先月、Microsoftは「Hello」生体認証プロトコルと「Passport」と呼ばれる別のプロトコルを発表しました。これらは、PIN番号またはHelloプロトコルを使用してアプリやウェブサイトにログインするためのものです。Build 2015において、Microsoftは2つの新しいセキュリティ機能に関する新たな詳細を明らかにしました。
Microsoft は、Hello プロトコルと Passport プロトコルのセキュリティ標準が可能な限り高くなるように取り組んできました。
ハロープロトコル
Helloプロトコルは、指紋、顔、虹彩の3種類の生体認証をサポートしています。モバイル市場では、 Appleによって普及した指紋認証が既に導入されています。また、Androidバージョン4.0以降ではGoogleの「Face Unlock」も導入されています。そして今、Microsoftは虹彩認証も導入しようとしており、これによりユーザー識別の精度が大幅に向上し、なりすましに対する耐性も向上する可能性があります。
Microsoft によれば、Hello は「エンタープライズ グレードのセキュリティ」を備えており、これには、他人受入率 (FAR) が 1/100,000、他人拒否率 2 ~ 4 パーセント、生体認証対策 (カメラに映っているのが単なる写真ではなく、生きている人間であることを保証)、および他のデバイスから受信した画像をブロックすると思われるなりすまし検出システムが含まれます。
すべてのWindows 10デバイスに搭載される「Windows Biometric Framework」により、既存の指紋リーダーがすべてサポートされます。顔認証に関しては、MicrosoftはIntelのReal Senseカメラ(現行シリーズf200以降)をすべてサポートします。赤外線センサーを搭載したすべてのデバイスもサポートされますが、Microsoftの仕様に準拠している場合に限ります。
虹彩認証の仕様はまだ具体化されていないようですが、マイクロソフトは近日中に発表される予定であることを確認しました。また、今後12ヶ月以内に市場に登場する一部のデバイスが虹彩認証をサポートすることも確認しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
パスポートプロトコル
Hello がデバイスを認証し、第三者によるアクセスからデバイスを安全に保つ方法だとすれば、Passport は、安全を保つために長いパスワードを覚える必要がなく、将来誰もが第三者のアプリや Web サイトにログインできるようになることを Microsoft が期待している方法です。
Passport は Hello と連携できるので、たとえば、指紋をサードパーティのサーバーに送信することなく (データベース ハッキングによって指紋が盗まれる危険にさらされる可能性なしに)、ローカルに保存された指紋を使用して Web サイトで認証できるようになります。
生体認証の代替として(生体認証に懐疑的な方のために)、MicrosoftはPIN番号によるアプリやウェブサイトへのログインも許可します。Microsoftは、PINは一般的なパスワードよりも安全だと主張しています。これは、潜在的なハッカーがPassportで保護されたアカウントに侵入するには、PINを知り、さらにユーザーのデバイスにアクセスする必要があるためです。
Microsoftは、PINはデバイスに保存されないと指摘しています。PINはWindowsのセットアップ中に作成され、Helloは設定でPassportと連携するように設定できます。
開発者にとって興味深い情報が他にもいくつかありました。ネイティブのPassport APIはユニバーサルWindowsプラットフォームを通じて提供されるため、当初はアプリのみが利用できます。また、ブラウザ向けのJavaScript APIも今年後半に提供される予定で、ウェブサイトでも利用できるようになります。
Microsoft はまた、Passport を FIDO 2.0 仕様に基づいて標準化することを約束しました。これは、Android や iOS (Apple が選択した場合) を含む他のプラットフォームでも、指紋、顔、虹彩データをサードパーティ プロバイダーに転送することなく、アプリや Web サイトの認証に Passport プロトコルを実装できることを意味します。
GoogleとMicrosoftはどちらもFIDOアライアンスに加盟しているため、FIDOを使用する可能性が高いですが、Appleはこれまで通り独自の方針を維持するでしょう。しかし、これは「パスワードレス認証」の世界にある種の分断をもたらすでしょう。少なくとも、アプリやWebサービスプロバイダーは、FIDO 2.0プロトコルとApple独自のプロトコルの両方をサポートしつつ、生体認証デバイスを持たない人のためにパスワードも引き続きサポートする必要があるでしょう。
@tomshardware 、Facebook 、Google+でフォローしてください。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
