これまで当然のように使われてきたパスワードシステムが、近年はフィッシング詐欺などで盗まれて大きな被害を出しているために、複数の本人認証手順が要求されるようになってきた。
Microsoftは、この対応としてPWシステムから、Windows Hello という新しい認証手順への移行を進めているという。

ポイントは、本人認証した機器からMicrosoft Accountにログインすること。
指紋や顔認証は本人以外使えないので、PWより安全性が高い。PINも外部からアクセスできない領域にあり設定した機器しか使えない。

以下、Microsoftの解説サイト紹介、 itmedia社の資料やGeminiの解説を引用でご紹介します。

Microsoftの新認証方法 Pass Key 設定利用などの解説サイト

 Microsoftの解説サイトです。新しい認証方法のPassKeyの設定・利用・削除方法を解説しています。
 [ 顔、指紋、PIN、またはセキュリティ キー] の4種類があるとのこと

Windows HelloとMicrosoft Accountの連携方法とは?

Copilotの解説をご紹介
Windows Hello は Microsoft アカウントと密接に連携しており、顔認証や指紋認証などの生体認証を使って安全にサインインする仕組みです。

具体的な紐づけの流れとしては:

  1. 初回セットアップ Microsoft アカウントで Windows にサインインした後、Windows Hello を設定します。このとき、顔認証や指紋認証、PIN を登録します。

  2. 認証情報の保存 登録された生体情報は Microsoft アカウント側(=Microsoft Server)ではなく、デバイス内の TPM(Trusted Platform Module)やセキュア領域に暗号化して保存されます。そのため、Microsoft からアクセスされることはなく、プライバシーが守られます。

  3. 認証プロセス 次回のサインイン時Windows Hello で生体認証が行われ、デバイスが「この人物は正しい」と判断すると、Microsoft アカウントと紐づいた認証情報を用いてサインインが完了します。

このシステムのメリットは、パスワード不要で安全かつ迅速にアクセスできることです

 

Microsoft、新規アカウントを「パスワードレス」設定へ

https://www.itmedia.co.jp/news/articles/2505/06/news059.html

2025/5/6(火) 11:29配信

ITmedia NEWS

 米Microsoftは5月1日の「ワールドパスキーデー」を記念して、アカウントサインインにおけるパスワード依存からの脱却をさらに加速させる新たな取り組みを発表した。今後、新規作成のMicrosoftアカウントではパスワードが不要となる。

 Microsoftは10年前からWindowsへのサインインに、パスワードではなく顔認証、指紋認証、PINを使う「Windows Hello」を提供してきた。現在では、MicrosoftアカウントでWindowsデバイスへサインインするユーザーの99%以上がWindows Helloを利用しているという。

 こうした流れを受け、Microsoftは2025年に入ってから、サインインおよびサインアッププロセスを簡素化する新しいユーザーインタフェースを導入した。この新しいデザインでは、パスワードレスなサインイン方法を優先している。

 この新しいUIの一部として、新規Microsoftアカウント作成のデフォルト設定では、パスワードの登録が不要になった。

 既存のMicrosoftアカウントユーザーについては、アカウント設定にアクセスすることで、自分でパスワードを削除することが可能になる。

 また、アプリやWebサイトへのサインイン時に利用可能な最適な方法を自動的に検出し、デフォルトとして提示するようになる。これにより、テスト段階ではパスワードの使用が20%以上減少したという。

 パスワードを狙ったサイバー攻撃は深刻化しており、同社によると2024年には1秒当たり約7000件の攻撃を観測。前年の2倍に当たるペースで増加している。

 Microsoftは、アプリやWebサイトへのサインインにもパスワードレスを拡大すべきとし、GoogleやAppleと連携してフィッシング耐性の高い認証方式「Passkey(パスキー)」を推進している。パスキーは、対応するアプリやWebサイトに、顔認証、指紋認証、PINを使用してサインインできるようにする仕組み。Microsoftによると、パスキーを使用するユーザーは、パスワードを使用するユーザーに比べてアカウントへのアクセス成功率が約3倍高く、サインイン速度も約8倍速いという。過去1年間で、Microsoftアカウントには毎日約100万個のパスキーが登録されている。

 Microsoftは、「最終的にはパスワードのサポートを完全に削除できるようになるだろう」と述べている。

パスワード(PW)とPIN(Personal Identification Number)

Geminiによると、主な違いは、その認証方法と適用範囲にあります。

パスワード(PW)

認証方法: 通常、文字、数字、記号を組み合わせた比較的長く複雑な文字列で、入力された情報がサーバーに保存された情報と照合されることで認証が行われます。

適用範囲: 複数のデバイスやオンラインサービスで共通して使用されることが多く、ネットワークを介して認証が行われます。

セキュリティ: 複雑なパスワードを設定することでセキュリティを高めることができますが、漏洩した場合の影響範囲が広範囲に及ぶ可能性があります。また、フィッシング詐欺やブルートフォース攻撃のリスクがあります。

PIN(Personal Identification Number)

認証方法: 通常、4桁以上の数字(または数字と文字の組み合わせ)で、設定された特定のデバイス内でのみ認証が行われます。ネットワークを介した認証は行われません。

適用範囲: 主に特定のデバイス(PC、スマートフォン、ATMなど)のロック解除や、デバイスに紐づいた一部のサービス認証に利用されます。

セキュリティ: パスワードと比較して短い桁数で設定されることが多いですが、PIN自体はデバイスのセキュリティ機能(TPMなど)によって保護されており、仮に漏洩しても他のデバイスやオンラインサービスへの影響は限定的です。また、PINはデバイスに紐付いているため、そのデバイスが手元にない第三者による不正アクセスを防ぐことができます。ブルートフォース攻撃対策も施されていることが多いです。

 

Microsoft Helloの目的

Geminiの解説です。

Microsoft Helloは、Windowsデバイスへのサインインをより安全かつ便利にすることを目的とした生体認証システムです。従来のパスワードに代わり、以下の方法でユーザーを認証します。

・顔認証: 専用の赤外線カメラで顔を認識します。

・指紋認証: 指紋リーダーで指紋を読み取ります。

・PIN: 短い数字の暗証番号を使用します。

Microsoft Helloの主な目的は以下の通りです。

セキュリティの向上: 生体認証はパスワードよりも推測されにくく、なりすましを防ぐ効果が期待できます。PINもデバイスに紐付いているため、パスワードよりも安全性が高いとされています。

利便性の向上: パスワードを入力する手間が省け、より迅速かつ簡単にデバイスにサインインできます。

パスワード管理の軽減: 複雑なパスワードを覚える必要がなくなり、パスワード管理の負担が軽減されます。

フィッシング対策: パスワードを使用しない認証方式であるため、フィッシング詐欺によるパスワード漏洩のリスクを低減できます。

Microsoft Helloは、従来のパスワード認証に比べて、セキュリティと利便性の両面を向上させることを目指しています。

Geminiによる詳しい解説

Microsoftは、パスワードレス認証を推進しており、複数の方法でパスワードなしでのサインインを可能にしています。

パスワードレス認証の方法

  • Microsoft Authenticatorアプリ: スマートフォンアプリを使用して、プッシュ通知による承認、生体認証(指紋認証、顔認証)、またはPINコードでサインインできます。
  • Windows Hello: Windowsデバイスに内蔵された生体認証(指紋認証、顔認証)またはPINを使用してサインインできます。
  • FIDO2セキュリティキー: 物理的なセキュリティキーをUSBポートなどに接続し、PINまたは生体認証と組み合わせてサインインします。
  • パスキー (Passkey): FIDO2標準に基づいた、デバイスに紐づいた暗号化キーを使用してサインインします。Microsoft Authenticatorアプリや、デバイスに内蔵された機能(Windows Helloなど)を利用できます。
  • 一時アクセスパス (Temporary Access Pass – TAP): 一時的に発行されるコードを使用して初期認証を行い、その後パスワードレス認証を設定します。
  • SMS/メールコード: 一時的なコードがSMSまたはメールで送信され、それを入力してサインインします。

初期認証の方法(パスワードなしの場合)

パスワードなしで初期認証を行う方法は、利用するパスワードレス認証方法によって異なります。

  • Microsoft Authenticatorアプリ:
    1. サインイン画面でユーザー名を入力し、「別の方法でサインイン」または同様のオプションを選択します。
    2. 「Authenticatorアプリで要求を承認する」などのオプションを選択します。
    3. スマートフォンにMicrosoft Authenticatorアプリからの通知が届くので、承認します
    4. アプリでPINまたは生体認証を使用して本人確認を行います。
  • Windows Hello:
    1. サインイン画面でPIN、顔認証、または指紋認証のいずれかを選択します。
    2. 登録済みの生体情報またはPINを入力します。
  • FIDO2セキュリティキー:
    1. サインイン画面で「セキュリティキーを使用する」などのオプションを選択します。
    2. セキュリティキーをデバイスに接続します。
    3. セキュリティキーに設定されたPINを入力するか、生体認証を行います。
  • パスキー (Passkey):
    1. サインイン画面でパスキーの利用を選択します。
    2. Microsoft Authenticatorアプリまたはデバイスに登録された生体認証機能などで本人確認を行います。
  • 一時アクセスパス (TAP):
    1. サインイン画面でユーザー名を入力し、「別の方法でサインイン」または同様のオプションを選択します。
    2. 「一時アクセスパスを使用する」などのオプションを選択します。
    3. 事前に発行された一時アクセスパスを入力します。
    4. サインイン後、Authenticatorアプリや生体認証などを設定してパスワードレス認証を開始します。
  • SMS/メールコード:
    1. サインイン画面でユーザー名を入力し、「別の方法でサインイン」または同様のオプションを選択します。
    2. 「電話番号」または「メールアドレス」を選択します。
    3. 送信されたコードを入力します。

Microsoftは、セキュリティの向上と利便性の両立を目指し、パスワードレス認証を積極的に推進しています。新しいアカウントではデフォルトでパスワードレス認証が推奨され、既存のユーザーも設定からパスワードを削除し、より安全なサインイン方法に移行することが推奨されています。