2021年9月から、個人向けMicrosoftアカウントのパスワードレス運用が可能になった。Microsoftアカウントからパスワードを削除することで、パスワードが漏洩する機会そのものをなくす取り組みだ。
安全性は高くなるが、パスワードがなくなっても本当に困らないのだろうか? 実際に検証してみた。
Microsoftアカウントのパスワードを完全に削除し、「Microsoft Authenticator」アプリでの承認に切り替えてみた
「パスワード削除しました」
先日、普段使っている個人向けMicrosoftアカウントをパスワードレスに移行した。
これにより、パスワードが完全に削除され、以後、Microsoftアカウントでのサインイン時には、パスワードの代わりにスマートフォンにインストールした「Microsoft Authenticator」アプリでサインインを承認するという手順へ変更された。
方法は簡単で、Microsoftアカウントのウェブページ(要サインイン)で、[セキュリティ]の[高度なセキュリティオプション]で、[追加のセキュリティ]の項目にある[パスワードレスアカウント]の[有効にする]をクリックすればいい。
Microsoftアカウントの設定ページでパスワードレスをオンにする
なお、Microsoft Authenticatorアプリがセットアップされていない場合は、以下からダウンロードして、事前にセットアップをしておく必要がなる。
事前にMicrosoft Authenticatorアプリをセットアップしておく
あとは画面の指示に従ってセットアップしていけば、割とあっさりMicrosoftアカウントからパスワードが削除される。
Microsoft AuthenticatorアプリでQRコードを読み取るか、アプリ側でMicrosoftアカウントでサインインすると関連付けされる
Authenticatorが利用可能になったら、あらためてパスワードレスをオンにする
パスワードがあっさり削除される
あれだけ大事にしてきたパスワードが、こうも簡単に削除されてしまうと、何だか拍子抜けだ。
特に意識しないで済む
しかしながら、実際に削除してみても、さほど状況が変わったようには見えない。
例えば、今、普段通りに自分のPCを利用する際は、以下のような動作になっている。
Windows 11の起動
Windows 11の初期セットアップで設定したWindows Hello PIN、もしくは顔認証でのサインイン。もともとパスワード入力は不要だったので、状況は変わらず。
OneDriveやOutlook.comの利用
Windows 11にサインイン済みのアカウントを利用して自動的にサインインされる。これも以前と変わらず。
Officeアプリの利用
同じくWindows 11のサインイン済みのアカウントで自動サインイン。同じく状況は変わらず。
Microsoftアカウントのウェブページ
通常のページは自動サインイン。[セキュリティ]にアクセスするときのみWindows Hello PINまたは顔認証でサインイン。これも状況は同じ。
このように、自分のPCを使っている限りは、もともとパスワードを入力する機会があまりなかったので、恩恵はさほどないことになる。
では、どういう場合でパスワードレスの認証が発生するのかというと、自分のPC以外、もしくは自分のPCでも新しいウェブブラウザーやプライベートモードのウェブブラウザーなどでMicrosoftのサービスにアクセスする場合に発生する。具体的には、以下のような流れでサインインすることになる
サインイン時に数字が表示される(単にアプリで承認ボタンをタップすればいい場合もある)
アプリ側で同じ数字をタップするとサインインできる
- ウェブブラウザーでOneDriveなどのサイトにアクセス
- サインインをクリック
- Microsoftアカウントを入力
- サインイン要求の送信を実行
- 画面に表示された数字を確認
- スマートフォンのMicrosoft Authenticatorアプリで同じ数字をタップ
自分のPCを利用する場合は、上記の自動サインインや、ローカルのTPMに保存された認証情報をWindows Hello経由で利用することでパスワードの入力が求められることはないが、こうした情報が利用できない場合は、Microsoft Authenticatorアプリを使って承認するという手続きによって、サインインが可能になる。
要するに、パスワードを削除しても、普段の利用で困ることは、ほとんどないわけだ。
パスワードレスで困りそうなケース1:アプリの認証
では、どのようなケースで困る可能性があるかというと、大きく2つ考えられる。
1つ目は、アプリでの認証が必要になるケースだろう。
例えば、メールアプリからIMAPを使ってOutlook.comのメールを取得する場合、アプリがパスワードによる認証しかサポートしてないと、アクセスが遮断されてしまう。Power Automate for desktopなどのRPAツールを使ってメール関連の処理を実行する場合も同様だ。
この場合は、以前から2段階認証の対策などでも使われていたアプリパスワードを利用するしかない。
Microsoftアカウントの設定ページの[セキュリティ]の[高度なセキュリティオプション]で、アプリで利用するためのランダムなパスワードを発行できるので、このパスワードをアプリに設定すればいい。
メールアプリやRPAツールなどで認証する場合はアプリパスワードを利用する
パスワードレスにしたのにパスワードを使う点がモヤモヤするかもしれないが、もちろん、このアプリパスワードを使ってMicrosoftアカウントの設定ページなどにアクセスすることはできない。
パスワードレスで困りそうなケース2:スマホ紛失
続いての困りそうなケースは、スマートフォンの紛失だ。
同様に、スマートフォンのロックが解除できなかったり、Microsoft Authenticatorアプリを削除してしまったりすると、パスワードレスでは困ることになる。
結論から言うと、この場合はパスワードを復帰させることになる。
サインイン画面で「自分のMicrosoft Authenticatorアプリにアクセス権がありません」というリンクをクリックすると、メールやSMS認証での本人確認後、パスワードの追加画面が表示される。
スマートフォンを紛失した場合などは、サインイン画面で「自分のMicrosoft Authenticatorアプリにアクセス権がありません」をクリックする
ここで新たにパスワードを設定することで、Microsoftアカウントにアクセスできるようになる。
登録済みの本人確認手段で本人であることを証明する
新しいパスワードを追加することで、元のパスワードを使ったサインインに戻る
なお、パスワードを追加すると、当然のことながらパスワードレスの設定は無効になる。再びパスワードレスにするには、Microsoftアカウントにパスワードでサインインし、再度、Microsoft Authenticatorアプリによるパスワードレスを有効にする必要がある。
割と気軽に設定できる
以上、Microsoftアカウントのパスワードレスを実際に試してみた。パスワードを削除するというと、結構、勇気がいる操作に思えるが、意外に普段の操作に影響はない上、アプリでの利用も困らないし、万が一の場合の復旧も簡単だ。
簡単なパスワードのままだったり、同じパスワードを使い回すくらいなら、パスワードレスにしてしまった方が安全だし、簡単だ。
気軽に試せるので、一度試してみることをお勧めする。
