Windows 10ではPINを推奨する画面が登場

Windows 10の初期設定(セットアップ)で、「パスワードは時代遅れです」という画面が表示され、驚いた人も少なくないことでしょう。

パスワードは時代遅れです

Windows 10の初期設定で表示される画面。ローカルアカウントからMicrosoftアカウントに切り替えるときにも、これと同様の画面が表示されます。

Windows 10では、従来のパスワードでのサインインに代わり、「PIN」(ピン)によるサインインが推奨されるようになりました。PINとは、「1234」のような4桁以上の数字です。これはWindows 8.1にも搭載されていた機能で、パソコンの起動時にパスワードの代わりに、4桁以上の数字を入力してサインインします。長いパスワードを入力しなくて済むので、手軽にサインインすることができます。

では、なぜPINが推奨され、従来のパスワードが時代遅れなのでしょうか? 以下の表は、パスワードとPINを比較したものです。

Microsoftアカウントのパスワード PIN
具体例 P@$sw0rd 1234
複雑さ
格納場所 インターネット上 パソコン上
利用するサービス サインイン
Outlook.com
OneDrive
Office 365
Xbox Live
サインイン
クレジットカード情報 関連付けあり 関連付けなし

長さや複雑さは、もはや問題ではない

「具体例」の行に記載した値を見てもわかる通り、文字列の複雑さではパスワードが有利です。記号や数字、大文字小文字を織り交ぜて長いパスワードにすれば、第三者が推測しようとしても、なかなか当てることはできません。

これに対して、PINは最低で4桁と短く、使われるのも数字のみと単純です。しかし、問題は長さや複雑さではありません。

複雑さが有効に働くのは、不正にアクセスしようとしている第三者が、パスワードを推測しようとした場合です。よくある単語を組み合わせたり、値を少しずつ変えたりして、総当たりでパスワードを解析しようとしてきた場合、この複雑さが生きてきます。

しかし、現在の不正アクセスの手口は、こういった総当たりだけではありません。「複雑なパスワード=安全」とは、言い切れないのです。むしろ、注目しなければならないのは「そのパスワードの格納場所がどこなのか?」(パスワードの認証先がどこなのか?)という点です。

パスワードの漏えいは深刻な被害に直結する

たとえば、会社や電車の中、外出先など、第三者の目に触れる可能性がある場所でパソコンを使う場合を考えてみましょう。

サインイン画面でパスワードを入力するところをのぞき見されたとしたら......

運悪く、サインイン画面でパスワードを入力するところをのぞき見されたとしたら......

サインイン画面で入力するMicrosoftアカウントは、インターネットに接続できる端末であれば、どの端末でも利用できます。つまり、パスワードをのぞき見した第三者は、入手したパスワードを使って、自分の端末からWindowsへのサインイン、Outlook.comへのアクセス、OneDriveからのダウンロード、Windowsストアでのアプリの購入など、さまざまなことが可能になってしまうことになります。

要するに、パスワードそのものが漏えいした場合、もはやパスワードの文字列の複雑さは意味をなさないのです。

HINTアカウントの不正使用を防止する「2段階認証」

マイクロソフトでは、Microsoftアカウントの不正使用を防止するために、2段階認証の技術を提供しています。普段と異なる端末でサインインする際に、あらかじめ登録しておいた携帯電話やメールアドレスに送信されたコードを入力することで、本人であることを確認することができます。

2段階認証について - Windowsヘルプ

端末とセットでしか意味をなさないPIN

では、同じ状況がPINだと、どう変わるのかを見てみましょう。

サインイン画面でPINを入力するところをのぞき見されたとしたら......

サインイン画面でPINを入力するところをのぞき見されたとしたら......

万が一、PINを入力するところを見られたとしても、先ほどのパスワードの例のように、そのPINを使って第三者が自分の端末から、あなたになりすましてサインインすることはできません

なぜなら、PINは前掲の表の通り、サインイン先がパソコンとなるからです。設定したPINはパソコン上に保存されているので、設定したパソコンとセットでしか使えません。このため、第三者が自分のパソコンに盗み見たPINをいくら入力しても、パソコンにサインインしたり、インターネット上のサービスにアクセスしたりすることはできないのです。

マルウェア対策が主な目的

もちろん、パソコンを一緒に盗まれたり、第三者が自分のパソコンを直接操作したりすれば、不正アクセスを防ぐことはできません。このため、上記のような第三者がパスワードを直接のぞき見するというケースは、電車内でタブレット端末を使うケースなど、限られた場合といえます。

むしろ注意が必要なのは、マルウェアによるパスワードの漏えいでしょう。

メールの添付ファイルを開いたら、突然、Windowsのサインイン画面とそっくりな画面が表示されたとしたら......

メールの添付ファイルを開いたら、突然、Windowsのサインイン画面とそっくりな画面が表示されたとしたら......

このとき、Microsoftアカウントのパスワードをそのまま入力すれば、マルウェアを通じてパスワードがそのまま漏えいしてしまうことになります。しかし、PINであれば、前述したように設定したパソコンとセットでないと意味がないため、マルウェア経由で第三者がPINを入手しても使い道がなく、なりすましの被害は発生しません。

PINは楽でもあり、安全でもある

Windows 10でPINの利用が推奨されているのは、以上のような理由からです。

もちろん、Microsoftアカウントのパスワードをそのまま使い続けることが、すぐに危険というわけではありません。ただし、マルウェアの攻撃方法が複雑化している現在を考えると、どこからでもサインインに使え、いろいろなサービスに共通で使えてしまうパスワードを常用することは、それだけ危険にさらされる機会も増えることになります。

大切なパスワードは隠しておき、普段はPINでサインインするのが、楽でもあり、安全でもあるというわけです。実際にPINでサインインするための設定方法については、「Windows 10にPINでサインインする - サインインオプションでの設定」で解説します。

(清水理史&できるネット編集部)

関連まとめ記事