叫ばれていました。

急に専門家っぽいことを書きますがw認証には3つのパターンがあります

  • あなたの知っていること(パスワード・秘密の質問)
  • あなたが所有しているもの(ICカード)
  • あなた自身(指紋・網膜・静脈などの生体認証)

下に行けば行くほど精度の高い認証となりますが、導入にコストがかかります。 パスワードは最も簡単に実装できる認証でした。Webサイトのログイン画面に指紋認証機能を付けるのは非常にたいへんなのは分かると思います。 しかし、スマートフォンの普及が状況を変えました。今や世界中の人が所有しているスマートフォン、そしてスマフォのロック解除には指紋や顔認証など「あなた自身」を使います。これをWebサイトの本人確認でパスワードの代わりに使おう、というのがパスキーの考え方です。 このパスキーを業界で統一規格を作り普及させていこうという動きがあります。

それとは少し話がずれますが、先日Microsoftのパスワードマネージャアプリである「Microsoft Authenticator」を用いてMicrosoftアカウントにパスワード入力なしでログインすることができたので、その方法を紹介します。

  1. Microsoftアカウントページにアクセスします。
  2. 【サインイン】ボタンを押し、自分のログインIDに紐づく電話番号へサインイン要求を送付します
  3. スマフォのMicrosoft Authenticatorを起動します。ロックを解除するために自分のスマフォでは指紋認証を行います
  4. アプリに「xxx(メールアドレス)で日本から、Windowsでアカウントにログインしようとしています」と表示されるので”承認”をタッチします。
  5. 再度Microsoft Authenticatorで指紋認証します

これによりMirosoftアカウントページでのログインが実現します。 テクノロジーの進歩により、「あなたが所有しているもの(スマートフォン)」と「あなた自身(指紋認証)」による多要素認証が実現でき、強固なセキュリティを、なによりらくちんに実現できています。ここが重要で、セキュリティは「固くするほど利用者に負荷が重くなる」というジレンマがあるところ、この機能はパスワードを手で打つよりも簡単に認証ができます。デフォルトでパスワード欄に自動でパスワードが入った状態にするよりかは時間がかかりますが、安全性が段違いでしょう。これは便利、世界中の人に使ってもらいたい。Microsoft Authenticator自体パスワード管理ツールとして優秀ですし。

パスキーの話に戻りますが、新たな動きがありました。

パスワードレスな「パスキー」にネイティブ対応。Windows 11プレビュー版

 本ビルドでは、パスワードレス認証を実現するパスキーをサポート。対応したWebサイトのアカウント作成やログインにおいて、パスキーの作成や保存が可能となり、Windows Hello認証(顔、指紋、PIN)の操作体験で利用できるようになる。加えて、設定アプリのアカウント内、パスキーの項目から、保存したパスキーの一覧が確認でき、検索や削除などの管理が行なえる。

Windows 11 Insider PreviewでPasskey対応を実装。Windows Helloの顔認証、指紋認証、PINなどでWebサイトにログイン

Windowsマシン上でPasskey対応のWebサイトを開き、Windows Helloの顔認証、指紋認証、PIN入力などでWebサイトごとのPasskeyの作成とログインが可能になります。 また、スマートフォンをPasskeyの認証デバイスとすることで、WindowsマシンのWebブラウザでPasskey対応のWebサイトにログイン可能にする機能も実装されています。

Microsoft,Google,AppleのBIG3が協力して推し進めているPasskey、いよいよ普及の段階に入った予感がしますね!

厳密にはPasskeyは「パスワードを管理していたのが、秘密鍵を管理するようになったので、認証情報を保管する行為から解放されたわけではない」のと、「保管するのがユーザからテック企業になったので、却って攻撃者にとっては宝の山となった」ところは注意が必要です。

中国の攻撃者によるMicrosoftの署名鍵の窃取、想定以上に大きな影響か

Twitter Facebook Google+
# Security # passkeys