【メルマガ】Microsoftアカウント パスワードレス化って、どう?(2021年11月16日)

Microsoftアカウントが、パスワードレスに対応しました。

一部ユーザーに開放されてから順次展開、という形のようです。

私のアカウントもパスワードレス化ができましたので、こちらについて考えてみます。

パスワードレス化

パスワードを入力しなくてよい、という意味ではなく、「アカウントからパスワードという存在を抹消」する設定です。

本当にパスワードがなくなります。
他ではあまり見ない仕組みなので、設定する時は少しドキドキしますね。
(あまり使っていないMicrosoftアカウントで試しました。)

では、どうやって認証するかというと、「Microsoft Authenticator」というアプリをスマホにいれて、認証します。

もともと、パスワード+多要素認証として使われていましたので、多要素認証を使っていた方は馴染みのあるものかと思います。

Microsoftアカウントにログインしようとしたら、Authenticatorに通知が来て「承認」することで、認証完了する形です。

パスワードを抹消する意味は?

正直、やや腑に落ちない点があります。

高いセキュリティのために「パスワードを抹消する」と言っていますが、「パスワード+多要素認証の方が強くない?」と感じます。
(パスワードもないと、認証できませんから。)

パスワードがあるとセキュリティ強度が下がるというのは、「パスワードのみで認証できてしまう入口があるため」と考えられます。

でもそれって、システムとして多要素認証化が実装しきれていないだけな気がします。
いや、しかし、Microsoftの天才な方々が産み出した仕組みですので、きっと、何かがあるのでしょう。

なお、パスワード入力が不要になることで管理が楽になる、という利便性のメリットはあります。
が、パスワードマネージャーに依存していますので、今やその手間もあまり感じませんね・・・

スマホを紛失したらどうするの?

このパスワードレスでは、スマホに入れた「Authenticator」が鍵になります。

では、スマホを紛失したら詰むのでは・・・?と思いましたが、さすがに復旧手順はあります。

パスワードの利用を復活させるようです。
その場合、メールやSMS認証で本人確認を行い、パスワードを設定するようです。

若干、ここがセキュリティホールなのではと感じつつも、スマホ無くしたらメールにアクセスできないかもしれませんし、SMSも受信できないのでは・・・?とも思ってしまいますね。

ただ、こうした新しい仕組みをトライするMicrosoftは、やはり体力のある企業だなぁと感じます。

(個人的には、積極的にパスワードレス化しなくてもよいかなぁと思いました。)

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

バックナンバーを見る

>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
システム設計の教科書(技術評論社)

CTR IMG

株式会社グロリア ご紹介