Microsoftは、ユーザーが簡単に推測可能なパスワードを選ぶのを管理者が防ぐことができる新しい「Azure Active Directory」(Azure AD)の機能を数カ月中に公開する。
先週、LinkedInの認証情報1億1700万件が流出したことを受け、Microsoftは流出したLinkedInのリストやそれと同様のデータを利用して、「Microsoft Account」ユーザーが盗難データに頻繁に見られるパスワードを選んでしまうことを防止する手段について説明した。
新たなパスワード流出事件が発覚するたびに、Microsoftはよく使われるパスワードのリストを更新して、その最新の攻撃リストに合致、または類似するパスワードをブロックしている。
パスワードを動的に禁止するこの機能は、コンシューマー向けMicrosoft Accountサービスに既に実装されており、Azure ADでは現在プライベートプレビュー段階にある。Microsoftは数カ月以内にこの機能を1000万を超えるAzure ADテナントにロールアウトする予定だ。
Azure ADには、パスワード再利用の問題に対処する別のパスワード機能も存在する。この機能は現在パブリックプレビュー段階にある。
企業の電子メールアカウントのユーザー名とパスワードが今回流出した認証情報と合致する場合、IT管理者はそれらのアカウントを自動的にロックダウンできるようになる。
盗まれた認証情報の新しいリストを発見すると、Microsoftはそのリストに含まれるパスワードのハッシュと、有効なアカウントのパスワードのハッシュを比較する。
危険な状態にあるアカウントを特定すると、Microsoftはそれをロックし、ユーザーにID認証とパスワードのリセットを促す。これと同じ機能が近くAzure ADユーザーに公開され、企業は流出した認証情報が悪用される前にアカウントをロックダウンできるようになる。
さらにMicrosoftのIdentity Protection Divisionは米国時間5月24日、パスワードのベストプラクティスに関する新しい文書を公開し、長くて複雑なパスワードの選択やパスワードの頻繁な変更などをユーザーに義務付けるポリシーを避けるよう促した。人間は面倒なことを回避して、一層悪いパスワードを選んでしまうことがあるとMicrosoftは指摘する。
パスワードに関するポリシーは、ユーザーにユニークなパスワードを作成するよう促すことで、よく使用されるパスワードを利用できないようにするべきだとMicrosoftは述べている。また、ユニークなパスワードは、外部のサイトで企業のパスワードが利用されることを防ぐとしている。
提供:Microsoft
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。