Microsoft のパスワードレス・ログインが始まったらしい

Microsoft rolls out passwordless login for all Microsoft accounts

2021/09/15 BleepingComputer — Microsoft は、今後の数週間にわたってパスワードレス・ログインのサポートを展開し、顧客がパスワードを使用せずに Microsoft アカウントにサインインできるようにする。Microsoft は、2020年に 1億5,000万人以上のユーザーがパスワードを使用することなく、Azure Active Directory や Microsoft アカウントにログインしていることを報告した後に、3月から商用顧客環境でのパスワードレス認証の展開を許可した。

すべての Microsoft アカウントへの展開

Microsoft は、本日より、ユーザーが自分のアカウントに対して、パスワードを設定する必要がなくなったことを発表した。

それに代えて、Microsoft Authenticator アプリや、Windows Hello、セキュリティキー、電話/電子メール認証コードのいずれかを選択して、Microsoft Edge やMicrosoft 365 にログインできるようになる。Microsoft の Corporate Vice President である Liat Ben-Zur は、「Microsoft アカウントからパスワードを削除して、Windows Hello、Microsoft Authenticator、電話/電子メールに送信される検証コードなどを介して、パスワードレス方法でサインインできるようになった。この機能は、Microsoft 365/Microsoft Teams/Outlook/OneDrive/Family Safety/Microsoft Edge などのアプリやサービスへのアクセスを更に容易にすると同時に、フィッシングなどの ID 攻撃から Microsoft アカウントを保護するのに役立つ」と述べている。

Microsoft の Corporate Vice President for Security Compliance Identity である Vasu Jakkal は、「脅威アクターたちは、企業や消費者のアカウントを対象とした大半の攻撃において、脆弱なパスワードを最初の攻撃ベクターとして使用している。Microsoft では、毎秒 579件というパスワード攻撃を検出しており、また、毎年 180億件のインシデントが発生しています。最近の、ある調査では、15% の人がパスワードのヒントにペットの名前を使っていることが分かった。その他にも、家族の名前や誕生日などの、重要な日付がよく使われている。また、10人に1人が、複数のサイトでパスワードを使い回していることを認め、40%がFall2021 (Winter2021 や Spring2022 に変わる) のような、推測しやすいパスワードに使ったことがあると回答している」と述べている。

今すぐパスワードレスにする方法

Microsoft アカウントへのパスワードレス・ログインを開始するには、まず Microsoft Authenticator アプリをインストールし、個人の Microsoft アカウントにリンクさせる必要がある。続いて、Microsoft アカウント・ページにアクセス/サインインし、「高度なセキュリティオプション」>「追加のセキュリティオプション」で「パスワードレスのアカウント」をオンにする必要がある。最後のステップでは、画面に表示されるプロンプトに従い、Authenticator アプリが表示する通知を承認する必要がある。パスワードレスでアカウントにサインインするための詳細情報は、Microsoft のサポートサイトに掲載されている。

Microsoft の説明によると、「Windows Hello/Microsoft Authenticator/SMSや電子メールのコード、物理的なセキュリティキーなどの、パスワードレスのソリューションにより、安全で便利なサインイン方法が提供される。パスワードには推測/窃取/フィッシングなどの可能性があるが、指紋認証の提供や、適切なタイミングでのモバイル対応をできるのは、あなただけだ」とのことだ。

パスワードの管理は大変で、その上どんどん増えてくるという、辛い日々が続きますよね。Windows HelloMicrosoft Authenticator であれば、との辛さも軽減されることでしょう。ただ、アカウントは Microsoft だけではないので、パスワード地獄から解放されるわけではありません。いま、ちょっと数えてみたら、このブログサイトも含めて、2FA で管理しているアカウントだけで、15個くらいありました。Microsoft も、このレベルを改善しようと思っているのでしょう。でも、その他の、テキトーなやつや、ステアカ/ステパス的なやつは、何個あるのかも分かりません。どう考えても、簡単に解決する問題ではないですね。

%d bloggers like this: