ピクチャ パスワードのセキュリティを最適化する

いただいたいくつかのコメントを受けて、ピクチャ パスワードのセキュリティについてもう少しお話ししたいと思います。ピクチャ パスワードのセキュリティを最適化する方法を扱ったこの記事は、User Experience (ユーザー エクスペリエンス) チー ムの開発ディレクターであり、この機能の数学的な面とセキュリティ面に特に関心を持っている Jeff Johnson が執筆しました。この機能はログオンの新しい形であり、必然的にセキュリティについての懸念 (特にモバイル デバイスの場合) や、新しい認証技術に 対する懸念 (顔認証技術の不安的さ、生体認証技術に見られる課題など) を伴うため、アプローチとして潜在的な欠点があるのではないかと心配される方がいらっしゃるのは無理もないことだと思います。私たちが目指したのは、テキスト パスワードに劣らない安全性 を明確に確保しつつ (これを数学的に裏付ける役割を果たしたのが Jeff です)、優れた利便性を併せ持ったメカニズムです。以下の記事では、このアプローチが総合的に見て堅牢なソリューションと呼べる理由について論じています。この記事を読まれる際は、パス ワード入力の歴史を通じて、さまざまな “ベスト プラクティス” (数字と文字の組み合わせや大文字/小文字の併用、長さ、パスワード再利用の禁止、辞書に載っている語句の回避といったポリシー) や、注意すべき重要なポイント (頭上のカメラやキー ロガーが 仕掛けられている可能性のある公衆インターネット端末は避ける、など) が確立されてきていることを念頭に置いてください。ご想像いただけるかと思いますが、ピクチャ パスワードにもこれに類するさまざまなポイントがあります。今回の記事では、その一部を大まかに紹介 すると共に、このモデルの背景にあるセキュリティ面のロジックを説明しています。 –Steven 私たちが形は変われど何度かにわたって受けている質問として、「マシンのセキュリティ確保に関心があるのだが、最も安全性の高いログイン ジェスチャを作成するためのベスト プラクティスはどのようなものか?」というものがあります。これを出発点として展開できる分 析は (少なくとも数学屋の私にとっては) 興味深いものです。これにはゲーム理論が関連するのですが、まずは次のベスト プラクティスにまとめてご紹介します。 興味を引く点が 10 か所以上ある写真を選びます。興味を引く点とは、ジェスチャの基準となる領域のことで、具体的にはジェスチャの中でタッチする点、線でつなぐ箇所、円で囲む部分などを指します。 ジェスチャの種類やシーケンスはランダムに織り交ぜます。最も多くの順列ができるジェスチャは線ですが、ユーザーがいつも 3 本の線を使っていると、攻撃者は他の種類のジェスチャを含むシーケンスを除外することができるため、実際には推測の難易度が下が ってしまいます。 タップと線と円を 1 つずつ使用する場合、各ジェスチャの順序はランダムに決めます。これによって、予測可能な順序を使用した場合と比べて、6 倍の数の組み合わせができます。 円のジェスチャの場合、時計回りに描くか反時計回りに描くかはランダムに決めます。また、円のサイズを普通予想するよりも大きく、あるいは小さくすることも有効です。 線のジェスチャの場合、無意識に左から右に線を引きがちかもしれませんが、2 点間をつなぐ方向をランダムに選べば安全性は向上します。…

3

ピクチャ パスワードを使ってサインインする

ピクチャ パスワードは、Windows 8 の新しいサインイン方法で、現在、Developer Preview 版に含まれています。ここでは、舞台裏に回って、この機能がどれほど安全か、またどのように開発されたかを覗いてみましょう。タッチ スクリーンを利用できるメリットの一つは、PC へのサインインの新しい方法を考えられることです。パスワードなしで PC を使用することでサインイン時のわずらわしさをなくしたいと考える方も大勢いるかもしれませんが、ほとんどの状況で大半のユーザーにとって、この考えは該当しないか、少なくとも賢明な方法ではありません。タッチ操作によるすばやく滑らかなサインインのメカニズムを提供することは、非常に重要です。また、皆さんご存知のとおり、タッチ スクリーン搭載の携帯電話で、英数字パスワードを使うのは面倒です。この記事では、You Centered Experience (ユーザー中心エクスペリエンス) チームのプログラム マネージャーである Zach Pace が、Windows 8 のピクチャ パスワードの実装とセキュリティについて説明します。なお、ピクチャ パスワードは、クリックとドラッグのアクションを使って、マウスでも使用できます。 –Steven タッチ操作で PC にサインインする場合のエクスペリエンスは、これまで、面倒なものでした。パスワード要件がますます厳しくなる中 (数字、記号、大文字の使用を必須とするなど)、長い複雑なパスワードの場合、タッチ キーボードでは入力に 30 秒以上かかることもあります。私たちには、Windows 8 のユーザー エクスペリエンスをすばやく滑らかなものにしたいという強い思いがあり、その特性はサインインの時点から実現されるべきだと考えています。 この問題に対しては、市場に出ている他のタッチ エクスペリエンスでも取り組みが行われてきており、その代表的な例が数字の PIN です。PIN はすばらしいソリューションです。ほとんどだれもが見たことや使ったことがあるという点に加え、テンキーはタッチ操作でも簡単に使用できます。しかし、改善の余地があるのは確かでした。 数字の組み合わせを使う際にしばしば問題になるのは、通常、覚えやすいシーケンスほど安全性も低くなるという点です。1111 や 1234 といった一般的な数字のシーケンスも問題ですが、よく知られている個人的な日付を基にした PIN も、攻撃者がそのユーザーの個人情報を知っている場合 (このような情報の多くは、手に入れるのは難しくありません)、推測される可能性があります。このような場合、その数字がユーザーにとって個人的な意味を持つこと自体が、セキュリティの低下を生みます。そこで、私たちは、パラダイムを変えることにしました。すばやく滑らかで、しかもユーザーにとってパーソナルな、タッチ操作によるサインイン エクスペリエンスを設計したのです。 個人的なサインイン エクスペリエンス 基本的に、ピクチャ パスワードは、相補関係にある 2 つの要素で構成されます。ユーザーの写真コレクションの中の任意の写真と、その写真の上で描く一連のジェスチャです。写真は Microsoft が用意した画像のセットから選ぶのではなく、ユーザーが用意します。パスワードのセキュリティも向上し、覚えやすくもなるためです。写真の内容と、写真のどの部分が重要かは、ユーザーが決めることができます。また、よく携帯電話のロック画面がこのように設定されていますが、自分の好きな写真を目にすることができるというメリットもあります。…

7

デジタル ID の保護

コンピューティング デバイスをインターネットに接続して使用する際は、ユーザー名、パスワード、PIN などを避けて通ることはできません。これらは、デジタル経済において非常に重要な要素であり、このためのインフラストラクチャを Windows で提供することは、生半可な仕事ではありません。これには、まず Windows へのサインインという最も基本的なステップを整えること、そしてユーザーが使用を続けるうちに膨大な数に膨れ上がるさまざまなアカウントを保護するためのテクノロジを提供することが含まれます。この記事では、多数のパスワードのさらに安全な管理を実現する、Windows のアーキテクチャ関連の強化について説明します。この記事は、セキュリティ/ID 担当チームのグループ プログラム マネージャーである Dustin Ingalls が執筆しました。 –Steven Windows 8 の計画中に長い時間をかけて検討した課題の一つが、デジタル ID を便利で安全な方法で管理しやすくするにはどうしたらよいかということでした。現在の世界におけるデジタル ID とその使われ方、それを保護する方法については、いくつかの非常に興味深い事実があります。 デジタル ID の確認方法として現在最も一般的なのは、パスワードを使用することです。パスワードは、コンピューター、銀行、Web ショップなど、さまざまなサイトやシステムへのサインインに使われます。Microsoft の調査によると、米国の平均的な PC ユーザーは、一般に、約 25 個のオンライン アカウントを所有しています。(1) それだけの数のアカウントを管理するのはたいへんです。実際、この調査では、その 25 個のアカウントに対して使われているパスワードはわずか 6 個であることもわかりました。つまり、平均的なユーザーは、複数のアカウントで同じパスワードを使い回す場合がかなり多いということになります。セキュリティに取り組んでいる人間にとっては、この調査結果は非常に気がかりです。また、Web サイトによってパスワードのポリシーが異なることを考えると (英数字と特殊文字の組み合わせを義務付けているサイトもあれば、特殊文字の使用を禁止しているサイトもあり、最少の文字数を指定しているサイトも、そうでないサイトもあります)、Web サイトのパスワード ポリシーが同じだった場合、アカウント全体で使われるパスワード数は、さらに少なくなるでしょう。 これは無理もないことと言えます。多数のパスワードを覚えておくのは簡単ではありません。使用頻度の低いアカウントの場合はなおさらです。しかし、パスワードの使い回しは、ハッカーにとって好都合です。あるサイトのパスワードがわかれば、他のサイトでも同じパスワードが使われている可能性が高いことをハッカーは知っています。さらに、攻撃者がユーザーのサインイン情報を使って、違うパスワードが使われている他のアカウントのパスワードをリセットできることも多くあります。たとえば、攻撃者がなんらかの方法でユーザーのアカウントの一つのパスワードを手に入れたとします。そのユーザーが Web メールのアカウントで同じパスワードを使っている可能性は高いでしょう。大手の Web メール プロバイダーは一握りしかないことを考えると、通常、このユーザーのアカウントはたやすく見つかります。攻撃者はメールにアクセスできると、他の一般的なサイト (大手銀行や大手 Web ショップなど) にアクセスして、”パスワードを忘れた場合” 機能を使い、乗っ取ったメール アカウントにパスワードのリセット用リンクを送信できます。 (余談ですが、Hotmail チームは…

1

Windows Store イベントと新しいブログについて

本日サンフランシスコで行われた Windows Store Preview イベントでは、新しい Windows Store で扱うすべてのアプリの開発者に適用される取引条件とアプリのポリシーを Antoine Leblond が披露しました。また、Windows 8 Beta リリースから Store を通して利用可能となる優れたアプリをいくつか紹介し、プラットフォームとしての Store のデザイン、能力、そして柔軟性を実演しました。 同じく Antoine の手で、Windows Store 開発者向けブログ (英語) が新たに開始されています。このブログでは、Windows 8 のアプリ開発に関心を持つすべての読者に向けて、Store に関する情報や最新ニュースをお伝えしていきます。Store 関連のあらゆる情報の発表とそれについてのディスカッションはこの新しいブログで行い、条件やポリシー、収益機会、プラットフォームに関する考慮事項について、アプリ開発者とリアルタイムに対話していきます。新しいブログはここ B8 で行っている対話を補完するものと位置付けられ、Windows 8 のエンジニアリングについては引き続き B8 が対話の中心となります。 — Steven

1

大容量ディスクとセクター サイズ拡大に対応する Windows 8

ファイル システムは、OS が提供するサービスの中でも最も基本的なものの 1 つと言えます。そして Windows は、広く普及している OS の中でも、最も進んだファイル システムの 1 つを持つ OS です。Windows 7 では、信頼性、管理性、堅牢性の面で大幅な改良 (たとえば時代遅れとなっていた “デフラグ” の完全な自動化など) を行いました。Windows 8 ではこれに加えてスケーラビリティや容量に焦点を当てた改良を行っています。今回の記事は、Storage & Files Systems (ストレージ/ファイル システム) チーム所属のプログラム管理者、Bryan Matthew が執筆しました。–Steven ユーザーが保管するデジタル コレクションの規模は加速度的に拡大し続けています。高解像度のデジカメ写真、高画質のホーム ビデオ、大規模な音楽ファイルのコレクションなどがこの流れを強く後押ししています。ハード ディスク メーカーはこの課題に応えて非常に容量の大きなハード ディスク ドライブを供給しており、IDC の最近の市場調査レポートによれば、単一ハード ディスクの容量の上限は 2015 年までに 8 TB まで増えるものと推定されています。 単一ディスク ドライブの容量上限の推移(出典: IDC 調査 # 228266「Worldwide Hard Disk Drive 2011–2015 Forecast:…

0

セットアップのエクスペリエンスを改良する

Windows のインストールは、将来の Windows についての知識なしに設計された膨大な数のハードウェアの構成や組み合わせにおいても、新しいバージョンの Windows を (たとえカーネルの抜本的な再設計が行われていても) 問題なく実行するという、きわめて特異な対応能力を実現する、複雑なオペレーションです。多くのユーザーは Windows の次期バージョンを新しい PC の購入という形で入手し、その場合はすべてのセットアップ/アップグレードを行うわけではありませんが、新しい PC の “OOBE” (out-of-box experience: “箱から出したばかり” の状態で提供されるエクスペリエンス) の調整だけでも、複雑で技術的に高度な課題なのです。セットアップの改良において私たちが目指したのは、開始から終了までの時間を短縮して、なるべく早く Windows を使用できる状態にすることです。これによって、そこから先のカスタマイズには Windows の能力をフルに活用していただくことができ、ひいては新しい Windows のエクスペリエンスを早く楽しんでいただけることになるはずです。今回の記事は、Setup and Deployment (セットアップおよび展開) チームの Christa St. Pierre が執筆しました。–Steven (なお、米国の祝日の期間はこのブログもお休みさせていただきますのでご了承ください) 過去から現在までのどの Windows のリリースにおいても、セットアップには多大な注意が払われてきました。セットアップは、膨大な種類のハードウェアやソフトウェアのすべてにおいて、とにかく安定して動作する必要があります。個人ユーザーが自分のノート PC をアップグレードする場合でも、企業の IT プロフェッショナルが大規模な配置ツールを使って 10,000 台のデスクトップ PC を新しい Windows に移行させる場合でも、この点は同様に実現されなければなりません。Windows 7 で私たちが主に注目したのは、インストール成功率の向上です。信頼性を高めるためにさまざまな取り組みが行われ、過去のバージョンの Windows で問題の原因となった多くの難しい (ただし比較的まれな) ケースが解決されました。これによって、Windows 7…

0

Windows Update による自動更新後の再起動回数を減らす

インターネットが登場するまで、サービス パックや “パッチ” などの更新プログラムは、非常に入手しにくいものでした。更新プログラムはメディアの形で注文したり、雑誌の付録 CD から入手したりするのが普通でした。しかし、インターネットの登場によって状況は一変します。 ftp.microsoft.com が初めてセットアップされた際に、最初に提供されたサービスの 1 つが、MS-DOS と Windows の更新プログラムの配布でした。Windows Update の導入によって、私たちは単なるソフトウェア配布サービスではなく、高品質な更新プログラムをタイムリーに提供するシステムを構築するために、真剣に取り組むようになりました。ユーザーに自動更新機能を信頼していただける段階に至るまでには相応の時間がかかりましたが、それなりの成果も得ることができました。現 在、Windows Update はインターネットで最大規模のサービスの 1 つとなっており、もちろん Windows 8 の開発においても、製品アップデートのエクスペリエンスに改良を加えています。この記事は、Windows Update グループ所属のグループ プログラム管理者である Farzana Rahman が執 筆しました。–Steven Windows Update に関して話題になることが多い問題点の 1 つとして、自動更新の際に必要になる再起動の手間が挙げられます。これは当然と言えるでしょう。再起動が必要になれば、重要な作業の最中でも中断を強いられることがあるからです。 まず考えるべきなのは、そもそも更新プログラムのインストールになぜ再起動が必要なのか、ということです。理想を言えば、更新プログラムのインストールが再起動を伴わず、バックグラウンドでシームレスに処理可能なら、それに越したことはありません。しかし現実的には、インストーラーが更新しようとしたファイルが使 用中で更新できないケースがあります。こういった場合は、インストールを完了するためにマシンを再起動する必要があります。このため、自動更新機能は、再起動が必要な状況にも対応できなければなりません。 このアーキテクチャ上の問題は、管理者にとってもエンド ユーザーにとっても厄介ですが、Windows の最先端の技術を示すものでもあります。多くの更新プログラムで、既にメモリに読み込まれている既存のコードを実行し続けることは可能でも、そのコードがセキュリティ上の脆弱性などを持っているので、マシンを再 起動するまではセキュリティや信頼性の問題が残ってしまうことを理解しておく必要があります。この点については、今後も改善していくつもりです。再起動は面倒ですが、Windows Vista から採用された Windows 再起動マネージャーに対応するアプリケーションであれば、再起動後に再起動前とまったく同じ状態から作業を再開できます。 この投稿では、Windows 8 で自動更新のエクスペリエンスに加えている改良点についてお話ししたいと思います。この改良によって、再起動のわずらわしさもいくらか軽減されるはずです。 Windows Update についてのデータ 現在 Windows Update (チームではたいてい…

8

電力効率と汎用性に優れた Windows の実現

この記事では、電力消費量を抑える OS の開発という幅広いトピックを扱います。OS における電源管理の重要性は、2 つの観点から高まり続けています。まず、Windows 8 が市場に出る際、出荷される全 PC の 3 分の 2 が、常時であれ部分的にであれバッテリで駆動されるポータブル デバイスとなることは容易に推定できます。第二に、あらゆる場面で電力の節約が求められており、職場でもカーボン フットプリントの小さいデスクトップ マシンへの需要が高まっています。いずれの場合についても、スタンバイ/休止/再開の際のパフォーマンスといったレベルを超えて、OS 全体の電力消費量削減や、近代的なハードウェアの節電性能への対応について考える必要があり、この記事ではそういった点に迫りたいと思います。今回の記事は Kernel (カーネル) チーム所属のプログラム管理者である Pat Stemen が執筆しました。–Steven バッテリ寿命と電力消費量というトピックは、コンピューター業界において非常に重要な地位を占め続けています。この記事では、Windows 8 における電源管理の考え方と、私たちが毎日行っている電力消費量計測の方法についてご紹介したいと思います。Windows において、電源管理は OS のコア性能の一つであり、チップ アーキテクチャや PC のフォーム ファクターを問わず、きわめて重要な要素として捉えています。 目標 Windows 8 の電源管理は、次の 3 つの目標を念頭に設計しています。 ハードウェアを活かす。Windows 8 は、SoC ベースの Windows タブレットであろうと、SLI 搭載のゲーム用 PC であろうと、そのハードウェア プラットフォームの節電能力を十分に活用できるように設計されています。すべてのプラットフォームに一貫して、標準化された電源管理のインターフェイスが使用されており、ハードウェア パートナーやアプリケーション開発者が、各プラットフォームのハードウェアや電源管理面の差異に気を取られることなく、独自のイノベーションやエクスペリエンスの提供に注力できるようになっています。 優れたバッテリ寿命を維持する。Windows 7 では電力消費量が大幅に低減され、エネルギー効率が大きく向上しました。特にモバイル PC のバッテリ寿命には大きな改善が見られました…

1

バッテリ消費を抑えながらライブ タイルの更新を行う

私たちが使用するさまざまな “画面” に共通して普及の度合いを増しているのが、軽量な通知機能という概念です。当初は Windows ガジェットがこういった役割を担うことを目指していました。重要な情報 (たとえばニュース、天気、スポーツのスコア、基幹業務関連のイベントなど) をすばやく表示するためのヘッドアップ ディスプレイを提供するという趣旨です。しかしながら、ガジェットの起動時間や動作モデルは、全体的な電力消費量の削減 (デスクトップ PC でもノート PC でも重要な要素です) や、開発者のための全画面表示のプラットフォーム提供といった取り組みとは相容れないものです。また、Windows 8 の [Start] (スタート) 画面では、こういった通知に利用できる面積が大幅に広がると共に、ユーザー主導のインターフェイスを通してデータの更新 (ネットワーク リソースの使用を含めて) を管理できるようになっています。プッシュ配信や構造化されたスニペットを通して提供される情報の比率が増え続けている近代的なエクスペリエンスにおいては、このことが開発者にとってもエンド ユーザーにとってもユニークな機会をもたらします。今回の記事では、Metro スタイルのライブ タイルの開発と、このアーキテクチャが多数のタイルに対応しながら全体的な電力消費量とシステム負荷の軽減を実現するしくみについて、Ryan Haveson がご紹介します。–Steven Sinofsky パフォーマンスとバッテリの寿命が Windows の成功に欠かせない重要な要素だというのは、見解の一致するところでしょう。このブログにいただいているコメントでも、一貫してこれらの点が強調されています。KISSmakesmeSMILE さんのコメントはこの点をよく示したものです。 「…軽負荷/低負荷使用時のバッテリ寿命で、(競合製品と) 同等か、できることならより優れたパフォーマンスを実現してみてほしい」 同時に、すべての近代的な環境 (PC からテレビ、電話まで) において、なんらかの形でガジェット、ウィジェット、プラグインなどのモデルが採用され、ひとめで情報を確認できるようになっているのも事実です。テレビでニュース、スポーツ、天気などを見ていても、複数のソースからの情報がリアルタイムでまとめられ、構造化された画面に表示されています。ユーザーが期待するのは、株価、天気、未読メール数、次の予定、基幹業務アプリケーションの状態、ソーシャル ネットワークの状態などをすばやく確認し、数秒のうちに元の作業に戻ることができるというような動作です。多くの点で、PC はこの領域において他のデバイスに後れを取っていると言えるでしょう。通知インフラストラクチャの設計を始めるにあたっての私たちの課題は、アクティビティを生きた情報として表示しながら、電力消費と帯域幅の使用量においてきわめて高い効率を維持することでした。AndyCadley さんのコメントはこの目標をよく表現しています。 「”Metro” アプリを、常に起動している (ただしバッテリやパフォーマンスにはまったく影響がない) ものとして扱う」 [Start] (スタート) 画面では、ユーザー モデルの観点からもこの点の効率性が強化されており、デスクトップ アプリや Metro スタイル アプリの使用を邪魔することなく、全画面表示のヘッドアップ ディスプレイを提供することができます。これに加え、効率性を追求するだけではなく、通知機能を持つアプリをどれだけたくさんインストールしても、パフォーマンスやバッテリ寿命への影響を心配する必要がないようにしたいとも考えました。 Windows…

0

64 個以上の論理プロセッサをタスク マネージャーで扱う

今回は、User Experience (ユーザー エクスペリエンス) チーム所属のグループ プログラム管理者である Ryan Haveson から、Windows Developer Preview リリース以降のタスク マネージャーの進歩についてご紹介します。この記事では、多数の論理プロセッサを備えるシステムの管理に使用する、新しくなったタスク マネージャーのツールを扱います。これはデスクトップ PC の範囲を大きく超えたスケーラビリティを実現する機能であり、サーバーやデータ センター向けに設計されたものです。Windows の開発においては、幅広いフォーム ファクターや CPU アーキテクチャに対応することも、大きな比重を占めています。 コメントについて: コメントの質はコミュニティにふさわしい水準に保つようお願いします。自動的なスパム対策以外にはコメントの審査は行っていないことを、改めて申し添えておきます。  –Steven Sinofsky 新しいタスク マネージャーについては、以前の記事で扱ったほか、Developer Preview (英語) をインストールして実際にご覧になっている方も多いと思います。このトピックにはまとまった関心が集まっているようでしたので、デイリー ビルドに登場したばかりの新機能について、ベータ リリースで体験していただく前に、取り急ぎ簡単にご紹介しようと思います。 下に示すいくつかの画像では、サーバー管理者や、大量の論理プロセッサを備えた巨大な PC 環境を利用するユーザーが主に使用する機能を扱います。前もって確認しておくと、ここで扱うのは論理プロセッサです。ハイパースレッディング対応のシステムをお使いの場合、各物理プロセッサがそれぞれ複数の論理プロセッサとして動作することになります。 こういった多数のプロセッサを備えるシステムを使用されている方はご存知かと思いますが、Windows 7 のタスク マネージャーの CPU 使用率グラフには、いくつかの制約があります。 リアルタイムの比較機能がない: 大量の論理プロセッサを CPU グラフで監視している場合、重要なのは変則的な動きです。こういった規模になると、過去 60 秒間の各 CPU の使用率を表した、変動し続ける折れ線グラフを相互に比較して、何が起こっているかを把握するのはかなり困難です。 グラフが小さい: 論理プロセッサ数 64 個以上の規模では、個々のグラフはかなり小さなものになります。どのプロセッサの負荷が高まっているかを確認しようと思えば、小さなグラフを目を細めて読み取らなければなりません。論理プロセッサが 256 個を超えると、グラフを読むこと自体が困難になってきます。…

1