Windows10を使用していると「パスワードは時代遅れです」というメッセージとともに、パスワードではなく「PIN」でのログインを推奨されます。

「PIN」とは、4桁以上の数字なので、今までのような複雑なパスワードを覚える必要なくログインが簡単になる機能です。

「パスワードは、できるだけ複雑に!!」、「パスワードは、英数記号混在で大文字小文字混在で8～16文字以上」などセキュリティ強化するために複雑なパスワードを付けることを推奨してきましたが、なぜ数字だけの「PIN」が推奨されるのでしょうか？
数字だけで簡単にログインできるようになって、普通に考えるとログイン時のセキュリティが甘くなるように感じます。

そこでちょっと調べてみました。

すると以下の理由から「PIN」が推奨されているようです。
＜PINが推奨される理由＞
①PINはデバイスと関連付けられている
②PINはデバイスに対してローカルである
③PINはハードウェアでサポートされている
④PINは複雑にすることもできる

「①PINはデバイスと関連付けられている」とは、パスワードの場合、Microsoftのアカウントと紐付いていたり、複雑化したがゆえに他のサイトのパスワードを使いまわしたりしているので、パスワードが盗まれた際に、外部からアクセスされてしまう可能性があります。
その点、PINは、PC（デバイス）と紐付いているので、PIN番号が流出したとしても、PCもセットで盗まれなければ影響はないということのようです。

「②PINはデバイスに対してローカルである」とは、パスワードの場合、Microsoftのアカウントやドメイン参加等で、パスワードはサーバに転送されるため、転送中に盗聴されたり、サーバ上から盗まれる可能性があります。
しかし「PIN」は、PC（デバイス）と紐付いているので、ネットワーク上に転送されないので、セキュリティ的に高いとのことでした。

「③PINはハードウェアでサポートされている」とは、PINは「トラステッド プラットフォーム モジュール (TPM) チップ」でサポートされており、PIN のブルート フォース攻撃など様々な攻撃を防いでくれるとのことでした。
数字とはいえ、正しくない入力が何度も試みられるとデバイスがロックされるそうです。
万が一、PCが盗まれた場合でも、PINを総当りでログインするということも出来ないようになっているようです。

「④PINは複雑にすることもできる」とは、PINは、基本的には4桁以上の数字のみですが、ポリシーを設定することで英数記号のような複雑なPINを設定することも可能です。
管理者のPINを複雑にしておくことで、万が一の場合によりログインされにくくなるかもしれません。

以上の理由から「PIN」が推奨されているということで、簡単にログインさせつつ、セキュリティを保つという機能が実現されているようです。

確かに、ネットワーク上をパスワードが転送されることやパスワードの使い回しなどを回避できて、さらにログインもシンプルになりユーザビリティも上がる良い方法だと感じました。

パスワードの運用についてもそうですが、サイト制作時も複雑な機能や要望について、お客様のご要望通り実装するだけでなく、シンプルで使いやすい機能を提案していけるよう対応していきますので、サイトの機能改修など、お気軽にご相談ください。