Windows 10で数字4桁のPINをもっと複雑なものにするTech TIPS

Windows 10では、パスワードではなく、PINコードでサインインすることが可能だ。しかしデフォルトのPINコードは、4桁以上の数字なので、セキュリティ面で少々不安の残るものとなっている。そこで、PINコードをより複雑にする設定を紹介する。

» 2018年08月02日 05時00分 公開
[小林章彦デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象:Windows 10


 Windows 10では、パスワード入力の代わりに「PIN(Personal Identification Number)コード」「ピクチャパスワード」「Windows Hello(生体認証)」が利用可能になっており、パスワードよりも容易にサインインできるようになっている。

 ただWindows 10のPINコードは、デフォルトで4桁以上の数字となっており、Microsoftが「PINがパスワードより安全な理由」でパスワードよりもPINコードの方が、安全性の面で優れていると主張しているものの、デフォルトの数字4桁ではやはり管理者としては少々不安だ。

Windows 10のサインイン画面 Windows 10のサインイン画面
サインインをPINコードで行うように設定すると、このようにパスワードの入力ボックスに「PIN」と表示される。ここにPINコードを入力すると、サインインが行える。PINコードを忘れた場合は、「PINを忘れた場合」をクリックし、通常のパスワードを入力すればサインインできる。

 サインインやロック画面から復帰に際しての利便性のためには、なるべく短く、簡素なPINコードを許可しておきたい。だが安全性のためには、もう少し長く、アルファベットや記号を含んだPINコードを必須にしておきたい。そこで、本稿ではWindows 10でPINコードの複雑性(必須条件)を設定する方法を紹介する。

グループポリシーを使って要件を設定する

 Windows 10 Pro/Enterprise/Educationならば、グループポリシーを使ってPINコードの複雑性を設定できる。Active Directory(ドメイン)のグループポリシーで設定すれば、ドメイン内のWindows PC全てに設定を反映できる。

 ここではローカルグループポリシーで設定する例で手順を紹介する。

 [Windows]+[R]キーで[ファイル名を指定して実行]ダイアログを開き、「名前」入力ボックスに「gpedit.msc」と入力して[Enter]キーを押す。

 グループポリシーエディタが起動するので、左ペインのツリーで[コンピューターの構成]−[管理用テンプレート]−[システム]−[PINの複雑さ]を開き、右ペインの項目を設定する。

設定 未構成 有効 無効
数字を要求する 数字の使用が必須 数字の使用が必須 数字の使用が可能
小文字を要求する 小文字は使用不可 1つ以上の小文字の使用が必須 小文字は使用不可
PINの最大文字数 127文字以内 指定した最大長に制限(最大127文字まで) 127文字以内
PINの最小文字数 4文字以上 最小長の指定(4〜127文字まで) 4文字以上
有効期限 有効期限なし PINの有効期間の設定(1〜730の日数で設定。0にすると有効期限がなくなり、いつまでも利用可能) 有効期限なし
履歴 以前のPINは保存されない ユーザーアカウントに関連付けて再利用できないようにする(履歴として保存される、以前のPINの数を指定。例えば10とすると、保存されている過去10個のどれとも異なるPINを指定する必要がある) 以前のPINは保存されない
特殊文字を要求する 特殊文字は使用不可 1つ以上の特殊文字の使用が必須 特殊文字は使用不可
大文字を要求する 大文字は使用不可 1つ以上の大文字の使用が必須 大文字は使用不可
グループポリシーの「PINの複雑さ」の設定項目
グループポリシーを有効/無効に設定すると、項目によってはPINの最小長が6文字に設定される。

 例えば、数字と特殊文字(! " # $ % ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ )を含む、長さ8文字以上のPINを要求するなら、グループポリシーの「PINの最小桁数」を有効にした上で「PINの最小文字数」を「8」に設定し、「特殊文字を要求する」を有効にすればよい。また一定期間でPINコードの変更を要求したい場合は、「有効期限」を有効にして、日数を設定する。

グループポリシーを使って要件を設定する(1) グループポリシーを使って要件を設定する(1)
グループポリシーエディタを起動し、左ペインのツリーで[コンピューターの構成]−[管理用テンプレート]−[システム]−[PINの複雑さ]を開く。右ペインから設定したい要件を選び、ダブルクリックで設定項目を開く。
グループポリシーを使って要件を設定する(2) グループポリシーを使って要件を設定する(2)
「PINの最小文字数」を開き、デフォルトの4文字から変更してみる。「有効」を選択し、「PINの最小文字数」を4以上に設定すれば、最小文字数を4文字以上とすることができる。

 なお、[Windowsの設定]−[アカウント]−[サインインオプション]画面で、PINコードによるサインインが設定できない(「PIN」セクションの[追加]ボタンがグレーアウトしている)場合は、グループポリシーでPINコードによるサインインが無効化されている可能性がある。このような場合は、グループポリシーエディタで[コンピューターの構成]−[管理用テンプレート]−[システム]−[ログオン]を開き、「便利なPINを使用したサインインをオンにする」を有効にすればよい。

PINコードによるサインインを有効にする PINコードによるサインインを有効にする
PINコードによるサインインが行えない場合、グループポリシーで禁止されている可能性がある。このような場合、[コンピューターの構成]−[管理用テンプレート]−[システム]−[ログオン]を開き、「便利なPINを使用したサインインをオンにする」を有効にする。ここでは、ローカルグループポリシーを例にしているが、Active Directory(ドメイン)のグループポリシーによる設定変更が必要になることもある。

レジストリで要件を設定する

 Windows 10 Homeなどグループポリシーが利用できないエディションの場合、レジストリを設定することで、グループポリシーと同様の設定が行える。

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリエディタの操作は慎重に行うとともに、あくまでご自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、編集部では責任を負いかねます。ご了承ください。


 [Windows]+[R]キーで[ファイル名を指定して実行]ダイアログを開き、「名前」入力ボックスに「regedit」と入力して[Enter]キーを押す(管理者権限が必要)。レジストリエディタで以下のレジストリキーを作成し、必要に応じて、下表の値の名前やデータを入力する。

項目 内容
キー HKEY_LOCAL_MACHINEのSOFTWARE\Policies\Microsoft\PassportForWork\PINComplexity
設定するレジストリキー

設定 レジストリ値
値の名前 値の種類 データ
数字を要求する Digits REG_DWORD 1(有効)/2(無効)
小文字を要求する LowercaseLetters REG_DWORD 1(有効)/2(無効)
PINの最大桁数 MaximumPINLength REG_DWORD N/A(デフォルト)/4(最小値)/127(最大値)
PINの最小桁数 MinimumPINLength REG_DWORD 4(最小値)/127(最大値)
有効期限 Expiration REG_DWORD N/A(デフォルト)/0(最小値)/730(最大値)
履歴 History REG_DWORD 0(デフォルト)/50(最大値)
特殊文字を要求する SpecialCharacters REG_DWORD 1(有効)/2(無効)
大文字を要求する UppercaseLetters REG_DWORD 1(有効)/2(無効)
「PINの複雑さ」のレジストリ設定項目

 例えば、「MinimumPINLength」のデータを「6」に設定すれば、PINコードの最小桁数を6文字にできる。

レジストリで要件を設定する(1) レジストリで要件を設定する(1)
レジストリエディタを起動し、「PassportForWork\PINComplexity」キーを作成する。
レジストリで要件を設定する(2) レジストリで要件を設定する(2)
作成した「PINComplexity」キーの右ペインで、上表の設定したい「値の名前」を作成する。
レジストリで要件を設定する(3) レジストリで要件を設定する(3)
作成した「値の名前」をダブルクリックして、「データ」を設定する。ここでは、PINコードの最小桁数を設定する「MinimumPINLength」を作成し、最小文字数を「8」とした。

PINコードを設定する

 以上の操作でPINコードの要件を変更したら、実際にPINコードの設定し、設定した複雑性が有効になっているか試すとよい。それには、[Windowsの設定]−[アカウント]−[サインインオプション]画面を開き、「PIN」セクションの[追加]ボタンをクリックし、パスワードを入力後、PINコードを設定すればよい。

レジストリで要件を設定する(4) PINコードを設定する(1)
PINコードを設定するため、[Windowsの設定]−[アカウント]−[サインインオプション]画面を開き、「PIN」セクションの[追加]ボタンをクリックする。
レジストリで要件を設定する(5) PINコードを設定する(2)
ローカルアカウント/Microsoftアカウント/ドメインアカウントのいずれかのパスワードを入力する。
レジストリで要件を設定する(6) PINコードを設定する(3)
PINコードを入力する。ここでは試しに4文字のPINコードを設定してみた。
レジストリで要件を設定する(7) PINコードを設定する(4)
このようにPINコードの最低文字数を8文字に変更したため、4文字しか入力しないと警告が表示されてPINコードを設定できない。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。