ニュース
個人向けMicrosoft アカウント、「完全な」パスワードレス運用に対応
アカウントからパスワードを削除。認証アプリやWindows Helloだけでログインできる
2021年9月16日 08:11
米Microsoftは9月15日(現地時間)、コンシューマー向け「Microsoft アカウント」にパスワードレスで運用するオプションを導入したと発表した。「Microsoft アカウント」からログインパスワードを削除できる。
パスワードは古くから用いられている認証方法だが、覚えやすい単純なものにしておくと第三者から推測されやすく、アカウントを乗っ取られやすくなるという問題がある。かといって複雑なものにすると覚えられず、入力が困難になる。
そこで、「Microsoft アカウント」では「Windows Hello」(PIN、顔認証、指紋認証)やモバイル向け認証アプリ「Microsoft Authenticator」(iOS/Android)、物理セキュリティキー、SMSによるワンタイムコードの送信といった手法で、パスワードを使わずにログインする手段が整えられてきた。とくに「Microsoft Authenticator」アプリはお勧めで、一度スマートフォンにセットアップしておけば、PCで「Microsoft アカウント」へログインする際もスマートフォンへの通知を承認するだけで処理が完了して便利だ。しかし、パスワードを用いたログインはいまだ残されており、パスワードの漏洩や詐取によりアカウントが乗っ取られる危険性は捨てきれない。
そこで今回導入されたのが、「Microsoft アカウント」からログインパスワードを削除して完全なパスワードレスログインを実現するオプションだ。このオプションは「account.microsoft.com」の[セキュリティ]-[高度なセキュリティ オプション]ページに用意されており、有効化すると「Microsoft Authenticator」アプリに通知が送られ、承認をすると「Microsoft アカウント」からログインパスワードが削除される。パスワードがなければ漏洩や詐取の心配はないし、なにより覚えておく必要がなくてよい。
「Microsoft アカウント」がパスワードレスで運用できても、パスワードの入力を必要とするWebサイトやWebサービスはまだまだ多い。しかし、「Microsoft Edge」のパスワード管理機能を併用すれば、複数デバイスでの同期や自動入力までをシームレスに行ってくれるので、パスワードを管理・入力する苦痛も和らげられるはずだ。「Edge」には安全で強力なパスワードを生成するジェネレーターやパスワードの強度を示すインジケーター、漏洩を検知してユーザーに警告するモニターも備わっているのでぜひ活用したい。
ちなみに、このパスワードレスログイン機能は家庭用ゲーム機「Xbox One」や「Xbox Series X/S」でも機能する。ただし、「Xbox 360」は未対応だ。このようにパスワードレスログインに未対応の古いデバイスやサービスが残っている場合は、再びパスワードログインを有効化する必要があるかもしれない。しかし、[パスワードレス アカウント]オプションを無効化すれば再びパスワードを追加することはできるので安心してよいだろう。古いデバイスやサービスを使い続けるのはセキュリティ上のリスクになりかねないので、パスワードレスログインに対応する後継製品への移行も検討したい。
また、端末の買い替えや誤操作により「Microsoft Authenticator」アプリへアクセスできなくなっても、テキストメッセージやバックアップメールアドレスといった別の回復方法が設定されていれば、再び「Microsoft アカウント」にアクセスできる。逆に言えば、回復手法が失われるのは非常に危険だ。電話番号やメールアドレスが変わった場合は、「Microsoft アカウント」に登録しておいた情報も必ずアップデートしておきたい。