[今月の技術トピック]リリース間近のWindows 10 はココがすごい! 「パスワードを撲滅する Microsoft Passport」
Windows 10 のリリースが間近に迫ってきました。既にプレビュー版をお使いの方も多いでしょう。さて、みなさんは Windows 10 に何を期待していますか?タイルが使えるようになったスタートメニューの復活でしょうか? それとも、はじめて標準実装された「仮想デスクトップ」機能でしょうか?
たしかにそれらも喜ばしい進化なのですが、エンジニアのみなさんに注目していただきたいのが「Microsoft Passport」です。 Microsoft Passport といえば、1999 年に発表されたインターネット上でのシングル サインオンの仕組みを思い出す方もいらっしゃるでしょう。
Windows 10 に実装された新しい Microsoft Passport は、一言でいえば「パスワードを世の中から無くす」ためのテクノロジーです。前回の TechNet Flash でも書いたとおり、平易なパスワードが IT に与える脅威は膨大です。逆にいえば、パスワードが無くなれば大部分の脅威が解消されるとも言えます。
パスワードを使用する運用では、ユーザーはリモートにある認証サーバーにユーザー ID とパスワードを送って認証してもらいます。当然、パスワードは認証サーバーに保存されているので、認証サーバーへの攻撃によってパスワードがバレ、不正利用される可能性があります。
一方、Microsoft Passport では、パスワードの代わりに「秘密キーで署名されたサインイン要求」を認証サーバー送ります。認証サーバーは公開キーでサインイン要求の正当性を確認します。署名に使用される秘密キーは PC の TPM (Trusted Platform Module) に格納されており、TPM を開く際には「PIN」コードを入力します。ユーザーが覚えておかなければならないのは、この PIN コードであり、パスワードを覚える必要がありません。
頭が混乱している方もいらっしゃるでしょう。「パスワードを覚える」ことと「PIN を覚えること」がどう違うのか? PIN は PC に対して設定されています。認証サーバーは PIN を知りません。ユーザーは PIN をローカルの PC に対して入力して秘密キーを取り出す必要があります。
ここで想像してみてください。仮に、パスワードも PIN も「1234」という数字 4 桁が設定されていたとしましょう。そして、このパスワードがバレました。
パスワード運用の場合は、ユーザー ID と 1234 を認証サーバーに渡すことで認証に成功してしまいますが、PIN の場合はどうでしょう?
悪意のある人間に PIN がバレたとしても PC が物理的に盗まれなければ不正なサインイン要求を認証サーバーに送信することができません。これは IC カードを使用した認証と似ているので、さほど難しい概念ではないでしょう。
Microsoft Passport は FIDO Alliance https://fidoalliance.org/ によって策定されたオンライン認証のためのプロトコルに基づいています。マイクロソフトは FIDO Alliance のボード メンバーであり、他の企業とともにパスワードを使用しない認証を推進しています。
是非以下のビデオで詳細をご覧ください。