PINとデバイスの関連性
Windows Helloを使用すると、ユーザーはPINを使用してデバイスにサインインできます。
PINとパスワードの主な違いは、PINが特定のデバイスに関連付けられていることです。つまり、そのPINはその特定のハードウェアを持っていない人には役に立ちません。
オンラインパスワードを取得したユーザーはどこからでもアカウントにサインインできますが、PINを取得した場合は、デバイスにもアクセスする必要があります。
PINのローカル性
PINはデバイスに対してローカルであり、どこにも送信されないため、サーバーには格納されません。これにより、PINはオンラインパスワードよりも安全とされています。
PINの作成時には、IDプロバイダーとの信頼関係が確立され、認証に使われる非対称キーペアが作成されます。PINを入力すると、認証キーのロックが解除され、認証サーバーに送信される要求の署名に使用されます。
PINのハードウェアサポート
Hello PINは、トラステッドプラットフォームモジュール(TPM)チップによってサポートされています。TPMは、暗号化操作を実行するために設計された安全な暗号プロセッサです。
このチップには、改ざんに強い複数の物理セキュリティメカニズムが搭載されており、悪意のあるソフトウェアがTPMのセキュリティ機能を破ることはできません。
PINの複雑さ
Windows Hello for Business PINには、パスワードと同じIT管理ポリシーのセットが適用されます。これには、複雑さ、長さ、有効期限、使用履歴などが含まれます。管理者は、パスワードのように複雑なPINを要求するポリシーをデバイスに設定できます。
PINの複雑性や有効期限によりかえってユーザビリティとセキュリティが低下することも考えられます。たとえば、複雑で覚えられないPINであればテキストにメモされてしまったり、他サービスで使っているパスワードと同じものを設定されたりする可能性があります。個人的な見解としては、PINは数字のみ6桁で十分だと考えています。
生体認証とPIN
Windows Helloでは、Windowsの生体認証サインイン(指紋、虹彩、顔認識)が有効になります。
Windows Helloを設定すると、生体認証のセットアップ後にPINを作成するように求められます。これにより、生体認証を使用できない場合でも、PINを使用してサインインできます。
PINの安全性:デバイスの盗難時
TPMが保護するWindows Hello資格情報を侵害するには、攻撃者が物理デバイスにアクセスできる必要があります。その後、攻撃者はユーザーの生体認証を偽装したり、PINを推測したりする方法を見つける必要があります。
しかし、TPMのハンマリング防止保護によってデバイスがロックされる前に、これらすべてのアクションを実行する必要があります。
ハンマリング防止保護とは、一定の時間内に許容される試行回数を超えるとデバイスが自動的にロックされるというセキュリティ機能のことを指します。これは、不正なアクセス試行(例えば、パスワードの総当たり攻撃など)を防ぐためのものです。この機能により、攻撃者が短時間に大量のパスワードを試す「ブルートフォース攻撃」を防ぐことができます。
まとめ
以上の理由から、PINはパスワードよりも優れた認証方法と言えます。Windows HelloとPINの組み合わせは、ユーザーのデバイスとアカウントを保護するための強力なツールとなります。
Microsoft 365に関するご相談はWITHWITへ
Microsoft 365に関するご相談やお悩みがございましたら、ぜひWITHWITまでお気軽にお問い合わせください。
数あるクラウドサービスの中でMicrosoft 365 に特化してきたからこそ導入前から導入後の定着に至るまで、幅広いご相談に対応いたします。