パスワードの問題を解消する新たな認証方法(1)

パスワードの問題を解消する新たな認証方法(1)

ユーザー認証を行う手法としては、これまでユーザーIDとパスワードを組み合わせが主に利用されてきました。これは現在でも、多くのインターネットサービスで採用されています。しかしパスワードは一度漏れてしまうと、ネットワーク経由で不正利用できるという問題を抱えています。また推測が容易な簡単なパスワードはクラッキングされやすく、情報が漏れなくても第三者に知られてしまう危険性があります。そのためユーザーは利用するサービス毎に、複雑なパスワードを設定する必要がありました。

これは利便性を低下させる大きな要因です。複雑なパスワードは文字数が多く、入力に手間がかかるからです。また、より高い安全性を確保するため、これまではパスワードを定期的に変更することも推奨されてきました。これによってパスワード管理の負担はさらに増大し、複数のパスワードを憶える必要も生じます。憶えきれない場合にはパスワードを紙やファイルに記録することになり、そこからパスワードが漏洩する危険性も生じてしまいます。

さらに「ログイン画面でパスワードを入力する」という行為そのものが、パスワードの秘匿性を脅かす結果になるという、本質的な問題も存在します。インターネットサービスに対してパスワードを入力すれば、その情報は当然ながらインターネットの中を通過します。ここで盗聴が行われれば、パスワードは簡単に漏洩してしまうのです。

そのため最近では「パスワードによる認証はもはや時代遅れではないか」と指摘されています。また「定期的なパスワード変更はかえってセキュリティを脅かす」という意見も見られるようになっています。このような問題を解決するため、Windows 10にはユーザー認証に関する2つの機能が用意されています。それが「Microsoft Passport」「Windows Hello」です。

デバイスと紐付けられた2段階認証で安全性と利便性を向上

Microsoft Passportは、FIDO(Fast IDentity Online:素早いオンライン認証)と呼ばれる業界標準規格に準拠した、新しい認証方式です。その大きな特長は、「公開鍵暗号を使用する」ことと「信頼されたデバイスと紐付けられた2段階認証を行う」点にあります。

Microsoft Passportではまず、指紋などの生体情報かPIN(暗証番号)によって、デバイスでのユーザー認証を行います。ここで使用される認証情報はこのデバイス専用であり、デバイスの外に流れることはありません。

次にアクセス対象となるサービスが、公開鍵暗号を用いた認証を行います。サービス側が公開鍵、デバイス側が秘密鍵を保有しており、デバイスはサービス側から送られてきた指示にもとづいて認証リクエストを生成、これを秘密鍵で暗号化してサービス側へ送ります。サービス側はこれを公開鍵で復号し、認証リクエストが正しいものであることを確認、認証を完了します。デバイス側の秘密鍵は、デバイス内に装備されたTPM(Trusted Platform Module)というセキュリティチップ内に保存されており、これもデバイス外に出ることはありません。

またWindows 10 Mobileデバイスを認証用デバイスとし、これとBluetoothで接続することで、Windows 10 PCからの認証を行うことも可能です。この方法を用いれば、ユーザーはモバイルデバイスを持ち歩くことで、どのWindows 10 PCからでもサービスにアクセスできるようになります。

このようにMicrosoft Passportでは、PINや生体情報といった「ユーザーが保有する情報」と、公開鍵暗号の秘密鍵という「デバイスに紐付けられた情報」を組み合わせた認証が行われます。そのためPINを入手したとしても、秘密鍵が格納されたデバイスが手元になければ、不正アクセスを行うことはできません。

Microsoft Passportで利用可能

Windows Helloは、Microsoft Passportで利用可能な生体認証を提供するものです。Windows 10ではこの機能が標準でサポートされており、指紋や顔、虹彩による認証が行なえます。Windows Helloをセットアップしておくことで、パスワードを憶えておく必要もなくなります。例えば顔認証を利用すれば、デバイスのカメラに顔を見せるだけで、ユーザー認証が完了するわけです。

Microsoft PassportとWindows Helloの組み合わせは、ユーザー認証の常識を根本から変えてしまうものだと言えます。ユーザーの利便性とサービスの安全性は、飛躍的に高まることになります。しかし現時点では問題もあります。これらは基本的にActive DirectoryやAzure ADと組み合わせた利用を前提としており、対応しているインターネットサービスもまだ限られているからです。

それではより広範なサービスで安全性と利便性を高めるには、どうしたらいいのでしょうか。次回はその具体的な手法を紹介します。

 


関連製品

お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ一覧