- Microsoftは詐欺リスクの上昇により、SMS認証とリカバリーの廃止を段階的に進めると述べています
- 同社はパスキーと検証済みメールなどのパスワードレス方式によるアカウントセキュリティへのシフトを進めています
- 研究者はパスキーワークフローのブラウザベースの欠陥について警告していますが、SMSは2FAとして安全でないと広く批判されています
Windows 11は、Microsoftが機能の廃止予定を明かした後、SMSを通じたMicrosoftアカウントの認証またはリカバリーができなくなります。
Microsoftウェブサイトに公開された新しい勧告の中で、同社はSMSの廃止を開始すると述べており、理由として「SMSベースの認証は現在詐欺の主要な原因です」と述べています。
同社は廃止がいつ完了するかについての具体的なタイムラインを示しませんでしたが、代わりに「認証の未来はパスワードレス、安全で、ユーザーフレンドリーです」と強調しました。
パスキーは本当にパスワードより優れているのか?
「パスワードレスアカウント、パスキー、検証済みメールに移行することで、進化する脅威への対抗を支援しながら、アカウントアクセスをより簡単でシームレスにすることができます」と勧告に記されています。
パスキーはパスワードおよびOTPシークレットとは異なる方法で動作します。忘れたり盗まれたりする可能性のあるものを入力する代わりに、パスキーは暗号化キーのペアを使用します。1つはデバイスに保存され、もう1つはサービスに保存されます。
ユーザーがログインするとき、デバイスは指紋、顔スキャン、またはデバイスPINなどを使用して正しいキーを持っていることを証明します。実際のシークレットキーはデバイスを離れることはなく、パスキーをフィッシングおよびデータ漏洩に対してより安全にします。
それらは数十年後、最終的にパスワードを「排除」する、より優れたソリューションとして宣伝されています。
しかし、誰もが同意しているわけではありません。2025年に、SquareX研究者は新しい結果を提示しました。その中で、パスキーワークフローを管理するために依存するブラウザそのものが、その保護をバイパスする方法で悪用される可能性があると主張しています。
「パスキーは非常に信頼される認証形式であるため、ユーザーが生体認証プロンプトを見ると、それがセキュリティのシグナルであると認識します」とSquareX研究者のShourya Pratap Singhは当時述べていました。「彼らが知らないのは、攻撃者がブラウザでパスキーワークフローをインターセプトすることで、パスキー登録と認証を簡単に偽造できるということです。これはほぼすべてのエンタープライズおよびコンシューマアプリケーション、重要な銀行やデータストレージアプリを含めて、危険にさらします。」
いずれにせよ、あらゆる形式の認証のためのSMSを廃止することは賞賛に値します。ここ数年、セキュリティ研究者はSIMスワップが人々のアカウントを引き継いで破壊を引き起こすことを非常に簡単にしているため、2FAまたはあらゆるその他の形式の認証にSMSを使用すべきではないと警告しています。
