第3回 「Windows 10」ではパスワードがいらなくなる？：変わるWindows、変わる情シス（2/2 ページ）

[武藤健史，ITmedia]

パスワードの運用はもう限界？

　こちらが私のプロフィール情報です。

名前：武藤健史（むとうたけし）

誕生日：2月23日

電話番号：0808821＊＊＊＊

　この状況で設定しがちなパスワードとしては、takeshi、muto0223、tmuto0223、8821＊＊＊＊あたりでしょうか。このようなパスワードはすぐに解読される恐れがあります。というのも、上記の個人情報は、FacebookやTwitterといったサービスを見ればすぐに分かってしまうためです。“知らず知らずのうちに、個人情報を外部に公開している”という事実に、気付いていない方もいるでしょう。

　今や私たちがパスワードを使う場面は非常に多いです。スマートフォンやPCといったデバイスから、会社で使うメール、そして手軽に使えるクラウドサービスまで、同じようなパスワードでアカウントを作成しているケースも少なくありません。

　パスワードを強化する方法はさまざまなものがありますが、最も単純なのは“文字数を増やして解読率を下げる”アプローチです。私自身、数字や記号も入れてパスワードを複雑にした企業のお話をよく聞きますが、複雑になればなるほど、ユーザーはパスワードを覚えられなくなります。

　そうなると、「付せんや手書きのメモをデスクに貼る」「パスワードリストを作り、クラウドサービスにアップロードする」といった新たなリスクが生まれてしまうのです。

Windows 10で「さよならパスワード」

　このようなことから、パスワードにはどうしても運用上の限界があり、パスワード以外の認証方式が求められています。Windows Helloをはじめとする生体認証も、その手段の1つです。

　Windows 10では、生体認証以外にもパスワードレスな認証方法を実装しています。それがPKI認証「Microsoft Passport」です。PKI認証とは“鍵のペア”を用いて認証を行う方法のことで、これもまたパスワードよりも確実かつセキュアといえるでしょう。

　Microsoft Passportにユーザー登録をすると、公開鍵と秘密鍵のペアが生成されます。公開鍵はユーザーごとにマッピングされた認証サーバに保存され、秘密鍵は端末内のTPM（Trusted Platform Module）というセキュアなチップに保存されます。

　この認証は、以下のような流れで行われます。

1. クライアントから認証サーバにIDを提示
2. 認証サーバからクライアントへnonce（number used once：1回だけ使われる番号、ワンタイムトークン）を送信
3. 秘密鍵でnonceに署名して認証サーバへ送信
4. ユーザーにひも付けられた公開鍵で署名を検証
5. クライアントへトークンを発行

Microsoft Passport認証時の動作

　こちらの認証プロセスでは、鍵のペアがネットワーク上に流れることがありません。仮に公開鍵が盗まれたとしても、秘密鍵がなければ認証を解除できず、その秘密鍵は端末内の最もセキュアなTPMに保存されています。

　また、3で秘密鍵をTPMから取り出す際にWindows Helloを使えば、自分だけしか秘密鍵を使用できない、要するに自分だけしか認証サーバにアクセスできない状態を作り上げ、セキュアな認証を行えるようになります。

　この認証方式はPCへのログイン時はもちろん、今後は多くのクラウドサービス、アプリケーションがMicrosoft Passportに対応することで、全ての認証を生体認証で行うことが可能となります。ユーザーがパスワードを覚える必要はなくなり、“自分”さえいればあらゆるサービスにアクセスできるのです。

---

　いかがでしたでしょうか。今回の話をさらに詳しく知りたい方は、こちらの記事も合わせてどうぞ。次回はデータの流出、そしてマルウェア感染を防ぐWindows 10の最新セキュリティ機能について紹介します。お楽しみに！