見出し画像

第34話 マイクロソフト「もうパスワードは廃止します。危ないんだもん。」

吉田 晋 情報処理安全確保支援士(登録025036号)

全てのサービスでパスワードを使わない選択が可能に

マイクロソフトが自社が提供する全てのサービスから、パスワードを使わない選択が出来るようにしたと発表した。(Microsoft公式ブログ「The passwordless future is here for your Microsoft account」より)

画像1

本音は「パスワードはもう使わないで欲しい」

もちろんユーザは、これまでどおりパスワードを利用し続けることも出来る。ただしマイクロソフトの本音はおそらく一人でも多くのユーザはもうパスワードという認証方式から卒業して、より安全な多要素認証に移行して欲しいはずだ。
しかし世界最大規模のアカウントを持つ大人の企業であるから、(IEの廃止と同様ように)多くのユーザーが振り落とされないテンポで実行されていくようだ。

パスワードは漏洩している前提で。

以前の記事(第27話 従業員のアカウントとパスワードはすでに闇市場で売られていると考えた方がいい理由 )に書いたようにアカウントとパスワードだけの認証方式はもうすでにセキュリティとしての意味をなしていない時代に入りつつある。そして悪意あるハッカーたちに最も標的にされている一つが、マイクロソフトアカウントである。(第25話 SaaS(Microsoft365など)導入の日本企業が見逃しているセキュリティ設定とは
マイクロソフトが、全てのサービスでパスワード不要とした背景は当然といえる。そして業界を牽引するトップ企業としての英断といえよう。

パスワードはハッカーにとっては公開情報?

本来アカウントとパスワードの仕組みは
・アカウント:公開情報(世界中の人が知ることが可能)
・パスワード:非公開情報(本人と相手以外知らない)
この2つの情報を符合させることにより、その当人の正当性(なりすましでないこと)を証明するものだ。

画像2

しかし今や、多くのアカウントとパスワードの組み合わせ情報は、悪意のあるハッカーたちによって闇市場(ダークウェブ)で取引されるようになっている。

・アカウント:公開情報
・パスワード:公開情報(闇市場での流通)

画像3

このため、アカウントとパスワード以外の別の要素の認証が必要となって来ている。

・アカウント:公開情報
・パスワード:公開情報
・別の認証要素:非公開(多要素認証)

画像4

しかしとマイクロソフト内の頭の良い人達は考えたのであろう。
「であるならパスワードいらないんじゃない?」

パスワードは百害あって一利なし?

悪意あるハッカーに対しては、すでにパスワードは公開情報と考えるべきである。
であるならば、ユーザーにとって管理が煩わしいだけの(その証拠にパスワード使いまわしによる被害もあとを立たない)パスワードは百害あって一利なしといえる。

「パスワードを忘れてしまうことは、とてもつらいことです。私は、3分の1近くの人が、パスワードを忘れたことを理由に、そのアカウントやサービスの利用を完全にやめてしまうと答えたことにショックを受けました。これは、パスワードを忘れてしまった人だけの問題ではなく、企業にとっても顧客を失うことになります。
このような問題を解決し、覚えられるパスワードを作るために、私たちは自分自身のために物事を簡単にしようとします。私たちは、よく知られた、個人的な言葉やフレーズを利用します。最近のある調査では、15%の人がペットの名前をパスワードのヒントにしていることがわかりました。他にも、家族の名前や誕生日などの重要な日付がよく挙げられています。また、10人に1人が複数のサイトでパスワードを使い回していることを認めており、40%が「Fall2021」が「Winter2021」や「Spring2022」になるような公式をパスワードに使ったことがあると答えています。」(同マイクロソフト公式ブログより)

マイクロソフト「パスワードは廃止する方向です」

多要素認証を導入するのであれば、パスワードは不要。
逆にユーザにとって「パスワード管理の煩わしさ」が「サービス解約」の理由になるというデータまである。このためマイクロソフトは全サービスの「パスワードの廃止」に踏み切ったのだ。

・アカウント:公開情報
・他の認証要素:非公開情報(多要素認証)

画像5

マイクロソフトがサポートする多要素認証は下記の手段が提供されており、いずれも現時点ではなりすましのハードルが非常に高いものだ。

・端末認証(ハードウェアセキュリティキー)
・生体認証(Windows Hello顔認証)
・ワンタイムパスワード認証(SMS確認コード)
・トークン認証(Microsoft Authenticatorアプリ)

今後クラウドサービスは「脱パスワード(多要素認証)」が主流になっていくであろう。

企業の業務システムにおいても、それは例外ではない。いや。機密情報を取り扱う業務システムこそ「脱パスワード(多要素認証)」が求められると言えよう。

【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。


この記事が気に入ったらサポートをしてみませんか?