皆さん、こんにちは。
セキュリティ チームの笹瀬です。
日本のセキュリティ チームのブログでは、Windows 8 の発売を記念して、5 回にわたり、Windows 8 のセキュリティ機能を特集しています。
今回は、第 3 回目として、ピクチャ パスワードを紹介します。

皆さんの中には、既に Windows 8 対応の PC やタブレットを購入して、画面をタッチしながら、Windows ストア アプリを楽しんでいる方もたくさんいるのではないでしょうか。
さて、画面タッチが主流になると、複数の英数字や記号を織り交ぜたパスワードをわざわざキーボードから入力するのも面倒かと思います。
そこで、Windows 8 で新たに導入されたのが、ピクチャ パスワードという、画面をなぞるだけでログオン時のパスワードを入力できる便利な機能です。
近年、パスワードを強固にするため、数字、英字の大小、記号などを組み合わせて8桁以上のパスワードの設定を勧めていますが、難しいパスワードを設定すれば、テキスト パスワードも強固ですが、実際のところは覚えられないので簡単になっている現状があります。例えば、良く使われる悪いパスワード ランキングにいまだに passwordや 1234567890 とか入っていたりします。こういった現状を踏まえ、覚えやすく、かつ、セキュリティが確保されたソリューションが、ピクチャ パスワードです。

ピクチャ パスワードの設定の方法


まずは、ピクチャ パスワードの設定の方法を紹介します。


1) [PC 設定] - [ユーザー] から、[ピクチャ パスワードの作成] をクリックします。


 


2) 現在のパスワードを入力します。

 


 
3) 続いて、[画像を選ぶ] をクリックして設定したい画像を選択します。


 
4) [この画像を使う] をクリックして、画像を決定します。


 
5) 画像の上で、3 つのジェスチャーの設定を行います。円、直線、タップを組み合わせることができます。
ピクチャ パスワードには、ジェスチャーの大きさ、位置、方向、さらに順番も含まれるので注意が必要です。
 

6) [完了] をクリックして、ピクチャ パスワードの設定を完了します。
次回、Windows にログインするときには、設定したピクチャ パスワードを使うことができます。


 

このように、設定は簡単ですので、ぜひ試してみてください。


ピクチャ パスワードは、どのくらい安全なのか?

では、ピクチャ パスワードは、3 つのジェスチャーを組み合わせて、パスワードを設定しますが、論理的に何通りの組み合わせがあるのでしょうか?
以下の表は、英数字の組み合わせのテキスト パスワードや、スマートフォンや携帯電話で使用されている PIN で何通りの組み合わせがあるかを比較した表です。

長さ  PIN  単純な a~z の文字セットのパスワード  より複雑な文字セットのパスワード(英数字+記号)  複数のジェスチャーからなるピクチャ パスワード 
 1  10  26  n/a  2,554
 2  100  676  n/a  1,581,773
 3  1,000  17,576  81,120  1,155,509,083
 4  10,000  456,976  4,218,240  612,157,353,732
 5  100,000  11,881,376  182,790,400  398,046,621,309,172
 6  1,000,000  308,915,776  7,128,825,600  
 7  10,000,000  8,031,810,176  259,489,251,840  
 8  100,000,000  208,827,064,576  8,995,627,397,120  


 

ご覧のとおり、3 つのジェスチャーを使用すると、一意のジェスチャーの組み合わせを多数作成できます。また、使うジェスチャーが 3 つであれば、覚えやすく、すばやく使えるピクチャ パスワードを作成できます。
ピクチャ パスワードは、一意の組み合わせの数だけでなく、繰り返される攻撃に対してセーフガードを導入し、セキュリティを高めています。携帯電話での PIN を使ったロック アウト機能と同様に、数回ピクチャ パスワードを間違って入力すると、ロックアウト機能が働くように管理者が設定することも可能で、テキスト パスワードを使ってサインインするまで、ピクチャ パスワードを使用できなくなります。テキスト パスワードは、これまでどおり、いつでもサインインに使用できます。


また、ピクチャ パスワードは、ネットワークを介したリモートからの操作では利用できません。これにより、ピクチャ パスワードに対するネットワーク攻撃を防いでいます。


他にも、画面をなぞった指紋を見破られるリスクや写真から人が推測しやすいジェスチャーを狙われる点もちゃんと考察し、それぞれ数学的に危険性が低いことを確認しています。


ピクチャ パスワードは、テキスト パスワードを置き換えるのではなく、補完するログイン メカニズムです。
今までどおり、テキスト パスワードを 8 文字以上の英数字や記号を組み合わせたパスワードを設定した上で、ピクチャ パスワードを設定することで、より強固なセキュリティ設定ができます。
ピクチャ パスワードは、どちらかというとタッチに対応した PC などに便利な機能ですが、マウスでも使用することができます。私もタッチ対応の PC ではありませんが、マウスからピクチャ パスワードでサインインしています。
ピクチャ パスワードのしくみや安全性に関して、さらに興味のある方は、こちらもご覧ください。
http://blogs.msdn.com/b/b8_ja/archive/2011/12/22/signing-picture-password.aspx 

 

皆さんも、ぜひかわいいペットやご家族の写真でピクチャ パスワードを設定されてみてはいかがでしょうか?