【メルマガ】Microsoftアカウント パスワードレス化って、どう?(2021年11月16日)

Microsoftアカウントが、パスワードレスに対応しました。

一部ユーザーに開放されてから順次展開、という形のようです。

私のアカウントもパスワードレス化ができましたので、こちらについて考えてみます。

パスワードレス化

パスワードを入力しなくてよい、という意味ではなく、「アカウントからパスワードという存在を抹消」する設定です。

本当にパスワードがなくなります。
他ではあまり見ない仕組みなので、設定する時は少しドキドキしますね。
(あまり使っていないMicrosoftアカウントで試しました。)

では、どうやって認証するかというと、「Microsoft Authenticator」というアプリをスマホにいれて、認証します。

もともと、パスワード+多要素認証として使われていましたので、多要素認証を使っていた方は馴染みのあるものかと思います。

Microsoftアカウントにログインしようとしたら、Authenticatorに通知が来て「承認」することで、認証完了する形です。

パスワードを抹消する意味は?

正直、やや腑に落ちない点があります。

高いセキュリティのために「パスワードを抹消する」と言っていますが、「パスワード+多要素認証の方が強くない?」と感じます。
(パスワードもないと、認証できませんから。)

パスワードがあるとセキュリティ強度が下がるというのは、「パスワードのみで認証できてしまう入口があるため」と考えられます。

でもそれって、システムとして多要素認証化が実装しきれていないだけな気がします。
いや、しかし、Microsoftの天才な方々が産み出した仕組みですので、きっと、何かがあるのでしょう。

なお、パスワード入力が不要になることで管理が楽になる、という利便性のメリットはあります。
が、パスワードマネージャーに依存していますので、今やその手間もあまり感じませんね・・・

スマホを紛失したらどうするの?

このパスワードレスでは、スマホに入れた「Authenticator」が鍵になります。

では、スマホを紛失したら詰むのでは・・・?と思いましたが、さすがに復旧手順はあります。

パスワードの利用を復活させるようです。
その場合、メールやSMS認証で本人確認を行い、パスワードを設定するようです。

若干、ここがセキュリティホールなのではと感じつつも、スマホ無くしたらメールにアクセスできないかもしれませんし、SMSも受信できないのでは・・・?とも思ってしまいますね。

ただ、こうした新しい仕組みをトライするMicrosoftは、やはり体力のある企業だなぁと感じます。

(個人的には、積極的にパスワードレス化しなくてもよいかなぁと思いました。)

メルマガ登録


週1回、3分で楽しめるメルマガ『Professional's eye』。
デジタルに詳しくなり、さらにはご自身の意見が持てるようになります!

送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

バックナンバーを見る

>【発売中】情シスの定石(技術評論社)

【発売中】情シスの定石(技術評論社)


情報システム部門の担当者が「絶対に」押さえるべきノウハウを体系化!

・システムの企画から廃止まで、情シスが「何をすべきか」「どう動くべきか」がわかる
・失敗につながる「見えない要因」を明らかにし、成功に導くためのポイントを解説
・情報システム開発に携わるすべての人の必読書

■ こんな方にオススメ
現役「情シス」/ 異動で「情シス」へ / 転職で「情シス」へ
部下・新人育成にお悩みの方 / 業務部門の方
経営者 / 開発ベンダ勤務の方 / 就活生

CTR IMG