米Microsoftは9月15日(現地時間)、Microsoftアカウントからパスワードを削除してパスワードレスアカウントで使うオプションのロールアウトを開始した。
パスワードは攻撃者に悪用されやすい。推測されにくい複雑なパスワードを設定しても、なりすましメールから詐欺サイトに誘導するフィッシングのような手法で盗み取られる可能性がある。Microsoftアカウントは、Microsoft 365やTeams、OneDriveなどMicrosoftの様々なサービスへのアクセスのほか、Windowsデバイスのサインインに用いられており、パスワードの漏洩が個人情報の深刻な侵害につながる恐れがある。
Microsoftアカウントのパスワードレス化は、パスワードをアカウントから削除し、代わりにスマートフォン用の認証アプリ「Microsoft Authenticator」、Windowsパソコンの生体認証機能「Windows Hello」、物理セキュリティキー、SMSまたはメールを使ったコード送信といったパスワードを用いない方法でサインインする。パスワードが漏洩するリスクをなくし、複雑なパスワードを管理するより簡単なサインインを可能にする。
アカウントのパスワードレス化はまず、そのアカウントでMicrosoft Authenticatorアプリを利用できるようにしておく。Microsoftアカウントのサイトにサインインし、「セキュリティ」の「高度なセキュリティオプション」の「追加のセキュリティ」でパスワードレスアカウントを有効にしてパスワードを削除する。
パスワードレス化後にMicrosoft Authenticatorアプリへのアクセスを失っても、テキストメッセージやバックアップメールアドレスといった回復方法を使用してMicrosoftアカウントにアクセスできる。注意点としては、Windows 8.1以前、Office 2010以前、Office for Mac 2011以前、Xbox 360など、古いバージョンのWindowsやアプリ、サービスではパスワードが必要になる。パスワード認証に戻したい場合はMicrosoftアカウントのサイトでパスワードを再設定できる。
