この世界パスワードデーでは、パスワードを完全に廃止することを検討しています

2022 年 5 月 5 日が世界パスワードの日であることをご存知ですか? ¹ 2013 年にサイバーセキュリティの専門家によって作成され、毎年 5 月の第 1 木曜日に指定された World Password Day は、オンライン生活を安全に保つのに役立つ優れたパスワードの習慣を促進することを目的としています。所得税を申告するための休暇を取るなど、ほとんど誰も対処したくないことを祝うために 1 日を取っておくのは奇妙に思えるかもしれません (実際、それは良い考えかもしれません)。しかし、今日の仕事、学校、ショッピング、ヘルスケア、その他ほとんどすべてのオンラインの世界では、アカウントを安全に保つことがこれまで以上に重要になっています。パスワードは、覚えて追跡するのが難しいだけでなく、攻撃者にとって最も一般的なエントリポイントの 1 つでもあります。実際、毎秒 921 件のパスワード攻撃があり、過去 12 か月間で頻度がほぼ倍増しています。 ²

しかし、パスワードをまったく扱う必要がなかったらどうでしょうか?昨年の秋、マイクロソフトは、誰でも自分の Microsoft アカウントからパスワードを完全に削除できることを発表しました。あなたが私のようで、パスワードを完全に捨てても構わないと思っているなら、Microsoft がどのようにして今日からパスワードのない生活を楽しむことができるようになっているのかを学んでください。それでも、誰もがパスワードに別れを告げる準備ができているわけではなく、すべてのオンラインアカウントに別れを告げることができるわけではないことはわかっています。また、パスワードの衛生状態を改善する簡単な方法についても説明し、パスワードなしでサインインする新しい方法について、 FIDO アライアンスとの協力から得たエキサイティングなニュースを共有します。

Table of contents

パスワードなしのサインインで自由に
多要素認証でセキュリティを強化
パスワードが脆弱なリンクでないことを確認してください
1. 覚えておくべきいくつかの基本事項 – パスワードが次のとおりであることを確認してください。
パスワードレス認証が一般的になりつつある
年間を通じて安全を確保

パスワードなしのサインインで自由に

はい、パスワードなしで Microsoft アカウントに安全にアクセスできるようになりました。 Microsoft Authenticatorアプリ、 Windows Hello 、セキュリティキー、または電話やメールに送信される確認コードを使用することで、Microsoft アプリやサービスをパスワードなしで利用できます。次の 5 つの手順に従ってください。

Microsoft Authenticator (個人の Microsoft アカウントにリンクされています) をダウンロードしてインストールします。
Microsoft アカウントにサインインします。
セキュリティを選択します。 [高度なセキュリティオプション] の下の [追加のセキュリティ]セクションに [パスワードなしのアカウント] が表示されます。
[オンにする] を選択します。
Authenticatorからの通知を承認します。

パスワードなしのアカウントオプションを有効にする方法を説明する Microsoft Authenticator アプリのユーザーインターフェイス。

ユーザーのパスワードを確認する Microsoft Authenticator アプリからの通知が削除されました。

通知を承認すると、Microsoft アカウントにアクセスするためのパスワードは不要になります。パスワードを使用したい場合は、いつでも戻ってパスワードレス機能をオフにすることができます。ここマイクロソフトでは、従業員のほぼ 100% がパスワードレスオプションを使用して企業アカウントにログインしています。

多要素認証でセキュリティを強化

現在、アカウントを保護するために私たちができる簡単な手順の 1 つは、多要素認証を追加することです。これにより、アカウント侵害攻撃の 99.9% がブロックされます。 Microsoft Authenticator アプリは無料で、時間ベースのワンタイムパスコード (TOTP)、プッシュ通知、パスワードなしのサインインなど、複数の認証オプションを提供します。これらはすべて、多要素認証をサポートするすべてのサイトで機能します。 Authenticator は Android と iOS で利用でき、2 段階認証をオンまたはオフにするオプションを提供します。 Microsoft アカウントの場合、多要素認証は通常、初めてサインインするとき、またはパスワードを変更した後にのみ必要になります。デバイスが認識されたら、プライマリサインインのみが必要になります。

Microsoft、Contoso Corporation、Facebook などのさまざまなアカウントを示す Microsoft Authenticator 画面。

パスワードが脆弱なリンクでないことを確認してください

脆弱なパスワードは、攻撃者を締め出すのではなく、侵入経路を提供することがよくあります。さまざまなアカウントで単純なパスワードを使用および再利用すると、オンラインライフが楽になるかもしれませんが、ドアが開いたままになります。攻撃者は定期的にソーシャルメディアアカウントをスクロールして、生年月日、旅行先、ペットの名前など、人々が覚えやすいパスワードを作成するために使用していることがわかっている個人情報を探します。最近の調査では、68% の人が異なるアカウントに同じパスワードを使用していることがわかりました。 ³たとえば、パスワードと電子メールの組み合わせが侵害されると、追加の攻撃に使用するためにダーク Web で販売されることがよくあります。私の友人で、ここマイクロソフトの最高情報セキュリティ責任者 (CISO) である Bret Arsenault は、「ハッカーは侵入するのではなく、ログインするのです」とよく言います。

覚えておくべきいくつかの基本事項 – パスワードが次のとおりであることを確認してください。

12 文字以上の長さ。
大文字と小文字、数字、記号の組み合わせ。
辞書に載っていない言葉でも、人名・商品名・団体名でもありません。
以前のパスワードとはまったく異なります。
侵害された可能性があると思われる場合は、すぐに変更してください。

ヒント:パスワードマネージャーの使用を検討してください。 Microsoft Edgeと Microsoft Authenticator は、パスワードジェネレーターを使用して強力なパスワードを作成 (および記憶) し、アカウントにアクセスするときにそれらを自動的に入力できます。また、次のヒントも参考にしてください。

個人情報は、対面または電話でリアルタイムでのみ共有してください。（SNSではご注意ください。）
リンク付きのメッセージ、特に個人情報を要求するメッセージには懐疑的です。
信頼できる人や組織からのものであっても、ファイルが添付されたメッセージには注意してください。
すべてのモバイルデバイスでロック機能を有効にします (指紋、PIN、または顔認識)。
デバイス上のすべてのアプリが正規のものであることを確認してください (デバイスの公式アプリストアからのみ)。
ブラウザを最新の状態に保ち、シークレットモードで閲覧し、ポップアップブロックを有効にしてください。
Windows 11を使用し、タンパープロテクションを有効にして、セキュリティ設定を保護します。

ヒント:セキュリティの質問に答えるときは、無関係な答えを提供してください。たとえば、Q: 「あなたはどこで生まれましたか?」 A:「緑です。」これにより、ソーシャルメディアアカウントからスキミングされた情報を使用してパスワードをハッキングする可能性のある攻撃者を追い出すことができます。（関係のない回答が覚えやすいものであることを確認してください。）

パスワードレス認証が一般的になりつつある

歴史的なコラボレーションの一環として、FIDO Alliance、Microsoft、Apple、および Google は、共通のパスワードレスサインイン標準のサポートを拡大する計画を発表しました。一般にパスキーと呼ばれるこれらのマルチデバイス FIDO クレデンシャルは、ユーザーがパスワードなしでデバイスに安全かつ迅速にサインインするためのプラットフォームネイティブな方法を提供します。パスキーを使用すると、顔、指紋、またはデバイスの PIN で認証するだけでサインインできます。

一貫したユーザーエクスペリエンスと強化されたセキュリティに加えて、これらの新しい資格情報には他に 2 つの魅力的な利点があります。

ユーザーは、アカウントごとに再登録することなく、多くのデバイスでパスキーに自動的にアクセスできます。新しいデバイスでプラットフォームで認証するだけで、パスキーをすぐに使用できるようになります。これにより、デバイスの紛失から保護され、デバイスのアップグレードシナリオが簡素化されます。
モバイルデバイスでパスキーを使用すると、デバイスが実行しているプラットフォームやブラウザーに関係なく、ほぼすべてのデバイスでアプリやサービスにサインインできます。たとえば、ユーザーは Apple デバイスのパスキーを使用して、Microsoft Windows で実行されている Google Chrome ブラウザーにサインインできます。

これらの新機能は、来年以降、Microsoft、Apple、および Google プラットフォームで利用できるようになる予定です。このタイプのWeb 認証(WebAuthn) クレデンシャルは、認証の新時代を象徴するものであり、安全で一貫した認証エクスペリエンスのための共通標準をサポートするために、FIDO アライアンスや業界の他の企業に参加できることを嬉しく思います。このオープン標準のコラボレーションと、Microsoft Azure Active Directory に導入されるエキサイティングなパスワードレス機能の詳細については、Identity Program Management 担当バイスプレジデントの Alex Simons によるブログ投稿をご覧ください。

年間を通じて安全を確保

パスワードレス認証を提供するための Microsoft の取り組みについて詳しくは、アイデンティティ担当コーポレートバイスプレジデントの Joy Chik によるブログ投稿をご覧ください。また、FAQ やダウンロードリンクを含む、Microsoft でパスワードなしのアカウントを設定するための完全なガイドを読むこともできます。また、 Security Insiderにアクセスして、サイバーセキュリティのソートリーダーへのインタビュー、最新のサイバー脅威に関するニュースなどをご覧ください。

Microsoft セキュリティソリューションの詳細については、当社の Web サイトを参照してください。セキュリティブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹世界パスワードデー、ナショナルデーカレンダー。

² Microsoft Azure Active Directory (Azure AD) の認証ログデータによる。 2022年。

³America’s Password Habits 2021 、Security.org. 2021 年 10 月 1 日。

参考： https ://www.microsoft.com/en-us/security/blog/2022/05/05/this-world-password-day-consider-ditching-passwords-altogether/