Windows 10で本当にパスワードは無くなるのか？：Enterprise IT Kaleidoscope（1/3 ページ）

パスワードが必要ない世界を作る――Microsoftがこの世界の実現するために開発した「Microsoft Passport」と「Windows Hello」とはどのようなものだろうか。

[山本雅史，ITmedia]

　Windows 10がリリースされ、PCのカメラを使って顔を認識させてからログインする「Windows Hello」という機能のデモをご覧になったことがあるだろうか。パスワードを使わずに顔認識ですぐにPCが使えるというこの機能は、コンシューマーにとって非常に有効だ。

　だが、Windows Helloではデバイスにログインする方法がパスワードから顔認識に変わったくらいにしか思われていないようだ。企業にとってWindows Helloはあまり関係ないとも思われている。しかし、Windows Helloとともに動作する「Microsoft Passport」は、企業でのITデバイス利用において、パスワードを一切使わないようにする大きなテクノロジーの進化の第一歩といえる。

パスワードを無くすMicrosoft Passport

　企業でクライアントデバイスを利用する時には、必ずユーザー認証というシステムが利用されている。例えば、Windows Serverでは「Active Directoryドメイン サービス」（AD DS）などがある。コンシューマーユーザーが利用するインターネットのサービスの多くも、ユーザーIDとパスワードによって認証されている。

　近年はハッカーの暗躍やサーバ管理の不注意などによって、膨大なユーザー数のIDとパスワードが流出する事故が起きている。根本的な原因は、サービスにアクセスするためにIDとパスワードをネットワーク経由サーバ（サービス）に送信するという認証システムの仕組みだ。SSLなどの暗号化通信によってセキュリティが保たれるといわれるが、ユーザーから送信されたIDとパスワードが正しい組み合わせであることをチェックするには、サーバ側にも登録されているIDとパスワードが必要になる。

　つまり現在のパスワードによる認証には、ネットワーク上にIDとパスワードが流れる危険性と、サーバ側にIDとパスワードがある危険性の2つが存在する。Microsoft Passportは、こういったパスワードの危険性を根本的に変えていこうとしている。IDとパスワードを使うシステムは時代遅れというわけだ。

さまざまなサービスで必要になるパスワードは人が管理できるような状態では無くなっている。これがパスワードを盗まれる一つの要因だ

ハッカーはパスワードを盗むために、さまざまな手法を編み出している。ユーザーIDが分かれば、文字列を順番に生成してアタックする「ブルートフォース攻撃」（総当たり）がある。近年はユーザーが多くのWebサイトで同じパスワードを使うため、セキュリティの甘いWebサイトからパスワードを盗み出して他サイトで使う「リスト型攻撃」も多い

Windows 10ではWindows HelloとMicrosoft Passportによりパスワードを使わない世界を実現する

　Microsoft Passportは、「FIDO」（Fast IDentity Online） 2.0という業界規格をサポートしている。Microsoftの独自のシステムというわけではない。Microsoftは以前に「Passport」という名称のサービスを何度かリリースしているが、今回のMicrosoft Passportは以前とは全く異なるサービスである。