【セキュリティ】windowsのPINコードは、セキュリティが高まるのか


初めに

最近Microsoftが推奨するPINコード(ほぼ強制?)が推奨されることが目に付いた。本当にセキュリティがたかまるのか疑問があったので、それをネタに考えてみたい。

用語

ID:ログイン用のユーザIDのようなもの

PW:パスワード

MS:Microsoft

HW:HardWare 。PC(ノートPCなど)、スマホを想定

PINコードは、セキュリティが高まるのか

PINコードのタイプ

携帯に付与されているPINコードではなく、windowsでのPINコードをこのページでは対象にしている。携帯のPINはSIMカードや回線(ユーザ契約情報DB)に紐づいているかもしれないが、PWと同じような気がする。

WindowsでのPINコードでは、4ケタ以上の数字も設定でき、文字種も増やせそうだ。

Windows 10で数字4桁のPINをもっと複雑なものにする:Tech TIPS - @IT

https://www.atmarkit.co.jp/ait/articles/1808/02/news023.html

PIN1・2コード/PINロック解除コード(PUK) | お客様サポート | NTTドコモ

https://www.nttdocomo.co.jp/support/password_pin/index.html

仕組み

普通に考えたらPWと同様で、4ケタの数字であれば弱いだろう。そこでMSが理由を説明しているので、確認してみる。

PIN がパスワードより安全な理由 (Windows 10) | Microsoft Docs

https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password

どうやら HW情報との組み合わせ で実現し、サーバ側で保持しているようです。つまり2つのPWがあるようなもので、もう一方のPWはHW情報を使った独自のIDのようだ。OSインストールのコピー防止技術を活用しているのかもしれない。

HWが違っても、同じPINコードでも設定可能だ。

この場合、PINを設定したHWがないとログインできない。最近多いID/PW流出の場合、知らずの内のログインされて情報が抜かれるということには耐性があると。

・PWを入力するところを見られて、ほかのPCからログインされるケース

そもそも、ほかの有名なサイト(amazon, facebook)などのIDと違ってNWのhttp上で入力しないため、リスクはそういうケースに比べ低いと思われるが、最近はスマホで Office製品を使ったり、XBOXゲームに関するユーザサイトがあるかもしれない。そういうケースでは、このPINコード対応は、意味があるだろうと思う。

しかし、HWをとられてしまえば、ログインされてしまうのでPWとセキュリティリスクは変わらない。しかも上記MSのサイトを見ると短くても良いと書いてあるので、短くしているとローカルにおけるリスクは高まる。

つまり、ローカルの物理的ログインは弱まる。

ID/PW流失し、他のサイトで流用されるようなときは、PCが手元にあれば、問題にならない。なぜなら 直接入力するPINコード+HWのIDのセットでPWとなるからだ。

考察

スマホなどの利用で、Office製品を外でも使うとき、確かにPINコードであれば、MSアカウント(メアド)とIDが漏れても、防げるだろう。

そもそもMSアカウントをwindowsのIDにしてセキュリティリスクを高めたのはMSであるし、あたかも、すべてのケースでリスクが減少するような言い方は不適切であると思う。

一般の人にはわかりずらく、誤解を招くと思う。

まとめ

ローカルのリスクは高まるが、それ以外の遠隔でのリスクは減る。

つまり、物理的ログインよりも、他のリモートでログインできることを防いでいるようだ。

生体認証以外に、物理的にスマホやPCを盗まれた場合は、PWとリスクに特段違いはないと思われる。

運用上は、ローカルのリスクも考えて、PINコードは9ケタ程度でもいいかもしれない。

参考

「PINコード」とは - いまさら聞けないスマートフォン用語 | マイナビニュース
https://news.mynavi.jp/article/20160827-smartphone_word/

Windows 10にPINでサインインする - なぜパスワードは時代遅れなのか? | できるネット
https://dekiru.net/article/12851/

Delicious にシェア
Digg にシェア
reddit にシェア
LinkedIn にシェア
LINEで送る
email this
Pocket

11 views.



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です