「Windows 10ミニTips」は各回の作成時点で最新のWindows 10環境を使用しています。

Windows 8.x時代は4桁だったPIN(暗証番号)。Windows 10はその制限を取り払った。我々は銀行のキャッシュカードなどで4桁の暗証番号に慣れ親しんでいるが、「連続した番号」や「誕生日と同じ数字」を禁止しているケースが多いとおり、セキュリティ的には脆弱だ。この点も、Windows 10のPINが4桁以上になった理由のひとつだと思うが、その限界はどこにあるのだろうか。

パスワードは時代遅れ?

Microsoftは、Windows 10の新規インストールプロセスに「PINのセットアップ」を組み込んでいる。「PINはパスワードを使用するより速くで安全」と説明しており、PINはローカルデバイスに情報を保存する点が大きい。Microsoftパスワードはサーバー上に保存しているため、MITM(中間者攻撃)の被害に遭う可能性を拭い切れないからだ。さらに、パスワードの入力機会を極力少なくすることで、漏えいの可能性も大幅に減らしている。

Windows 10の新規インストール時やアップグレード時に現れるPINの設定プロセス

PINを初めて実装したWindows 8は、PINの桁数を4桁に制限していた。同時に実装したピクチャパスワードの機能などを踏まえると、当時はセキュリティ対策というよりも、タッチ環境における利便性の向上を目的としていたのだろう。

Windows 8.1のPIN設定。4桁以上の数字を入力すると「PINは4桁です」と注意される

だが、世界的なセキュリティ対策の流れとして、"パスワードは過去のモノ"という考え方が浸透し始め、Windows 10はPINの実装を強化したのだと思われる(2013年のRSA Conferenceでも「Password is Dead」がキーワードとなった。それ以前も2004年の同カンファレンスでBill Gates氏がパスワードの終焉を予測している)。

PINの桁数は無限大?

PIN桁数の制限撤廃で気になるのは、設定可能な桁数(上限)だ。試しに「0123……」と同じ数値を順に入力していくと、これ以上入力できない旨を示すメッセージは現れない。一見すると無制限のように見える。

PINを変更するには、「Win」+「I」キーを押すなどして「設定」を起動し、「アカウント」→「サインインオプション」と順にクリック/タップしたら、「暗証番号」セクションの「変更」ボタンをクリック/タップする

「0123……」とテキストボックスに新しいPINを入力してみると、延々と入力できるように見える

入力した内容はクリップボードにコピーもできないため、あらかじめ桁数を確認できる文字列を用意して試したところ、入力できるのは「64桁」であることを確認できた。PINはあくまでも自身が記憶できる数字でないと意味をなさないのだが、64桁あればさまざまなニーズに対応できるだろう。

大半の読者はWindows 10アップグレード、もしくは新規インストール時にPIN設定を行っていると思われるが、上記手順で自身が記憶できるPINを設定し、パスワードの漏えい機会を極力減らしてほしい。

阿久津良和(Cactus)