Microsoftアカウント作成時の「お約束」だったパスワード設定が、過去のものになろうとしている。同社は、新たに作成されるMicrosoftアカウントにおいて、パスワードを使用しない認証方法を標準(デフォルト)とする方針を発表した。これは、長年続いたパスワード依存からの脱却を目指す、大きな一歩と言えるだろう。
迫りくる脅威と「パスワードの限界」
なぜMicrosoftは、このタイミングで「パスワードレス・デフォルト」という大胆な方針転換に踏み切ったのだろうか。その背景には、深刻化するサイバー攻撃の脅威と、パスワードという認証方式そのものが持つ根本的な脆弱性がある。
Microsoftによると、パスワードを狙ったサイバー攻撃は驚異的なペースで増加しており、昨年には1秒あたり7,000件ものパスワード攻撃が観測されたという。これは2023年の2倍以上の数値であり、攻撃者たちがパスワードで保護されたアカウントを狙い撃ちにしている現状を浮き彫りにしている。フィッシング詐欺、ブルートフォース攻撃(総当たり攻撃)、クレデンシャルスタッフィング(漏洩した認証情報の使い回し)といった古典的だが効果的な攻撃手法によって、今もなお多くのユーザーアカウントが危険に晒されているのが実情だ。
こうした状況下で、Microsoftはパスワードに代わる、より安全で使いやすい認証方式への移行を長年推進してきた。その代表例が、顔認証や指紋認証、PINコードを用いる「Windows Hello」だ。2014年頃から構想され、導入されたWindows Helloは、デバイスへのログイン体験を大きく変えた。現在、WindowsデバイスにMicrosoftアカウントでサインインするユーザーの99%以上がWindows Helloを利用しているという事実は、パスワードレス認証がユーザーに受け入れられている証左と言えるだろう。
しかし、デバイスへのログインだけでは不十分だ。Webサイトやアプリなど、あらゆるサービスへのサインインをパスワードレス化する必要がある。そこで登場したのが、業界標準のパスワードレス認証技術「パスキー」である。Microsoftは、FIDO Alliance(パスワードレス認証の標準化団体)のボードメンバーとして、パスキーの普及に積極的に貢献してきた。
パスキーは、公開鍵暗号方式に基づいた認証技術で、ユーザーのデバイス(スマートフォンやPCなど)に安全に保存された秘密鍵と、サービス提供者側のサーバーに登録された公開鍵を使って認証を行う。ユーザーは、デバイスの生体認証(顔、指紋)やPINコードを使って本人確認を行うだけで、パスワードを入力する必要がない。これにより、フィッシング詐欺のリスクを大幅に低減し、複雑なパスワードを記憶・管理する手間からも解放される。
Microsoftは昨年、個人向けアカウント(XboxやCopilotなど)でのパスキー対応を開始し、現在では毎日100万件近くのパスキーが登録されているという。パスキー利用者のログイン成功率は約98%に達し、パスワード利用者の32%を大きく上回る。さらに、ログインにかかる時間も、パスワードと多要素認証の組み合わせと比較して8倍速いというデータも示されている。安全性と利便性の両面で、パスキーがパスワードを凌駕することは明らかだ。
こうした背景と実績を踏まえ、Microsoftはパスワードレス化への流れをさらに加速させるべく、「パスワードレス・デフォルト」という新たな方針を打ち出したのだ。
「パスワードレス・デフォルト」で何が変わる?新規・既存ユーザーへの影響
では、「パスワードレス・デフォルト」とは具体的にどのようなものなのだろうか。
Microsoftの説明によれば、今後、新たに作成されるMicrosoftアカウントでは、アカウント作成プロセス中にパスワードの設定を求められなくなる。代わりに、Windows Hello(顔、指紋、PIN)、セキュリティキー、スマートフォンの認証アプリ、メールやSMSで送られるワンタイムコードなど、利用可能なパスワードレス認証の中から最適なものがデフォルトとして設定される。ユーザーは、最初からパスワードを登録する必要がない、文字通りの「パスワードレス」なアカウントを持つことになる。
これは、従来の「まずパスワードを設定し、その後でパスワードレス認証を追加する」というステップからの大きな転換だ。もちろん、ユーザーが希望すれば、従来通りパスワードを設定・利用することも可能とみられるが、あくまでデフォルトは「パスワードレス」となる。
一方、既存のMicrosoftアカウントについては、自動的にパスワードが削除されるわけではない。しかし、Microsoftは既存ユーザーに対しても、アカウント設定画面からパスワードを削除し、パスキーなどのパスワードレス認証へ移行することを推奨している。
さらにMicrosoftは、「パスワードレス・プリファード・サインイン」という仕組みも導入する。これは、ユーザーが複数の認証方法を設定している場合、最も安全で利便性の高い方法(例えばパスキー)を自動的に検出し、それをデフォルトのサインイン方法として提示するというものだ。例えば、パスワードとワンタイムコードを設定している場合、次回ログイン時にはワンタイムコードでの認証が優先的に促される。そしてログイン後には、パスキーの登録が推奨される。一度パスキーを登録すれば、次回以降はパスキーでのサインインがデフォルトとなる。Microsoftの実験では、この新しいUXにより、パスワードの使用が20%以上減少したという。
このように、Microsoftは新規ユーザー、既存ユーザー双方に対して、段階的にパスワードへの依存度を下げ、パスキーを中心としたパスワードレス認証への移行を強力に推進していく構えだ。
ユーザー体験はどう変わる?利便性とセキュリティの両立へ
パスワードレス化は、ユーザーにとってどのようなメリットをもたらすのだろうか。
最大のメリットは、やはりセキュリティの向上だ。パスキーはフィッシング耐性が高く、サーバー側に漏洩する可能性のあるパスワード情報が存在しないため、従来のパスワード認証に比べて格段に安全性が高い。パスワード攻撃の脅威から解放されることは、ユーザーにとって大きな安心材料となるだろう。
次に挙げられるのが、利便性の向上だ。複雑なパスワードをいくつも覚えたり、定期的に変更したりする必要がなくなる。ログイン時には、顔認証や指紋認証、あるいは使い慣れたPINコードを入力するだけで済むため、ログインプロセスが格段に速く、簡単になる。Microsoftが示すデータ(ログイン成功率98%、速度8倍)は、その利便性を裏付けている。
Microsoftは、こうした変化をユーザーにスムーズに受け入れてもらうため、サインイン画面のユーザーエクスペリエンス(UX)も刷新した。新しいデザインは、よりモダンで洗練され、パスワードレス認証やパスキーを優先的に案内するよう最適化されている。
ただし、完全に手放しで喜べるわけではないかもしれない。パスキーはデバイスに紐づくため、複数のデバイス(PC、スマートフォン、タブレット)で同じアカウントを利用する場合、各デバイスでパスキーを登録・管理する必要がある。また、デバイスを紛失したり、機種変更したりした場合のリカバリープロセスについても、ユーザーは理解しておく必要があるだろう。とはいえ、これらの課題についても、FIDO Allianceを中心に業界全体で解決策が検討されており、クラウド同期などの技術によって利便性は向上しつつある。
パスワードは消えゆく運命か?今後の展望と残された課題
Microsoftは、「パスワードサポートを最終的に完全に取り除くことができるまで、パスワード認証の数は減少し続けるだろう」と述べており、将来的にはパスワードを完全に廃止する可能性を示唆している。
今回の「パスワードレス・デフォルト」化は、その目標に向けた重要な布石となる。AppleやGoogleといった他のプラットフォーマーもパスキー対応を進めており、業界全体としてパスワードレス化の流れは加速している。5月1日は、これまでの「World Password Day」に代わり、新たに「World Passkey Day」として制定され、Microsoftを含む多くの企業がパスキーの普及促進を誓約している。パスワードが過去の遺物となる日は、そう遠くないのかもしれない。
しかし、完全にパスワードレスな世界が実現するには、まだいくつかの課題も残されている。
- ユーザーへの啓発と教育: パスキーの仕組みやメリット、安全な管理方法について、ユーザーの理解を深める必要がある。
- サービス側の対応: より多くのWebサイトやアプリがパスキー認証に対応する必要がある。現状では、まだパスワード認証しか提供していないサービスも多い。
- レガシーシステムとの互換性: 古いシステムやデバイスを利用しているユーザーへの配慮や、移行支援策も必要となるだろう。
- アカウントリカバリー: デバイス紛失時など、パスキーが利用できない状況での安全かつ確実なアカウント回復手段の確立が重要となる。
これらの課題を乗り越え、真に安全で便利なデジタル社会を実現するために、Microsoftをはじめとする業界全体の継続的な努力が求められる。
Source
