パスワードの呪縛から逃れる生体認証のススメ

パスワードをいまだに使い続けるのは「セキュリティ的にあり」か？

2018年08月24日 09時00分更新

文● 飯島範久　編集●ASCII

Windows 10のサインインはPINへ

　ちなみにWindows 10では、パソコンのサインインはパスワードではなくPIN（数字の入力）の利用が推奨されている。スマートフォンでは以前からPINが採用されており、パソコンでも共通の操作性を採用した形だ。

　PINは最低4桁の英数字で設定するため、一見するとパスワードよりセキュリティ的に脆弱なものに思えるかもしれない。しかしこのPINはデバイス（ここではパソコン）に紐付けられたもので、デバイスのサインインにのみ使われるものとなる。仮にPINが盗み見されたり、漏洩したとしても、悪用するためには、そのデバイスを盗まなければ意味をなさない。単純なぶん、銀行のATMのように数回間違えたらロックするといた仕組みもとれる。このあたりを考慮したもののようだ。

WindowsのサインインはPINを推奨。TPMチップ搭載モデルなら、悪意あるソフトからキー生成情報を元に探ろうとしても破ることはできない。また、何度か間違えるとロックされる仕組みになっている

　一方でWindows 10のパスワードは、個人であればマイクロソフトのアカウントと紐付けられており、企業ではドメインに参加するためにも利用する。つまりパソコンにサインインする際、パスワードを盗み見られると、ほかのパソコンからでもサインインができてしまうことがある。結果、情報漏えいの危険性が高まるのだ。

　ただ、パソコンを紛失した際、PINでは推測がしやすい面もある。生体認証のほうが破られる可能性は低くなるだろう。

　セキュリティを高めるためには複数要素を組み合わせるのが最適と言われている。多要素認証と言われるもので、一般的にはパスワードと生体認証、あるいは携帯電話の番号や物理的な認証端末などを組み合わせて安全性を高めるものだ。具体的には以下の3つ──ユーザーの知識（パスワードやPINなど）、ユーザーの所持しているもの（ICカードや携帯電話のSMS認証など）、そしてユーザー自身の生体情報（指紋や顔、静脈など）のうち、複数を組み合わせて認証する。

生体認証でよりセキュアにするソリューション

　さて、Windows Helloの使用には注意点がある。

　それは「サインインオプション」が選べることだ。仮に指紋認証によるサインインを設定していても、パスワード、PINなどのサインイン方法を設定していると、画面を切り替えて別の方法でサインインできてしまう。

　これはどういう意味かというと、指紋認証を使うのであれば、少なくとも設定するパスワードは文字数が長く、複数の文字種を利用し、覚えにくい、より強固なものに設定しておく必要がある、ということだ。

サインイン時、「サインインオプション」を選択すると、ほかの認証を選択できる

　一方Windows Helloの弱点を解消し、社員が利用するパソコンのユーザー認証を一元管理できる企業向けのソリューションもある。ディー・ディー・エスの多要素認証基盤「EVE MA」は、指紋認証だけでなく顔認証や静脈認証、ICカードなどといったさまざまな認証をサポート。Windowsのサインインはもちろんだが、業務アプリケーションの認証でも、これらの認証を使う方式に切り替えて利用できる。

　Windowsのサインイン画面も、独自のものに置き換わるため、サインインオプションを表示させず、指紋認証でのみしかアクセスできなくすることが可能だ。また、認証情報を一元管理できるので、新規にパソコンを導入した際でも、その都度、認証登録し直す必要はない。1度登録した認証情報をパソコンと紐付けるだけで利用できるのも特徴だ。