Microsoft Passport、Microsoft Passport for Work、およびWindows Helloについては、本連載の第6回で説明した。企業にとってセキュリティ対策は重要であるため、今回は改めて、数字を入力するPIN(Personal Identification Number:暗証番号)認証を使用するMicrosoft Passportが、従来のIDとパスワードによる認証よりも優れている点を説明する。ただしデバイスの盗難は、簡単なPINを使用するMicrosoft Passportのセキュリティ上の弱点となり得る。その弱点を回避する方法については、本連載の次回で説明する。

クラウド時代で変わったパスワードに対する考え方

 Windows、UNIX、Linux、Macのローカル認証、Active Directoryドメインの認証、その他のID管理サービスによる認証、およびオンラインサービスの認証では、古くからユーザーを識別するID(ユーザー名やメールアドレス)とパスワードの組み合わせが使用されてきた。しかしIDとパスワードを組み合わせだけの認証には、これらの情報が漏洩した場合のセキュリティリスクが存在する。通常、パスワードが平文(クリアテキスト)のままネットワークを介してやり取りされることはない。しかし悪意ある第三者は、昔からさまざまな攻撃テクニックを用いてパスワードを入手しようと試みてきた。

 IDとパスワードを不正に取得しようとする攻撃から保護するため、マイクロソフトを含むさまざまなベンダーが、スマートカード認証、指紋や網膜スキャンや音声などを使用した生体認証、ワンタイムパスワード認証などの多要素認証(Multi-Factor Authentication:MFA)を開発し、提供してきた。しかし、これらは専用のハードウエアやソフトウエアを必要とするなど、導入に追加の費用を伴うケースが多い。そのため、厳重なセキュリティ管理が要求される環境でもない限り、積極的に導入されることはなかった。

 IDとパスワードの保護を強化するもう1つの方法は、パスワードポリシーの強化である。パスワードの長さや複雑さ、定期的な変更、過去に使用したパスワードの使用禁止といった要件を設けるというものだ。例えば、Windows Server 2012 R2のID管理基盤サービスであるActive Directoryドメインでは、次のパスワードポリシーが既定で有効になっている。Windowsにおける複雑さの要件とは、英大文字、英小文字、数字、アルファベット以外の文字(!$#%などの記号)の4種類の文字種から少なくとも3種類の文字を使用することである。

  • パスワードの長さ:7文字以上
  • パスワードの変更禁止期間:1日
  • パスワードの有効期間:42日
  • パスワードの履歴を記録する:24回
  • 暗号化を元に戻せる状態でパスワードを保存する:無効
  • 複雑さの要件を満たす必要があるパスワード:有効

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。