Microsoftは5月1日(米国時間)、「Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins|Microsoft Security Blog」において、Microsoftアカウントのデフォルト認証方式をパスワードレスの「パスキー」に切り替えたと発表した。
これから新規に作成するアカウントはデフォルトでパスワードレスとなり、既存ユーザーもアカウントからパスワードを削除できるようになるという。
-
Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins|Microsoft Security Blog
パスワードの信頼性は低下、より優れた認証への移行が必要
オンラインの世界では顔の見えない個人を特定するために、その個人のみ知り得る情報を確認することで認証が行われてきた。その代表格がパスワードだが、近年の高度化を続けるサイバー攻撃によりその信頼性は年々低下している。Microsoftによると2024年のパスワード攻撃は毎秒7,000件で、2023年の2倍以上に増加したという。
同社はこの要因の一つとして、パスワードレス認証の台頭を挙げている。多くの企業が導入を進めているパスワードレス認証のパスキーは原理的に侵害が難しいことから、攻撃者は侵害可能なパスワードに攻撃リソースを集中している可能性があるという。また、今後パスキーのシェアが拡大していくにつれ、パスワードへの攻撃圧力はさらに強まっていくだろうと指摘している。
今後1年間でパスキーの導入と普及を促進
Microsoftはパスワードに代わる安全かつ簡単な認証方式としてパスキーを推進している。同社が挙げるパスキーを利用するメリットは次のとおり。
- パスワードを覚える必要がなく、ワンタイムコードも必要ない。Windows Helloを使用すると、顔認証、指紋認証、またはPINによるパスキー認証が可能
- パスワードと多要素認証(MFA: Multi-Factor Authentication)を組み合わせた認証方式よりも8倍高速
- 認証成功率はパスワードの32%に対し98%と約3倍
- フィッシング攻撃に強い耐性を備える
今後のMicrosoftアカウントではパスワードレス認証が標準になる。パスキーを登録していない場合、サインイン後にパスキーの登録が求められる。
また、パスキーを登録しない場合においても、安全な認証方式が自動で選択されるようになる。パスワードとワンタイムコードを設定している場合、ワンタイムコードによる認証をデフォルトで要求する。
Microsoftは今回の発表で「The Passkey Pledge(パスキーの誓約)」に署名したと明らかにした。誓約に従い今後1年間でパスキーの導入と普及を促進する。将来的にすべてのサインインをパスワードレスにする目標を掲げており、パスワードを完全に削除する方針とみられる。