PIN がパスワードより安全な理由

適用対象

  • Windows 10
  • Windows 10 Mobile

Windows 10 の Microsoft Hello を使うと、ユーザーは PIN を使ってデバイスにサインインできます。 PIN とパスワードの違い (および PIN が優れている理由) 一見、暗証番号 (PIN) はパスワードとよく似ています。 PIN は数字の組み合わせであることが一般的ですが、エンタープライズ ポリシーによっては、特殊文字や大文字と小文字を含む複雑な PIN が使われることもあります。 例えば t758A! のような文字列を アカウント パスワードや Hello PIN として使用できます。 PIN がパスワードよりも安全とされる理由は、その構造 (長さや複雑さ) にあるのではなく、PIN がどのように機能するかという点にあります。

PIN はデバイスと密接に関連付けられています。

パスワードと Hello PIN の重要な違いの 1 つは、Hello PIN は、PIN が設定された特定のデバイスに関連付けられることです。 その PIN は、その特定のハードウェアを持っていない人には役に立ちません。 パスワードが盗まれた場合は、被害を受けたアカウントにどこからでもサインインされる可能性があります。しかし、PIN が盗まれたとしても、物理デバイスも盗まなければその PIN は役に立ちません。

PIN を設定した本人でさえも、その特定のデバイス以外で同じ PIN を使うことはできません。 複数のデバイスにサインインする場合は、各デバイスで Hello をセットアップする必要があります。

PIN はデバイスに対してローカルです。

パスワードはサーバーに転送されるため、転送中に傍受されたり、サーバーから盗まれたりする可能性があります。 一方、PIN はデバイスにローカルであり、どこにも転送されず、サーバー上に保存されることもありません。 PIN の作成時には、ID プロバイダーとの信頼関係が確立され、認証に使われる非対称キー ペアが作成されます。 PIN を入力すると、認証キーのロックが解除され、認証サーバーに送信される要求がそのキーで署名されます。

注意

認証時に Hello でどのように非対称キー ペアが使われるかについて詳しくは、「Windows Hello for Business」をご覧ください。

PIN はハードウェアによってサポートされいます。

Hello PIN は、トラステッド プラットフォーム モジュール (TPM) チップによりサポーとされています。TPM は、暗号化操作を実行するために設計された安全な暗号プロセッサです。 このチップには、改ざんに強い複数の物理セキュリティ メカニズムが搭載されており、悪意のあるソフトウェアが TPM のセキュリティ機能を破ることはできません。 Windows 10 Mobile に対応したすべての電話と最新の多くのノート PC には、TPM が搭載されています。

ユーザーのキー生成情報は、ユーザー デバイスのトラステッド プラットフォーム モジュール (TPM) 内で生成され、使うことができます。つまり、キー生成情報を取得して再利用しようと思っている攻撃者から保護することができます。 Hello は非対称キー ペアを使用するため、ユーザーがアクセスする ID プロバイダーや Web サイトのセキュリティが侵害されている場合でも、ユーザーの認証情報が盗まれることはありません。

TPM は、PIN のブルート フォース攻撃など、さまざまな既知の潜在的な攻撃を防ぎます。 正しくない入力が何度も試みられると、デバイスはロックされます。

PIN は複雑になることがあります。

Windows Hello for Business PIN に使用する Passport PIN には、複雑さ、長さ、有効期限、使用履歴など、パスワードと同じ IT 管理ポリシーのセットが適用されます。 PIN は 4 桁のコードにするのが一般的ですが、管理者は、パスワードのように複雑な PIN を要求する ポリシー を管理対象のデバイスに設定できます。 特殊文字、大文字、小文字、数字の使用を要求または禁止することができます。

ノート PC や電話が盗まれた場合の影響

攻撃者は、物理デバイスにアクセスし、ユーザーの生体認証を偽装したり、PIN を推測したりする方法を見つけない限り、TPM によって保護されている Windows Hello の認証情報のセキュリティを侵害することはできません。しかも、このすべてを TPM のハンマリング対策保護がデバイスをロックする前に実行する必要があります。 TPM が搭載されていないノート PC では、BitLocker を有効にし、サインインの失敗回数を制限するポリシーを設定すると、保護を強化することができます。

TPM なしでの BitLocker の構成

  1. ローカル グループ ポリシー エディター (gpedit.msc) を使って、次のポリシーを有効にします。

    [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブ暗号化] > [オペレーティング システムのドライブ] > [スタートアップ時に追加の認証を要求する]

  2. ポリシーのオプションで、[互換性のある TPM が装備されていない BitLocker を許可する] をオンにして、[OK] をクリックします。

  3. コントロール パネルの [システムとセキュリティ] を開き、[BitLocker ドライブ暗号化] に移動して、保護するオペレーティング システムを選択します。 アカウントのロックアウトのしきい値の設定
  4. ローカル グループ ポリシー エディター (gpedit.msc) を使って、次のポリシーを有効にします。

    [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] > [アカウント ロックアウトのポリシー] > [アカウントのロックアウトのしきい値]

  5. 許可される無効なログオン試行回数を設定して、[OK] をクリックします。

PIN を忘れた場合

Windows 10 Version 1703 以降、Microsoft Intune で管理されているデバイスでは、会社が管理しているデータやアプリを削除することなく、忘れた PIN をリセットすることができます。

Windows Phone での忘れた PIN のリセット

Windows Phone で忘れた PIN をリセットするには、Intune ポータル内でデバイスを検索する必要があります。 デバイスを選択したら、[その他] > [新しいパスコード] をクリックして、新しい PIN を生成します。

Intune の PIN のリセット ドロップダウン メニュー

処理が完了すると、デバイスでデバイスのロックを解除するための通知が受信され、デバイスのロックを解除するために、生成された PIN を入力する必要があります。 デバイスのロックを解除すると、ユーザーは PIN をリセットできます。

電話のロック解除の通知

デスクトップでの忘れた PIN のリセット

ユーザーは、Intune で管理されているデスクトップ デバイスから、忘れた PIN をリセットできます。 ユーザーは、他の方法 (パスワード/スマート カード/生体認証) でデバイスのロックを解除する必要があります。

デバイスがロック解除できたら、[設定] > [アカウント] > [サインイン オプション] に移動し、[PIN][PIN を忘れた場合] を選択します。

[設定] の [PIN を忘れた場合]

サインインした後、PIN を変更するように求められます。

PIN のリセットの確認メッセージ

生体認証を使用するのに PIN が必要な理由

Windows Hello は、Windows 10 の生体認証サインイン機能であり、指紋認識、虹彩認識、顔認識をサポートしています。 Windows Hello をセットアップすると、最初に PIN を作成するように求められます。 PIN があれば、けがをした場合やセンサーを利用できない場合、センサーに不具合がある場合など、優先される生体認証が使えないときでも PIN を使って でサインインできます。

生体認証サインインのみ設定され、何らかの理由でそのサインイン方法を利用できない場合は、アカウント名とパスワードを使ってサインインすることが必要になります。この方法では Hello と同じレベルの保護は提供されません。

関連トピック