パスワードレス認証のメリットと利用可能なオプション

パスワードレス認証とは、従来のパスワードを使用しないで本人確認を行う認証方式です。

今回はパスワードレス認証のメリットや、利用可能なオプションについて紹介します。

パスワードレス認証とは

パスワードレス認証

パスワードレス認証とは、従来のパスワードを使用しないで本人確認を行う認証方式です。

以下のような仕組みを用いて認証を行います。

  • Windows Hello for Business(以下、WHfB)の指紋・顔認証
  • Authenticatorのスマートフォン・セキュリティキー
  • 知識情報のPIN+デバイスのユニークな組み合わせ

この説明ですとパスワードを設定しないと思われる方もいるかもしれませんが、パスワードは設定しています。

「パスワードを設定しているが、使用しないで認証が可能になる」ことが、パスワードレス認証の仕組みです。

セキュリティリスクの軽減

  • パスワードを使用しないため、漏洩リスクの減少
  • パスワードに関連するサーバー攻撃からの保護

利便性の向上

  • ユーザーは複数のパスワードを覚える必要がない
  • パスワード入力不要で社内システムの利用が可能になる
  • 自身でのパスワードリセット可能になるため、セキュリティ管理者の負担を軽減できる(セルフパスワードリセットを有効にした場合)

パスワードレス認証で利用可能なオプション

パスワードレス認証で使用可能なオプションは以下の5つがあります。

  • WHfB 
  • Microsoft Authenticator(Phone sign-in)
  • FIDO2 Security Key
  • macOSプラットフォーム資格情報
  • 証明書ベースの認証

今回は、よく使用される以下の3つを紹介します。

  • WHfB
  • Microsoft Authenticator(Phone sign-in)
  • FIDO2 Security Key

パスワードレスの認証フロー

認証可能なオプションを紹介する前に、パスワードレスの認証フローについて説明します。

まず、前提として、3つのパスワードレス認証は基本的に共通のアーキテクチャを利用します。

いずれも公開鍵をベースとした仕組みであり、秘密鍵は常にデバイスに格納されています。

デバイス側でユーザーアクションが必要 (生体・PIN・認証器)であり、秘密鍵は他のデバイスと共有されません。

下記の流れで認証が行われます。

  1. 本人の証明 (生体・PIN・認証器)を用いて Windows にサインイン
  2. クラウド AP プロバイダーが Entra ID に nonce (ランダムな任意の数) を要求
  3. Entra ID が 5 分間有効な nonce を返却
  4. クラウド AP プロバイダーが秘密鍵で nonce に署名し Entra ID に送信
  5. Entra ID が公開鍵を用いて nonce を検証、PRT をクラウド AP に返却
  6. クラウド AP プロバイダーが PRT を受領*1
  7. その後 PRT を利用した認証が可能

図解すると以下のようになります。

Windows Hello for Business

パスワードではなく、PINや生体認証(指紋認証・顔認証)を使用し、ログインを可能にします。

※WHfB初回登録時のみ多要素認証(AuthenticatorアプリまたはSMS)が必要です。

WHfBが対応している認証は以下の通りです。

  • パスワードレス認証
  • Microsoft アカウント(AD DS・Entra ID)
  • FIDO v2.0認証

なお、WHfB使用中、 PIN 資格情報プロバイダーは有効とすることが必須となります。無効または非表示にすると、生体認証の使用が出来なくなります。

また、Entraテナントにて、Microsoft PIN リセットサービスを有効にすることをお勧めします。

Microsoft Authenticator

スマートフォンのMicrosoft Authenticatorアプリを使用して、2段階認証やパスワードレスログインを行います。

Microsoft Authenticatorが対応している認証は以下の通りです。

  • 多要素認証(MFA)
  • パスワードレス認証
  • Microsoft アカウント(AD DS・Entra ID)

なお、Authenticatorアプリによるパスワードレスを有効化する際は、あわせてセルフパスワードリセット(SSPR)を有効にすることをお勧めします。

FIOD(パスキー)

ユーザーが所有している、認証器と呼ばれる専用のハードウェアを使用して、デバイスへのログインを行います。

※認証器とFIODサーバーが必要になります。

FIODが対応している認証は以下の通りです

  • パスワードレス認証
  • Microsoft アカウント(オンプレAD・Entra ID)
  • FIDO v2.0認証をサポート

なお、FIDO2 によるパスワードレスを利用する際にも、あわせてセルフパスワードリセット(SSPR)を有効にすることをお勧めします。

おわり

今回はパスワードレス認証について紹介しました。

パスワードレス認証を導入することで、セキュリティを強化し、ユーザーの利便性を向上させることができます。

パスワードの管理やリセットの手間を省き、より安全でスムーズなログイン体験をしませんか?

本記事が少しでもお役に立てれば幸いです。

執筆担当者プロフィール
千葉 美風子

千葉 美風子(日本ビジネスシステムズ株式会社)

Microsoft 365 製品などのクラウド及びオンプレを中心とした案件に携わっています。 趣味はスノボと散歩です。

担当記事一覧