今週から、マイクロソフトは、ユーザーやパスワード マネージャーに対し、Windows の巨人である同社のサービスにアクセスするために、文字、数字、特殊文字を組み合わせた意味不明な文章や、元恋人の名前と誕生日を再構成した文字列を入力するよう要求しなくなる。
つまり、Microsoftアカウントのパスワードを削除し、Microsoft Authenticatorアプリ、Windows Hello、セキュリティキー、または携帯電話やメールの受信トレイに送信された確認コードを使ってログインできるということです。(昨年、レドモンドはSMSコードは認証に安全ではないと発表しました。)
パスワードなしの Microsoft アカウントを設定すると、この陽気なボックスが特典として提供されます...
でも、これって結局は一要素認証になってしまうんじゃないか、と思われたかもしれません。例えば、スマートフォンを手に持っているだけでなく、認証アプリを起動するためにロックを解除し、指紋や暗証番号を使ってアカウントにログインする必要がある、というのがその議論の根拠です。つまり、多要素認証というわけです。
IT界の巨人であるMicrosoftは長年、この取り組みを推し進めてきました。2004年にはビル・ゲイツがパスワードの終焉を予言し、つい3月にはAzure Active Directoryのパスワードレス認証の一般提供を開始しました。そして今、Microsoftアカウントと関連アプリやサービスにも、いくつかの注意事項はあるものの、パスワードレス認証が提供されるようになりました。
その理由は、人間はパスワードを忘れたり、分かりやすいパスワードを割り当てたり、お気に入りのパスワードを使い回したりするので、ユーザーがロックアウトされたり、弱いパスワードや漏洩したパスワード、使い回されたパスワードを使ってアカウントに侵入する悪意のある人物に狙われたりする可能性があるからです。
「脆弱なパスワードは、企業や個人のアカウントへの攻撃の大部分の入り口となっています。毎秒579件ものパスワード攻撃が発生しており、これは年間180億件に相当します」と、レドモンド郡副知事のヴァス・ジャッカル氏は水曜日の発表で主張した。
ジャッカル氏はさらに数字を挙げた。ある調査によると、回答者の15%がペットの名前をパスワードに使用しており、40%がパスワード作成に公式を使ったことがあると回答し、10%がパスワードを使い回していると認めた。Twitterのアンケートでは、回答者の20%が、パスワードをリセットする手間をかけるよりも、うっかりして恥ずかしい思いをしながらもメッセージに「全員返信」してしまう方がましだと答えた。
さらに、このテクノロジー大手は、企業アカウントに関しては従業員のほぼ100%がパスワードを使用していないと述べた。
- すぐにログインすれば大丈夫、とMicrosoftはAuthenticatorアプリに自動入力機能を追加してささやく
- パスワード管理ツールのメーカーは、ブラウザを使ってパスワードを管理する人がいるとは信じられない、と語る
- GitHubは13日の金曜日にパスワードベースのGit認証を廃止することを決定
- ChromeストアのMicrosoft Authenticator拡張機能は、実はMicrosoftが作ったものではありません。おっと、Google
このパスワード不要のログイン方法は、Microsoftの広大な帝国全体で利用できるわけではありませんが、「Microsoft 365、Microsoft Teams、Outlook、OneDrive、ファミリーセーフティ、Microsoft Edgeなどのアプリやサービス」では利用できるとのことです。Office 2010以前、リモートデスクトップ、Xbox 360ではパスワードが必要です。また、Windowsへのサインインにはバージョン10または11が必要です。
パスワードを廃止するための元に戻すプロセスには、Microsoft Authenticator アプリをダウンロードして個人の Microsoft アカウントにリンクし、アカウント設定に移動し、「高度なセキュリティ オプション」に移動して「追加のセキュリティ オプション」に移動し、「パスワードレス アカウント」をオンにすることが含まれます。
あとは、他の認証方法を安全かつ確実に維持するだけです。®
