たいていのユーザーの資格情報管理は、Webブラウザにパスワードを保存するだけである。パスワードが実際にはブラウザごと、コンピュータごとに保存されているため、しばしば満足できない結果になる。追加のソフトウェアなしでIEとFirefox、職場と家庭のコンピュータでのアカウントの共有はできない。
Windows 8では、Windows Liveアカウントが主要なパスワードになる。これでは、ユーザーから“信頼済み”とマークされたWindows 8マシンから他のあらゆるパスワードにアクセスすることができるようになる。Windowsでは、一般的にパスワードを入力するが、“資格情報の管理” 画面から見ることができる。
Windows Liveパスワードをなくすことは甚大なセキュリティリスクになるため、Microsoftはユーザーに通常のパスワードリカバリシステムを無効にすることを推奨している。これらの代わりにセカンダリemailアドレスや携帯電話をパスワード回復に使用することができるが、これには大きなリスクが生じる。
アプリケーション開発者に取って、この新しいエコシステムは、興味深い展望を提供する。Windows 8資格情報ストレージは、旧来とMetroスタイルの両方のアプリケーションにAPIを提供する。これは、開発者がローカルに保存されたパスワードを確保する責任がなくなり、複数マシンの同期による利益を受けられることを意味する。
APIのエントリーポイントは、PasswordVaultクラスである。ここから、ユーザー名からリソース、リソースからユーザー名のリストを取得することができる。リソースは、URLやアプリケーションIDのようなただの文字列である。それぞれのリソース/ユーザー名の組み合わせは、それに関連づけられたひとつのパスワードを持つ。
これは、回答が得られていないいくつかの疑問である:
- すべてのアプリケーションは、同じパスワードのリポジトリにアクセスするのか?またはそれぞれ独自に取得するのか?
- もし共有されるなら、Windowsは一度にすべてのパスワードを盗むアプリケーションを防ぐことができるのか?
- もし共有できない場合、どうやってWindowsは、あるアプリケーションと他のアプリケーションを区別するのか?