Microsoft、新規アカウントを標準でパスワードレスに

従来のように、どこかで流出すれば使い回されかねない文字列のパスワードを入力する代わりに、対応アプリやWebサイトでは、顔認証、指紋、PINなどを使ってパスキーでサインインできます 。報道では、パスキーはWebAuthnベースの資格情報で、公開鍵暗号を使い、秘密鍵はユーザーの端末側に保存される仕組みだとも説明されています 。

端末やサービスによって使える方法は異なりますが、Microsoftのパスワードレス選択肢には、パスキー、Windows Hello型の顔・指紋・PINによるサインイン、Microsoft Authenticatorアプリ、物理セキュリティキーなどが含まれると報じられています 。

既存ユーザーはどうなる？

注意したいのは、既存のMicrosoftアカウントからパスワードサインインが一斉に消えるわけではない、という点です。Microsoftや関連報道は、今回の標準変更を「新しく作成されるMicrosoftアカウント」に関するものとして説明しています 。

ただし、既存ユーザーも同じ方向へ移行できます。Microsoftは、ユーザーがアカウント設定からパスワードを削除できると説明しており、対応する場面ではパスキーの利用を広げるよう促しています 。

とはいえ、急いでパスワードを消す前に確認したい点があります。Microsoftはパスキーを「対応アプリやWebサイト」で使えるサインイン方法として説明しているため、手元の端末で確実にパスキーを使えるか、端末をなくした場合の復旧手段があるかを確認してから移行するのが現実的です 。

なぜMicrosoftはパスワードを標準から外したいのか

Microsoft側の主張は明快です。パスワードは攻撃者に狙われやすい弱点になりがちです。今回の発表は、フィッシング、総当たり攻撃、クレデンシャルスタッフィングといったパスワードを悪用する攻撃への対策として位置づけられています 。

パスキーは、共有された文字列を入力する従来型のモデルではなく、対応サービス上で端末ベースの認証を使うため、フィッシングに強い方式として設計されています 。Microsoftは使いやすさも強調しており、RCPmagは、パスキーでのサインイン成功率が約98％であるのに対し、パスワードでのサインイン成功率は約32％だとするMicrosoftの説明を報じています 。

利用者がこれから意識すべきこと

これからMicrosoftアカウントを作る場合、サインアップの流れはまずパスワードレスの方法へ案内されると考えてよさそうです。既存ユーザーにとっては、突然の締め出しというより、移行の選択肢がより前面に出てきたと見るべきでしょう。

移行するなら、まずパスキーを追加し、復旧用のメールアドレスや電話番号などの手段を確認し、そのうえでアカウント設定からパスワード削除を検討するのが安全です 。

方向性ははっきりしています。Microsoftはパスキーを「パスワードの代替手段」として用意するだけでなく、新規アカウントの標準的なサインイン経路そのものをパスワードレスへ切り替えようとしています 。