Windows 10の新しいユーザー認証機能である「Microsoft Passport」。ポイントは、ユーザーとデバイス間と、デバイスとサーバー間の認証を分離したことだ。「デバイスへのログオン」と「デバイスからサーバーへのアクセス」で認証を分離することで、認証情報がネットワークを流れることを防ぐ。サーバー側にパスワードは保存されないので、不正アクセスによって漏洩する心配もない。
また、ユーザーはデバイスにログオンするためのPIN▼さえ覚えていればよい。サーバーごとにパスワードを作成して覚える必要がない。
ただしサーバー側は、FIDO▼と呼ばれる認証方式に対応している必要がある。
デバイスのログオンには生体認証も利用できる。Windows 10では、「Windows Hello」という名称で生体認証の機能を標準で備えている。従来のWindowsでも生体認証は利用できたが、ドライバーなどを追加しなければならない。
デバイスとサーバー間の認証の流れを詳しく見ていこう。サーバーでのユーザー認証には、PKI▼を利用する。デバイスでのユーザー認証が成功すると、WindowsはTPM▼に保管している秘密鍵にアクセスできるようになる。サーバーには、その秘密鍵に対応する公開鍵をあらかじめ登録しておく。