Windows 10でパスワードが不要になる――その日が近づいてきた。Microsoftが米国時間2019年7月10日にリリースしたWindows 10 Insider Preview ビルド18936には、「Make your device passwordless(デバイスをパスワードレスにする)」というオプションが一部のPCに展開された。本オプションを有効にすると、サインイン画面で選択可能だったパスワード入力が無効になる。
最近のPCはWindows Hello対応カメラを備えるデバイスも多く、法人向けPCであれば指紋認証、それ以外でもPIN(暗証番号)を使用できるため、Windows 10 PCでパスワード入力を減らそうと思えば減らせる。パスワードによる認証は限界に達しており、先ごろ日本で発生した「7pay問題」もひとつの例だ。7pay問題では、悪意を持ったユーザーが総当たり攻撃でパスワードを突破し、ひも付けたクレジットカードによる金銭被害を引き起こして世間を騒がせた。
以前の記事でも触れたように、Windows 10はパスワードの有効期限ポリシーの削除を予定している。加えて、Microsoft CVP, CISO(最高情報セキュリティ責任者)のBret Arsenault氏は公式ブログにて、Microsoft経営層に「24カ月以内にパスワードの排除を見込んでいる」ことを報告し、大きく評価されたことを記述した。
Microsoftは、Microsoft AzureやWindows 10といった自社ソリューションに対して、特定の文字列をパスワードに使うことの禁止、多要素認証の推奨、TPM 2.0もしくはFIDO 2.0を用いたセキュリティの提供を段階的に推し進めていく。そのためのWebページも合わせて公開していることから、その本気度がうかがえる。
パスワードは「合い言葉」として、紀元前のローマ軍でも使われていたという。戦争結果や兵士の生死を左右する要素だったが、現在は個人情報の漏えいから金銭被害と、死に準ずる被害(といっても過言ではないだろう)に直結する。Microsoftはパスワードレスパートナーシップを通じて、FIDO 2.0対応デバイスの普及活動を続けると別の公式ブログで表明した。
スマートフォンでは指紋認証や顔認証が当たり前となり、パスワード入力が必要なのは、WebサービスやWebサイトの会員ページにアクセスする場面くらいだ。UXの視点なら、もはやパスワードは無用の長物。「パスワードが不要になる、その日」に向けたMicrosoftの取り組みは、多くのユーザーに恩恵をもたらしてくれるだろう。
阿久津良和(Cactus)