Windows Info 第167回

Windows 10＋FIDO2デバイスでパスワード入力なしにMicrosoftアカウントにログイン

　昨年11月にマイクロソフトは、MicrosoftアカウントのFIDO2対応を発表した。

●セキュリティ キーまたは Windows Hello を使用したパスワード不要の安全な Microsoft アカウントへのサインイン - Windows Blog for Japan
　https://blogs.windows.com/japan/2018/12/07/sign-in-to-your-microsoft-account-without-a-password-using-windows-hello-or-a-security-key/#OrcygbvoMO2egAVT.97

　この話、ちょっとわかりにくい。一見、Windows 10のログイン（サインイン）がセキュリティキーに対応したようにも読めるが、実際に可能なのは、Edgeを使って、Outlook.comなどのマイクロソフトのインターネットサービスにログインする場合の話だ。

　さらに言えば、対応したのは、FIDO2仕様のセキュリティキーデバイスとWindows Helloである。つまり、Outlook.comなどのマイクロソフトのサービスにログインするとき、Windows HelloまたはFIDO2セキュリティデバイスを使って可能になるということだ。

　このとき、ユーザーIDもパスワードも不要だが、Windows Helloの場合には、設定しているPINの入力や指紋リーダーへのタッチが、FIDO2デバイスなら、デバイスに設定したPINとキーへのタッチが必要になる。今回は、このあたりを解説したいと思う。

こうしたUSBデバイスを持ち歩いて、必要な時だけPCに刺すことでパスワード入力をせずにインターネット上のサービスにログインできるようになる

パスワード無しでの認証の標準仕様「FIDO」

　FIDO（ファイド）とは「Fast IDentity Online」の略で、FIDOアライアンスという業界団体を指している。この団体は、インターネットのさまざまなサービスにすばやく高いセキュリティでアクセスする方法を考えている。

　その目標の1つがパスワード無しのログインだ。その際に物理的な「セキュリティデバイス」（セキュリティキー）を使う。FIDOは当初、U2F（Universal Second Factor）、UAF（Universal Authentication Framework）という2つの2要素認証方式についての仕様を策定した。

　その次に策定したのがFIDO2と呼ばれる仕様で、こちらは、公開鍵暗号方式を使う認証方式でパスワードを不要にするもの。どちらも、ウェブブラウザやアプリケーションが、セキュリティキーなどのハードウェアを使って認証するための仕様だ。

　このうちUAFは、指紋リーダーなどを持つスマートフォンのアプリケーションとして実現する仕様だ。あらかじめサービス側にスマートフォンを登録することで、スマートフォン自体を認証デバイスとして利用できる。これに対してU2Fは、一般的なユーザーID／パスワードによる認証方式を2要素認証化するときの2つ目の認証要素として使うことを想定したものだ。鍵のような形をしたUSBセキュリティキーになっていることが多いが、BluetoothやNFCでも接続が可能であるため、違う形のものもある。

　FIDO2は、公開鍵暗号方式を使う認証方式を実現するものだ。U2Fでは、既存のパスワード方式と併用していたが、FIDO2は、2要素認証ではないのでユーザー名やパスワードの入力が不要になる。公開鍵暗号を使って、サービスのログインに必要な情報をやりとりする。

　盗まれた場合などを想定してPINは設定するが、原則、セキュリティキーの存在と、ユーザーの存在（これはセキュリティキーにあるタッチセンサー／スイッチで行なう）でログインを完了できる。これによりパスワードなしのログインが可能になる。なお、FIDO2デバイスは、U2Fとも互換性があるため、U2Fを要求するサービス（たとえばGoogleの2要素認証）でも利用することが可能だ。

ASCII倶楽部