今北産業
- Windows Hello 生体認証を使うとPINの入力なしでWindowsにサインインできる
- 顔認証カメラ、もしくは指紋センサーが必要
- サインインだけでなく、パスワード管理ソフトの認証にも使えるから便利
概要
Windows Helloは、Windows PCにサインインするための、従来まで使われていたパスワードを使わない新しい方法です。
MicrosoftアカウントではWindows Helloを有効にすることが必須なので、ローカルアカウントでサインインしている場合を除き、必ずWindows Helloを使っているはずです。
Windows Hello の構成 - Microsoft サポート
PIN
PINは、いわゆる暗証番号です。
Windows PCの初期設定時にMicrosoftアカウントを紐づける際、必ず作成を求められます。
Windows Helloにおける必須項目であり、他のサインインオプションが利用できないときに使われる方法です。
英数字・記号を含めることもでき、従来のパスワードのように複雑で安全性が高い文字列にすることも可能です。
PINとパスワードの違い
パスワードは、デバイスとクラウド両方に保存され、バックアップとして機能することもできますが、クラッカー(ブラックハッカー)がパスワードを解析する可能性があります。もちろん暗号化された状態でクラウドに保存されていますが。
PINの保存先は、デバイス上のみです。またそのデータは、マザーボードのTPM2.0チップセットによって暗号化され、外からアクセスできないようになっており、より安全です。
生体認証
Windows Helloでは、指紋認証と顔認証が利用可能です。
これらはWindowsにサインインするときに、PINの入力をバイパスし、速やかに本人確認を行います。
顔認証
IR(赤外線)マッピング機能を持ったUSB接続のWebカメラをWindows PCに接続すると、顔認証が利用可能になります。
顔認証のメリットは、物理操作なしでWindowsにサインインできることです。Windowsのロック画面で、マスクを外してカメラをコンマ数秒見るだけで、もうサインインが完了します。
デメリットは、サインイン以外の操作(パスワード管理ソフトや、パスキー認証でWebサービスにサインインするときなど)で顔認証を使うとき、次の操作に進むためにEnterキーを押す必要があることです。タッチタイピングできる人なら問題ないかもしれませんが、せっかくの無操作で本人確認できるという利点が失われます。これはWindowsのアップデートなどで改善して欲しいところ。
指紋認証
指紋センサーをWindows PCに接続すると、指紋認証が利用可能になります。
指紋認証のメリットは、マスクをしていても使えることです。外出用のラップトップ(ノートPC)では指紋認証のほうがいいですね。
デメリットは特にありません。強いて言うなら、Windowsへのサインイン時にも毎回センサーに手を伸ばす必要があることでしょうか。でもUSBハブなどを有効に使えばいいです。
私はモニターに取り付けたUSBハブに、Logi Boltレシーバーと並べて指紋センサーを挿しています。
おすすめのデバイス
信頼のおけるメーカーのものを選んでいます。
すべてAmazonで購入可能です。最もおすすめできるものに☆を付けています。
顔認証対応Webカメラ
Elecom UCAM-CF20FBBK ☆
大阪のパソコンサプライ企業エレコムの顔認証対応Webカメラです。Amazonだと5000円程度で買えますが、人気なのでよく品切れになっています。
量販店なら手に入りやすいですが8000円くらいしますよね。
Lenovo 510 FHD Webcam
香港のIT大手Lenovoのカメラ。顔認証対応では珍しく白いカメラです。Amazonだと12000円。
Cisco Desk Camera
オンライン会議ツールWebexを提供するCisco Systemsのカメラ。最高級Webカメラの一つです。画質・音質にこだわるならこれ。高すぎるけど。
1080pモデルが22000円、4Kモデルが30000円。
指紋センサー
サンワサプライ 400-FPRD1 / 400-FPRD2
岡山のパソコンサプライ企業、サンワサプライが販売する指紋センサー。
Amazonだと広告を除いて一番上に出てきました。
USB Type-AのFPRD1が5000円、Type-CのFPRD2が7000円。デスクトップPCで使うならType-Aでいいです。
Kensington VeriMark K67977JP ☆
トラックボールマウスや物理鍵などを提供するケンジントンのVeriMarkシリーズ(指紋センサー製品群)のうち、ドングルタイプのがこれです。というか他のVeriMarkが高すぎる。
Amazonで6800円。
Kensington VeriMark K62330JP
ケーブル付きタイプのセンサーがこれですが10000円しますね。いらないと思う。
Vbestlife USB指紋スキャナ
こういうのは中国の工場からOEM供給されているので、ノーブランド品だろうがなんだろうが中身は同じです。
私が半年程度使っています。今のところ特にトラブルは起きておらず、高いものなんて必要ないんじゃないかと思っているところであります。
Amazonで2700円。これよりももっと安いものもあります。
設定方法
設定 > アカウント > サインイン オプション > サインインする方法
PCがデバイスを認識できない場合は開けません。
セットアップボタンをクリックして、あとはセットアップ ウィザードの指示に従って生体情報を登録すればOKです。
おまけ
1Passwordのすゝめ
私はあらゆるWebサービスのパスワード管理に1Passwordを使っています。
パスワードマネージャーと Extended Access Management | 1Password | 1Password
年額$35.88(5000円強)で、iPhone / iPad / Android / Windows / macOS / Linux / ChromeOSで一体的なパスワード生成・保存・管理ができます。
Windowsでは、1Passwordの認証にWindows Helloが利用可能です。PC起動後1回は1Passwordマスターパスワードの手入力が必要ですが、それ以降は再起動するまではWindows Hello生体認証でロックを解除できます。
macOSのTouchIDとの互換性
ありません。どちらもPCで利用できる生体認証機能ですが、その技術は全く別のものを使っています。
TouchID
macOSユーザーのパスワード入力をバイパスする方法として、TouchIDが利用できます。
TouchIDセンサーは、Macに搭載されたSecure Enclaveユニットに接続され、指紋情報もそこに保存されます。
TouchIDは、サインイン以外に、重要性の高い設定項目の変更時や、Apple Payの支払い認証、1Passwordなどのサードパーティのパスワード管理システムの認証などに利用できます。
MacBookを含むApple製キーボードのdeleteキーの上にロックキーがあり、そこにセンサーが内蔵されています。過去のMacBook Proの一部モデルでは、TouchBarと統合されています。
MacでTouch IDを使用する - Apple サポート (日本)
生体認証のセキュリティ - Apple サポート (日本)
Secure Enclave
Secure Enclaveは、macOSにおけるセキュリティ関連のタスク(TouchID生体情報、FileVault、起動セキュリティ、メモリ保護、Apple Pay認証情報など)を専門に処理するユニットで、Apple Silicon MacではMシリーズのSoCに、Intel MacではApple T2チップに搭載されています。
Macのメインシステムからは独立しているので、クラッカーがmacOS経由でSecure Enclaveに侵入することはできません。
Secure Enclave - Apple サポート (日本)
クロスOSでの状況
BootCamp
Intel Macには、BootCampユーティリティを利用することで、デバイスに直接Windowsをインストールすることができます。
この場合、WindowsはApple T2チップに限定的にアクセスできますが、それはTouchBarをファンクションキーとして振る舞わせたり、セキュアブートを有効にするなどに留まります。Secure EnclaveにはアクセスできないのでTouchIDをWindowsで利用できないです。
しかし、純粋にWindows PCなので、Windows Hello対応デバイスを接続すれば使えます。
MacBook Pro + Boot Camp でも Windows Hello が使いたい - しばやん雑記
仮想環境
Parallels Desktop 19以降では、Windows内でパスワードを一括入力する機能を搭載しており、その認証にTouchIDを利用できます。ただしこれは、生体認証プロセスはmacOSで実行されており、Windows Hello 生体認証として動いているわけではないです。
Apple Touch ID を使って Windows にログインする | Parallels Desktop for Mac 19 User's Guide
ParallelsでWindowsが起動している状態で、MacにUSBアクセサリを接続すると、macOSとWindowsどちらで認識するか選ぶオプションがあるらしいので、そうしたらWindows Hello対応デバイスを仮想環境で使える可能性があるかもしれません。検証はしてないです。
Hackintosh
OpenCore EFIなどを利用してApple製以外のPCにmacOSをインストールした場合、macOSはApple T2チップを探しますが、当然無いのでTouchIDは使えません。最近のMagic KeyboardはTouchIDセンサーを内蔵していますが、そもそもApple Silicon Macにしか対応しないのでこれも動作しません(キーボードとしては使えます)。
Touch IDを搭載したMagic Keyboard - Apple サポート (日本)
Windows Hello対応デバイスはmacOSには非対応なので、これも動かないです。
小ネタとしては、Appleの純正機能がすべて使えるワイヤレスカード(BCM94360NGなど)を使い、iPhoneにApple Watchをペアリングしておくと、ロック解除やサードパーティの認証にApple Watchを利用できますが、これはmacOSにTouchIDが導入されるより前からあった機能ですね。どちらにせよWindows Helloとは関係ないです。
Apple Watchでログイン – Boot macOS
そんな感じ
パスワードの入力が煩わしいというのはほとんどの人が感じていることで、今IT業界は新しいシステムであるパスキー認証に移行しようとして頑張っているところです。
ローカルのシステムにパスキー認証が必要かというとわかりませんが、現時点でのサインインセキュリティの標準がユーザー名とパスワードの組み合わせであるので、とりあえずそれでいいんじゃないかと思うのは保守的が過ぎますかね?
まあとにかく、Windows Hello 生体認証について、参考になれば幸いです。