Microsoftが消費者アカウント向けのパスキーサポートを発表してから1年後、テクノロジーの巨人は新規アカウントにサインアップする個人に対してフィッシング耐性のある認証方法をデフォルトで使用するよう促す大きな変更を発表しました。
“新しいMicrosoftアカウントは今後、デフォルトで「パスワードレス」になります。”とMicrosoftのJoy ChikとVasu Jakkalが述べました。 “新しいユーザーはアカウントにサインインするためのいくつかのパスワードレスオプションを持ち、パスワードを登録する必要はありません。既存のユーザーはアカウント設定を訪れてパスワードを削除できます。”
Windowsメーカーは、パスワードレスメソッドを優先することでサインインとサインアップのユーザーエクスペリエンスを簡素化したと述べました。さらに、サインインプロセスはユーザーのアカウントで利用可能な最適な方法を自動的に検出し、それをデフォルトとして設定します。
例えば、アカウントにパスワードと「ワンタイムコード」でサインインするオプションがある場合、ユーザーはパスワードの代わりにワンタイムコードでログインするよう促されます。サインイン後、最適な保護のためにパスキーを設定するよう指示されます。
Microsoftの最新の動きは、Apple、Google、Amazon、その他の企業と共に、パスワードレスの未来に向けた着実な進展を示しています。パスワードベースのサイバー攻撃が悪意のある行為者にとって依然として有利な初期アクセスベクターである中、パスキーの採用はアカウントセキュリティにとって重要なステップを示しています。
2023年9月、MicrosoftはWindows 11でのパスキーサポートを展開し、同時期にGoogleはパスキーをデフォルトのログイン方法として全世界のユーザーに導入しました。そして昨年、Windows Helloを更新してこの技術をサポートしました。
パスキーは、パスワードを不要にすることで、ウェブサイトやアプリケーションへのログインをより安全にする方法を提供します。Fast Identity Online (FIDO) Allianceによって支援されているパスキーは、公開鍵/秘密鍵の暗号技術を使用してユーザーを認証します。
したがって、ユーザーがオンラインサービスに登録すると、クライアントデバイス(つまり、電話やPC)が新しい鍵ペアを生成します。秘密鍵はユーザーのデバイスに安全に保存され、公鍵はサービスに登録されます。
サインイン時に、クライアントデバイスはデバイス所有者が生体情報(例:顔認識や指紋)を使用して認証した後、秘密鍵を使用してチャレンジに署名します。
2024年10月、FIDO Allianceは、パスキーやその他の資格情報を異なるプロバイダー間でより簡単にエクスポートし、資格情報プロバイダーの相互運用性を向上させるために、利害関係者と協力していると述べました。昨年12月時点で、150億以上のユーザーアカウントがパスワードの代わりにパスキーを使用してサインインできます。
このオープンな業界団体は先月、支払いユースケースのためのFIDOソリューションを定義し推進するために、Payments Working Group (PWG)を立ち上げました。
PWGは、「支払い認証要件に対応するための既存および新興のソリューションを特定し評価する」ことを期待されており、「既存の支払い技術と共にパスキーおよび/または提案されたFIDOソリューションの使用ガイドラインを確立する」ことを目指しています。