前回(第8回)は、簡単なPIN(Personal Identification Number)入力によるWindows 10へのサインインが複雑なパスワードよりも安全な理由、PINによる認証をそのままオンラインサービスの認証に使えるWindows 10の新機能、そして個人向けMicrosoft Passportと企業向けMicrosoft Passport for Workについて説明した。しかし、場合によっては簡単なPINがセキュリティ上の重大な弱点になることもある。そこで今回は、PINの弱点を補う方法を説明する。

簡単なPINはすばやくて安全、一方で、デバイスの紛失・盗難時には弱点に

 前回の最後に説明したが、簡単なPINはサインインに便利であるだけでなく、オンラインサービスの利用が進む現在ではパスワードよりも安全な方法である。PINを使用したサインインでは、PINやパスワードがネットワーク上でやり取りされることはない。また、PINはそのデバイスだけで利用可能なもので、PINが流出したとしてもデバイスが手元にある限り、オンラインのアカウントを悪用されることはない。

 しかし、Windows 10のデバイス(PCやタブレット、Windows 10 Mobileを搭載するスマートフォン)の紛失や盗難、あるいは内部者(例えば、同じ建物にいてPCにリーチ可能な人)による不正なサインインについては、簡単なPINは安全性に劣る。PINが有効であるPCを操作できてしまうためだ。

 Windows 10における既定のPINの要件は、4桁の数字である。4桁の数字で構成されるPINの組み合わせは1万通りしかない。Windows 10では、PINの入力に4回連続で失敗するとチャレンジフレーズ(値は「A1B2C3」である)の入力を要求される。これを入力すると、5回目のPIN入力のチャンスが提供されるが、5回目のPIN入力にも失敗するとPIN入力によるサインインはできなくなる。ところがデバイスを再起動すると、再びPIN入力を試せるようになる。

 そのためデバイスを盗み出した、あるいは拾得した第三者は、人の目も時間も気にすることなく、総当たりで正しいPINを見つけることができるだろう(写真1)。さらに悪意ある内部者による不正なサインインについては、サインイン時のキーボード操作を盗み見るといった方法によって、もっと簡単に正しいPINを知ることができるだろう。

写真1●PINの入力は4回まで失敗できるが、デバイスを再起動すれば再びPINの入力が可能になる
[画像のクリックで拡大表示]

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。