Microsoftの新しい「Passwordless by default」は優れているが、コストが伴う

1. Microsoftは新規アカウントにデフォルトでパスワードなしログイン（passkey）を適用する方式を導入したが、実際にはMicrosoft Authenticatorアプリのインストールが必須という制約がある。
2. Passkeyはフィッシングや漏えいに強い次世代の認証方式で、WebAuthn（FIDO2）標準に基づいており、公開鍵／秘密鍵のペアで動作する。
3. この制度はセキュリティを強化する一方で、特定のアプリに依存する構造は、ユーザー体験とセキュリティ上の利点を一部損なう可能性がある。

1. Microsoftの「デフォルトでパスワードなしログイン」方針

• 2025年から新規Microsoftアカウントのデフォルトのログイン方式としてpasskeyを採用。

• 既存ユーザーもログイン時にpasskeyの登録を促されるようになる。

• 目的:

  • パスワードの作成・管理に伴うセキュリティ脅威とユーザー負担を減らすため。
  • パスワードスプレー攻撃や漏えい問題の解決を試みる。

2. 技術概要と実装方式

• Passkeyとは?

  • WebAuthn（FIDO2）ベースで生成された公開鍵／秘密鍵のペアを通じて認証する。
  • 秘密鍵はユーザーのデバイス（スマートフォン、PC、YubiKeyなど）に保存され、外部に漏えいしない。
  • フィッシング、パスワードの再利用、漏えいに本質的に強い。

• 動作原理:

  • サイトが乱数ベースの「チャレンジ」を送信 → デバイス内の認証子（Authenticator）が署名 → サーバーは公開鍵で検証。
  • 鍵は該当URLにバインドされるため、フィッシングサイトでは再利用できない。

3. 制約事項と限界

• 問題点: passkeyを設定しても、Microsoft Authenticatorアプリがなければ完全なパスワード削除は不可能。

  • Authy、Google Authenticatorなどは互換性がない。
  • ユーザーにアプリのインストールを事実上強制する形であり、これは「デフォルトでpasswordless」という主張と矛盾する。

• セキュリティ上の示唆:

  • 依然としてパスワードが残っている場合、passkeyのセキュリティ上の利点の一部が失われる。

• WebAuthnは現在も発展途上であり、ユーザビリティの面でなお不十分な点がある。