Microsoftは5月1日(米国時間)、「Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins|Microsoft Security Blog」において、Microsoftアカウントのデフォルト認証方式をパスワードレスの「パスキー」に切り替えたと発表した。

これから新規に作成するアカウントはデフォルトでパスワードレスとなり、既存ユーザーもアカウントからパスワードを削除できるようになるという。

  • Pushing passkeys forward: Microsoft’s latest updates for simpler、safer sign-ins|Microsoft Security Blog

    Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins|Microsoft Security Blog

パスワードの信頼性は低下、より優れた認証への移行が必要

オンラインの世界では顔の見えない個人を特定するために、その個人のみ知り得る情報を確認することで認証が行われてきた。その代表格がパスワードだが、近年の高度化を続けるサイバー攻撃によりその信頼性は年々低下している。Microsoftによると2024年のパスワード攻撃は毎秒7,000件で、2023年の2倍以上に増加したという。

同社はこの要因の一つとして、パスワードレス認証の台頭を挙げている。多くの企業が導入を進めているパスワードレス認証のパスキーは原理的に侵害が難しいことから、攻撃者は侵害可能なパスワードに攻撃リソースを集中している可能性があるという。また、今後パスキーのシェアが拡大していくにつれ、パスワードへの攻撃圧力はさらに強まっていくだろうと指摘している。

今後1年間でパスキーの導入と普及を促進

Microsoftはパスワードに代わる安全かつ簡単な認証方式としてパスキーを推進している。同社が挙げるパスキーを利用するメリットは次のとおり。

  • パスワードを覚える必要がなく、ワンタイムコードも必要ない。Windows Helloを使用すると、顔認証、指紋認証、またはPINによるパスキー認証が可能
  • パスワードと多要素認証(MFA: Multi-Factor Authentication)を組み合わせた認証方式よりも8倍高速
  • 認証成功率はパスワードの32%に対し98%と約3倍
  • フィッシング攻撃に強い耐性を備える

今後のMicrosoftアカウントではパスワードレス認証が標準になる。パスキーを登録していない場合、サインイン後にパスキーの登録が求められる。

また、パスキーを登録しない場合においても、安全な認証方式が自動で選択されるようになる。パスワードとワンタイムコードを設定している場合、ワンタイムコードによる認証をデフォルトで要求する。

Microsoftは今回の発表で「The Passkey Pledge(パスキーの誓約)」に署名したと明らかにした。誓約に従い今後1年間でパスキーの導入と普及を促進する。将来的にすべてのサインインをパスワードレスにする目標を掲げており、パスワードを完全に削除する方針とみられる。