パスワードレス認証とは、従来のパスワードを使用しないで本人確認を行う認証方式です。
今回はパスワードレス認証のメリットや、利用可能なオプションについて紹介します。
パスワードレス認証とは
パスワードレス認証
パスワードレス認証とは、従来のパスワードを使用しないで本人確認を行う認証方式です。
以下のような仕組みを用いて認証を行います。
- Windows Hello for Business(以下、WHfB)の指紋・顔認証
- Authenticatorのスマートフォン・セキュリティキー
- 知識情報のPIN+デバイスのユニークな組み合わせ
この説明ですとパスワードを設定しないと思われる方もいるかもしれませんが、パスワードは設定しています。
「パスワードを設定しているが、使用しないで認証が可能になる」ことが、パスワードレス認証の仕組みです。
セキュリティリスクの軽減
- パスワードを使用しないため、漏洩リスクの減少
- パスワードに関連するサーバー攻撃からの保護
利便性の向上
- ユーザーは複数のパスワードを覚える必要がない
- パスワード入力不要で社内システムの利用が可能になる
- 自身でのパスワードリセット可能になるため、セキュリティ管理者の負担を軽減できる(セルフパスワードリセットを有効にした場合)
パスワードレス認証で利用可能なオプション
パスワードレス認証で使用可能なオプションは以下の5つがあります。
- WHfB
- Microsoft Authenticator(Phone sign-in)
- FIDO2 Security Key
- macOSプラットフォーム資格情報
- 証明書ベースの認証
今回は、よく使用される以下の3つを紹介します。
- WHfB
- Microsoft Authenticator(Phone sign-in)
- FIDO2 Security Key
パスワードレスの認証フロー
認証可能なオプションを紹介する前に、パスワードレスの認証フローについて説明します。
まず、前提として、3つのパスワードレス認証は基本的に共通のアーキテクチャを利用します。
いずれも公開鍵をベースとした仕組みであり、秘密鍵は常にデバイスに格納されています。
デバイス側でユーザーアクションが必要 (生体・PIN・認証器)であり、秘密鍵は他のデバイスと共有されません。
下記の流れで認証が行われます。
- 本人の証明 (生体・PIN・認証器)を用いて Windows にサインイン
- クラウド AP プロバイダーが Entra ID に nonce (ランダムな任意の数) を要求
- Entra ID が 5 分間有効な nonce を返却
- クラウド AP プロバイダーが秘密鍵で nonce に署名し Entra ID に送信
- Entra ID が公開鍵を用いて nonce を検証、PRT をクラウド AP に返却
- クラウド AP プロバイダーが PRT を受領*1
- その後 PRT を利用した認証が可能
図解すると以下のようになります。
Windows Hello for Business
パスワードではなく、PINや生体認証(指紋認証・顔認証)を使用し、ログインを可能にします。
※WHfB初回登録時のみ多要素認証(AuthenticatorアプリまたはSMS)が必要です。
WHfBが対応している認証は以下の通りです。
- パスワードレス認証
- Microsoft アカウント(AD DS・Entra ID)
- FIDO v2.0認証
なお、WHfB使用中、 PIN 資格情報プロバイダーは有効とすることが必須となります。無効または非表示にすると、生体認証の使用が出来なくなります。
また、Entraテナントにて、Microsoft PIN リセットサービスを有効にすることをお勧めします。
Microsoft Authenticator
スマートフォンのMicrosoft Authenticatorアプリを使用して、2段階認証やパスワードレスログインを行います。
Microsoft Authenticatorが対応している認証は以下の通りです。
- 多要素認証(MFA)
- パスワードレス認証
- Microsoft アカウント(AD DS・Entra ID)
なお、Authenticatorアプリによるパスワードレスを有効化する際は、あわせてセルフパスワードリセット(SSPR)を有効にすることをお勧めします。
FIOD(パスキー)
ユーザーが所有している、認証器と呼ばれる専用のハードウェアを使用して、デバイスへのログインを行います。
※認証器とFIODサーバーが必要になります。
FIODが対応している認証は以下の通りです
- パスワードレス認証
- Microsoft アカウント(オンプレAD・Entra ID)
- FIDO v2.0認証をサポート
なお、FIDO2 によるパスワードレスを利用する際にも、あわせてセルフパスワードリセット(SSPR)を有効にすることをお勧めします。
おわり
今回はパスワードレス認証について紹介しました。
パスワードレス認証を導入することで、セキュリティを強化し、ユーザーの利便性を向上させることができます。
パスワードの管理やリセットの手間を省き、より安全でスムーズなログイン体験をしませんか?
本記事が少しでもお役に立てれば幸いです。