Microsoftが、Microsoftアカウントにサインインする場合にパスワードを利用しない、パスワードレスアカウントの一般提供を開始しました。これまで、企業向けには提供されていたものの、一般のアカウントで利用可能にするのはこれが初めてのこと。
現状でもMicrosoftアカウントではWindows HelloやAuthenticatorアプリ、SMSによるコード認証などがで提供されており、パスワードを利用しなくてもサインインできます。しかし、代替え手段としてパスワードも利用可能。このため、パスワードが漏洩したり、総当たり攻撃によりパスワード認証が突破される可能性もあります。
これに対してパスワードレスアカウントは、文字通りパスワードによるサインインをできなくするというもの。アカウントからパスワードそのものを削除してしまいます。そもそもパスワードがないので、漏洩のしようがないというわけです。
パスワードなしでどうやってサインインするかといえば、引き続きWindows HelloやAuthnticatorアプリ、セキュリティキーなどを利用します。
ただし、Xbox360やOffice 2010、Windows 8.1やWindows 7以前など、一部のアプリやサービスはパスワードが必要とのことなので、これらを利用している場合には引き続きパスワードを使用する必要があります。
Microsoftアカウントをパスワードレスにするには、Microsoftアカウントにサインインし、「セキュリティ」タブから「高度なセキュリティオプション」を選択。
追加のセキュリティで「パスワードレスアカウント」を有効にします。すると、Authneicatorアプリに通知が送られるので、承認するとパスワードが削除されます。
なお、一度パスワードを削除した後でも、パスワードレスアカウントをオフにすれば、サイドパスワードを作成できます。
Source: Microsoft
