昨年11月にマイクロソフトは、MicrosoftアカウントのFIDO2対応を発表した。
●セキュリティ キーまたは Windows Hello を使用したパスワード不要の安全な Microsoft アカウントへのサインイン - Windows Blog for Japan
https://blogs.windows.com/japan/2018/12/07/sign-in-to-your-microsoft-account-without-a-password-using-windows-hello-or-a-security-key/#OrcygbvoMO2egAVT.97
この話、ちょっとわかりにくい。一見、Windows 10のログイン(サインイン)がセキュリティキーに対応したようにも読めるが、実際に可能なのは、Edgeを使って、Outlook.comなどのマイクロソフトのインターネットサービスにログインする場合の話だ。
さらに言えば、対応したのは、FIDO2仕様のセキュリティキーデバイスとWindows Helloである。つまり、Outlook.comなどのマイクロソフトのサービスにログインするとき、Windows HelloまたはFIDO2セキュリティデバイスを使って可能になるということだ。
このとき、ユーザーIDもパスワードも不要だが、Windows Helloの場合には、設定しているPINの入力や指紋リーダーへのタッチが、FIDO2デバイスなら、デバイスに設定したPINとキーへのタッチが必要になる。今回は、このあたりを解説したいと思う。
パスワード無しでの認証の標準仕様「FIDO」
FIDO(ファイド)とは「Fast IDentity Online」の略で、FIDOアライアンスという業界団体を指している。この団体は、インターネットのさまざまなサービスにすばやく高いセキュリティでアクセスする方法を考えている。
その目標の1つがパスワード無しのログインだ。その際に物理的な「セキュリティデバイス」(セキュリティキー)を使う。FIDOは当初、U2F(Universal Second Factor)、UAF(Universal Authentication Framework)という2つの2要素認証方式についての仕様を策定した。
その次に策定したのがFIDO2と呼ばれる仕様で、こちらは、公開鍵暗号方式を使う認証方式でパスワードを不要にするもの。どちらも、ウェブブラウザやアプリケーションが、セキュリティキーなどのハードウェアを使って認証するための仕様だ。
このうちUAFは、指紋リーダーなどを持つスマートフォンのアプリケーションとして実現する仕様だ。あらかじめサービス側にスマートフォンを登録することで、スマートフォン自体を認証デバイスとして利用できる。これに対してU2Fは、一般的なユーザーID/パスワードによる認証方式を2要素認証化するときの2つ目の認証要素として使うことを想定したものだ。鍵のような形をしたUSBセキュリティキーになっていることが多いが、BluetoothやNFCでも接続が可能であるため、違う形のものもある。
FIDO2は、公開鍵暗号方式を使う認証方式を実現するものだ。U2Fでは、既存のパスワード方式と併用していたが、FIDO2は、2要素認証ではないのでユーザー名やパスワードの入力が不要になる。公開鍵暗号を使って、サービスのログインに必要な情報をやりとりする。
盗まれた場合などを想定してPINは設定するが、原則、セキュリティキーの存在と、ユーザーの存在(これはセキュリティキーにあるタッチセンサー/スイッチで行なう)でログインを完了できる。これによりパスワードなしのログインが可能になる。なお、FIDO2デバイスは、U2Fとも互換性があるため、U2Fを要求するサービス(たとえばGoogleの2要素認証)でも利用することが可能だ。
この連載の記事
-
第436回
PC
Copilot+PCとともにWindowsのデバイス間連携に大きな変化!? Project ROMEの逆襲? -
第435回
PC
Windows Terminal Preview v1.21では、前回終了時のタブとその表示内容を復元できるように -
第434回
PC
AIの急速な導入がWindowsの予定を変えた!? Windows 12がすぐには出ない可能性 -
第433回
PC
Windows 11の2つのウィジェットを調べる -
第432回
PC
ウェブブラウザが切り開いたWindowsでのタブアプリケーション -
第431回
PC
Windows上でユニコードを「見る」方法 -
第430回
PC
WindowsからWordPadが廃止! RTF(Rich Text Format)はどうなる? -
第429回
PC
Windows Updateの「利用可能になったらすぐに最新の更新プログラムを入手する」はオンにした方がいいか? -
第428回
PC
Google/Bingで使える検索オプション -
第427回
PC
WindowsのPowerShellのプロファイルを設定する -
第426回
PC
WindowsでAndroidスマホをWebカメラにする機能を試した - この連載の一覧へ