個人的な興味から、数年前から Windows Hello for Business などを利用したセキュリティ強度を高めたコンピューター環境を推進していきたいと思っているのですが、パスワードレスの方向性をユーザーにイメージしてもらうのってなかなか大変なのです。
PIN もパスワードも同じ文字だし、何なら PIN のほうが文字数が少なくて危なそう。といわれるケースも多くありました。
これを伝えるために絵をかいたりもするのですが、やっぱりわかりにくい。
というところを docs がうまく伝えてくれていたので連携しておきたいと思います。
上記を見てもらうとわかるように、パスワードはキーをクライアントとサーバーがそれぞれ持っているのに対し、 PIN はサーバーにコピーを持たない。と書かれています。
また、 PIN はパスワードより強い。の意味をアンチハンマリング機能として規定しています。(ハンマリングだと物理破壊の意味が強く感じますが、総当たり攻撃への強度も含むのですね。)
要はパスワードと PIN は別もので、数を打ってあてに行けるかどうかの差が強さにつながる。ということを述べているようです。
個人的には PIN の裏にある PKI をモチーフにしたサーバー側への不正侵入に対する強度(パスワードのように数打てば当たる。ではないということ。)を安全性とみているのかと思っていたので、かなり新鮮な内容として読ませてもらいました。
いずれの解釈にせよ、パスワードはあてられる可能性が高く PIN は低いという点で安全性は PIN に分があるのは間違えがないことなのかと思います。
Microsoft 365 にアクセスするための 組織アカウントや マイクロソフトアカウントは簡単にパスワードから PIN ベースの認証に変えることができます。
今まだパスワードを中心に利用されているのであれば、そろそろ置き換え時なのは間違えないので、ぜひ取り組んでみていかれるとよいと思います!
音楽:龍馬
