旬のトピック、最新ニュースのマピオンニュース。地図の確認も。

Edge 88の注目点はパスワード保護にあり - 阿久津良和のWindows Weekly Report

2021年01月24日16時00分 / 提供:マイナビニュース

すでにお手元の環境でも更新されているかと思うが、Microsoftは米国時間2021年1月21日、安定版Microsoft Edgeをバージョン88に更新した。変更点の詳細はChangelogをご覧いただくとして、注目ポイントはセキュリティだ。

新バージョンのリリースを告げる公式ブログのタイトルも「Microsoft Edge 88 Privacy and Security Updates」と命名して、パスワードやプライバシーに関する新機能をアピールしている。ここではいくつかの機能をかいつまんで紹介したい。

まずは、Webサイトへの新規登録時にパスワードを生成するパスワードジェネレーター。パスワードは時代遅れになりつつあるが、セキュリティキーや生体情報などを用いる多要素認証を有効にする前段階として欠かせない。また、パスワードを使い回すリスクも大きい。Microsoft Edge 88のパスワードジェネレーターは、無作為に生成した文字列をパスワードとして提案し、選択するとそのパスワードをMicrosoft Edgeに保存する。Microsoft EdgeをメインのWebブラウザーとして使っている場合、これまで有用だったパスワード管理ツールは不要になるだろう。

もう1つはパスワードモニター。Microsoft Edge 88が保存するパスワード情報と、クラウド上のパスワード漏洩(ろうえい)情報を比較して、利用者にパスワードの更新をうながす機能だ。パスワードが漏洩したサイトにアクセスすると警告を発するが、漏洩チェックは定期的に行うため、スキャン完了時に警告メッセージが現れることも。パスワードモニターはすべてのMicrosoft Edge 88にはまだ展開されていないようで、筆者の環境も同様だったため、Microsoft Edge 89(Canry)を用いて一例を紹介しよう。

パスワードモニターの構造はMicrosoft Researchの公式ブログで説明されている。基盤にはMicrosoft ResearchのHomomorphic Encryption(ホモフィック暗号化)が存在し、準同型暗号として実装したMicrosoft SEALを用いている。SEALは「Simple Encrypted Arithmetic Library」の略だ。

Microsoft Edge 88に保存したパスワードのハッシュ情報をOPRF(Oblivious Pseudo-Random Function)と呼ばれる機能でクラウドに問い合わせるが、ユーザー名やパスワード情報をMicrosoftに知られてしまう? という抵抗感や、通信中の情報を抜く中間者攻撃のリスクが心配かもしれない。

Microsoft Researchは、先のハッシュ情報を用いることで辞書攻撃を抑制。クライアントはホモフィック暗号化を用いてユーザー名・パスワード情報を暗号化した情報をサーバーに送信し、サーバーは暗号化済みパスワードが一致する関数を評価する。その結果をクライアントにTrueまたはFalseで返して、ユーザー名・パスワード情報の学習を抑制させていると説明した。

筆者もパスワード漏洩したサイトが数十におよんでおり、早急に対応しなければならないと思いつつも、日常的に使用するサイトではないため、後手に回っている。読者諸氏もMicrosoft Edge 88に更新し、パスワードモニター機能の展開が始まったら、一日仕事を覚悟してパスワード管理に取り組んでいただきたい。

著者 : 阿久津良和 あくつよしかず 1972年生まれのITライター。PC総合誌やDOS/V専門誌、Windows専門誌など、各PC雑誌の編集部員を経たのちに独立。WindowsとLinuxをこよなく愛しつつ、PC関連の著書を多数手がける。近年はBtoCにとどまらず、BtoBソリューションの取材やインタビューが主戦場。休肝日を設けず日々飲み続けてきたが、γ-GTP値が急激に増加し、早急な対応を求められている。ご連絡は以下のサイト内設置したフォームからお願いいたします。https://www.cactus.ne.jp/ この著者の記事一覧はこちら

続きを読む ]

このエントリーをはてなブックマークに追加

あなたにおすすめの記事

関連記事

ネタ・コラムカテゴリのその他の記事

マピオンニュース ページ上部へ戻る