前回(第8回)は、簡単なPIN(Personal Identification Number)入力によるWindows 10へのサインインが複雑なパスワードよりも安全な理由、PINによる認証をそのままオンラインサービスの認証に使えるWindows 10の新機能、そして個人向けMicrosoft Passportと企業向けMicrosoft Passport for Workについて説明した。しかし、場合によっては簡単なPINがセキュリティ上の重大な弱点になることもある。そこで今回は、PINの弱点を補う方法を説明する。
簡単なPINはすばやくて安全、一方で、デバイスの紛失・盗難時には弱点に
前回の最後に説明したが、簡単なPINはサインインに便利であるだけでなく、オンラインサービスの利用が進む現在ではパスワードよりも安全な方法である。PINを使用したサインインでは、PINやパスワードがネットワーク上でやり取りされることはない。また、PINはそのデバイスだけで利用可能なもので、PINが流出したとしてもデバイスが手元にある限り、オンラインのアカウントを悪用されることはない。
しかし、Windows 10のデバイス(PCやタブレット、Windows 10 Mobileを搭載するスマートフォン)の紛失や盗難、あるいは内部者(例えば、同じ建物にいてPCにリーチ可能な人)による不正なサインインについては、簡単なPINは安全性に劣る。PINが有効であるPCを操作できてしまうためだ。
Windows 10における既定のPINの要件は、4桁の数字である。4桁の数字で構成されるPINの組み合わせは1万通りしかない。Windows 10では、PINの入力に4回連続で失敗するとチャレンジフレーズ(値は「A1B2C3」である)の入力を要求される。これを入力すると、5回目のPIN入力のチャンスが提供されるが、5回目のPIN入力にも失敗するとPIN入力によるサインインはできなくなる。ところがデバイスを再起動すると、再びPIN入力を試せるようになる。
そのためデバイスを盗み出した、あるいは拾得した第三者は、人の目も時間も気にすることなく、総当たりで正しいPINを見つけることができるだろう(写真1)。さらに悪意ある内部者による不正なサインインについては、サインイン時のキーボード操作を盗み見るといった方法によって、もっと簡単に正しいPINを知ることができるだろう。