“無密碼”和“零信任”是網(wǎng)絡(luò)安全的熱門話題，也是每個(gè)企業(yè)的終極安全目標(biāo)。

　　微軟已宣布正式進(jìn)入完全無密碼，允許Windows用戶用幾種替代登錄技術(shù)中的一種替換他們的字母數(shù)字密碼，以進(jìn)入微軟產(chǎn)品，這一舉措得到了業(yè)內(nèi)人士的積極響應(yīng)。

　　微軟負(fù)責(zé)安全、合規(guī)和身份識(shí)別的企業(yè)副總裁Vasu Jakkal在一篇博客文章中表示，這些新的登錄選項(xiàng)自3月以來已向商業(yè)客戶提供，將于10月13日向所有 Windows 用戶提供。

　　“從今天開始，您現(xiàn)在可以從您的Microsoft帳戶中完全刪除密碼，”她說?！笆褂肕icrosoft Authenticator應(yīng)用、Windows Hello、安全密鑰或發(fā)送到您的手機(jī)或電子郵件的驗(yàn)證碼來登錄您喜歡的應(yīng)用和服務(wù)。”

　　微軟表示，其客戶仍然可以選擇使用密碼，但它希望通過讓無密碼變得容易，用戶會(huì)選擇這樣做。

　　自2019年以來，Windows 10已提供無密碼訪問，并且在過去幾年中，該公司一直在其產(chǎn)品組合中緩慢傳播這種類型的訪問。

　　行業(yè)反應(yīng)

　　業(yè)內(nèi)人士同意微軟的思路，并表示企業(yè)和消費(fèi)者應(yīng)該采用任何有助于消除密碼需求的技術(shù)。

　　“密碼是公司內(nèi)部最容易受到攻擊的組件之一。為了降低風(fēng)險(xiǎn)，組織應(yīng)該建立嚴(yán)格的密碼策略或切換到無密碼模式，就像微軟正在做的那樣。后者將更有效率，”Mohit Tiwari說，云安全公司Symmetry Systems的聯(lián)合創(chuàng)始人兼首席執(zhí)行官。

　　安全公司GuidePoint Security的專業(yè)服務(wù)身份和訪問管理實(shí)踐負(fù)責(zé)人Kevin Converse表示，無密碼是公司應(yīng)實(shí)施的必要防御工具。

　　“隨著[管理和預(yù)算辦公室]最近對(duì)零信任的關(guān)注，許多人意識(shí)到，隨著云和遠(yuǎn)程工作的不斷發(fā)展，無密碼環(huán)境是希望實(shí)施零信任并處理訪問管理的組織的關(guān)鍵組成部分占主導(dǎo)地位，”匡威說。“考慮到商界的發(fā)展方向，這一公告具有方向性?！?/p>

　　SecureW2的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Bert Kashyap稱微軟的舉動(dòng)“對(duì)安全來說非常重要”，但指出了幾個(gè)潛在的障礙，包括如果無法訪問身份驗(yàn)證器應(yīng)用程序，可能會(huì)出現(xiàn)恢復(fù)問題。

　　“雖然這有利于安全，但這對(duì)最終用戶來說是可取的嗎？人們?cè)敢鈱⑺麄兊膫€(gè)人手機(jī)與身份驗(yàn)證器一起使用嗎？另外需要考慮的是，通過依賴”你擁有的東西“，它可能是一個(gè)糟糕的用戶如果手機(jī)丟失，體驗(yàn)一下，”他說。

　　Beyond Identity的聯(lián)合創(chuàng)始人兼首席執(zhí)行官TJ Jermoluk指出，用戶必須從系統(tǒng)中完全刪除舊密碼，才能使無密碼功能生效。

　　“除非你完全根除密碼，而不是在身份驗(yàn)證過程中少使用它，否則仍然存在相當(dāng)大的風(fēng)險(xiǎn)，”Jermoluk說。這會(huì)讓用戶誤以為他們是‘無密碼’，而實(shí)際上他們是有密碼?！?/p>

　　該公司表示，微軟已經(jīng)提供了一種在Authenticator應(yīng)用程序的登錄過程中完全刪除任何密碼的途徑。

　　保持簡(jiǎn)單

　　微軟表示，在過去幾年中，它已經(jīng)創(chuàng)建并實(shí)施了多種簡(jiǎn)單的方法，旨在通過消除操作的復(fù)雜性來鼓勵(lì)人們注冊(cè)其無密碼系統(tǒng)之一。

　　該公司表示，用戶可以通過下載Microsoft Authenticator應(yīng)用程序來實(shí)現(xiàn)無密碼，該應(yīng)用程序通過向手機(jī)或電子郵件發(fā)送PIN或基于時(shí)間的一次性密碼，幫助人們?cè)谑褂秒p因素驗(yàn)證時(shí)登錄帳戶。

　　微軟于2015年為企業(yè)和消費(fèi)者推出了Windows Hello。該公司表示，該技術(shù)使用生物識(shí)別技術(shù)，用戶可以對(duì)其進(jìn)行設(shè)置以識(shí)別指紋、虹膜、面部或 PIN。

　　密碼不好

　　Jakkal列出了Microsoft在過去幾年中一直在努力放棄密碼的眾多原因。

　　”弱密碼是企業(yè)和消費(fèi)者賬戶中大多數(shù)攻擊的切入點(diǎn)。每秒有高達(dá)579次密碼攻擊——即每年180億次，“她指出。

　　攻擊者將如此多的精力用于獲取密碼的一般原因是雙重的。首先，通過首先獲得真實(shí)密碼進(jìn)入目標(biāo)網(wǎng)絡(luò)更容易、更有益，其次，人們使密碼很容易被竊取或破譯。

　　創(chuàng)建復(fù)雜的密碼很困難。Jakkal 說，它們很難記住，而且由于人們擁有如此多的帳戶，因此現(xiàn)在需要的數(shù)量使他們難以管理。

　　”我震驚地了解到，近三分之一的人表示他們完全停止使用帳戶或服務(wù)，而不是處理丟失的密碼。這不僅是陷入密碼循環(huán)的人的問題，也是失去客戶的企業(yè)的問題， “她注意到。

　　Jakkal說，為了讓自己更輕松，人們會(huì)深入熟悉的井中找出密碼。他們使用寵物名稱、家庭成員名稱和常用短語(yǔ)。他們還會(huì)在多個(gè)站點(diǎn)重復(fù)使用他們已經(jīng)知道的密碼。

　　”我們還發(fā)現(xiàn)十分之一的人承認(rèn)在不同網(wǎng)站上重復(fù)使用密碼，40%的人表示他們使用了密碼公式，比如2021年秋季，最終變成了2021年冬季或2022 年，“她說。

　　所有這些陰謀都直接在黑客手中發(fā)揮作用，因?yàn)樵S多人擁有利用寬松密碼創(chuàng)建的技能和工具。

　　”快速瀏覽一下某人的社交媒體可以讓任何黑客在登錄他們的個(gè)人帳戶時(shí)有一個(gè)良好的開端，“他說。”他們可以使用自動(dòng)密碼聯(lián)想來快速嘗試多種可能性。他們可以使用網(wǎng)絡(luò)釣魚來誘騙您將您的憑據(jù)放入虛假網(wǎng)站?！?/p>

　　快速點(diǎn)擊幾下，今天就可以無密碼了

　　首先，確保您已安裝Microsoft Authenticator應(yīng)用并鏈接到您的個(gè)人 Microsoft帳戶。

　　https://docs.microsoft.com/en-us/azure/active-directory/user-help/user-help-auth-app-download-install

　　接下來，訪問您的Microsoft帳戶，登錄并選擇高級(jí)安全選項(xiàng)。在Additional Security Options下，您將看到Passwordless Account，選擇打開。

　　https://login.live.com

　　Microsoft Authenticator 屏幕顯示無密碼選項(xiàng)

　　最后，按照屏幕上的提示操作，然后批準(zhǔn)來自您的 Authenticator 應(yīng)用程序的通知。一旦您獲得批準(zhǔn)，您就可以擺脫密碼了！

　　顯示密碼的Microsoft Authenticator屏幕已成功刪除

　　如果您決定更喜歡使用密碼，您可以隨時(shí)將其添加回您的帳戶。但我希望你能嘗試一下無密碼——我認(rèn)為你不會(huì)再想回去。

　　點(diǎn)評(píng)：如今這個(gè)信息高速發(fā)展的時(shí)代，企業(yè)安全都在拼命堆砌密碼難度，甚至使用超高難度密碼。其實(shí)微軟也并非是首創(chuàng)，縱觀目前手機(jī)行業(yè)，生物解鎖代替密碼的玩法也是屢見不鮮，微軟也只是從企業(yè)安全角度出發(fā)，照搬了這個(gè)模式。

　　但就微軟的地位和影響力，看到并直接做到去密碼化，這對(duì)整個(gè)網(wǎng)絡(luò)安全行業(yè)都將是一次不可忽視的震蕩，這個(gè)震蕩的影響力也將逐漸波及到各行各業(yè)，引領(lǐng)未來網(wǎng)絡(luò)安全走向真正完全”去密碼“化。

　　應(yīng)了開頭那句話：”無密碼“和”零信任“是每個(gè)企業(yè)的終極安全目標(biāo)。