はじめに
とある会社の情報システム部門に常駐をしていた際に、Windows Hello for Business(略してWHfB)のPINの安全性について調査していました。
そこで、調査して分かった内容をこちらの記事にアウトプットしたいと思います。
前提
Windows10の環境を前提に記事を記載しております。
各用語について
| 用語 | 内容 |
|---|---|
| Windows Hello | 指紋認証または顔認証を使って、パスワードを入力せずにWindowsにサインインできる認証機能(パスワードベース) |
| Windows Hello for Business | 指紋認証または顔認証を使って、パスワードを入力せずにWindowsにサインインできる認証機能(デジタル証明書ベース) |
| PIN | 「Windows Hello」と「Windows Hello for Business」にて利用できる暗証番号 |
※「Windows Hello」と「Windows Hello for Business」の違いは、以下の記事を参照下さい。
【連載企画第二弾(第三回)】多要素認証(MFA)の落とし穴
PINの安全性とは?
大まかに以下の2つになります。
- PINと端末が紐づいている
- ローカル上で認証可能
PINと端末が紐づいている
以下のように1端末につき1つのPINが紐づいている状態になります。
具体的には、以下になります。
- PINは他の端末やOffice365のサービスのログインに利用することができない
- 端末とPINを両方盗難されなければ、端末にログインすることができない
※PINを4桁にする場合、総当たり攻撃でログインできる可能性があるため、複雑にすることをおすすめします。
(Intune上で設定可能)
ローカル上で認証可能
PINはローカル環境に保存されており、インターネット上には存在しないことも安全な理由になります。
Windows Hello for Businessの初期設定を実施する際には、ネットワークを介してAzureADと認証を実施する必要があります。
しかし、以下のように鍵で暗号化された状態のため安全性は高い状態です。
(盗聴される可能性が低いです。)
一方、通常のアカウントでのログインを実施する場合は、ネットワークを介してアカウント情報を傍受される可能性があります。
Intune上での設定
Intuneの構成ファイルにてWindows Hello for Businessの設定をすることが可能です。
設定後、対象のデバイスグループに発信することが可能です。
■設定できる箇所(例)
- PINの文字数や長さ等
- TPMの使用
- 生体認証許可
さいごに
直近で関わっていた情シス案件でこちらについて調査をしていましたが、記載した以上の情報は出てきませんでした。
お客様に説明する際に一番戸惑った部分になります。
PINと端末が密接に紐づいていることが安全性なのだと思います。
参考情報
PIN がオンライン パスワードよりも優れている理由
Azure AD 参加後に有効になる Windows Hello for Business とその無効化方法について
Windows10 サインインはPINを使う方が安全
Windows 10: パスワード、スマート カード、そして Windows Hello + Microsoft Passport。それぞれの違いを理解しよう (1)