5 月 8 日消息,每年 5 月第一个星期四(IT之家注:今年为 5 月 7 日),是世界密码日。微软当天发布安全博文,强调在 AI 等高级攻击手段不断发展的背景下,用户和企业应该从传统密码转向通行密钥。
微软表示,通行密钥的重要性正在上升。传统密码仍是网络安全中最薄弱的环节之一。面对凭据泄露和钓鱼攻击,微软建议用户放弃传统密码,改用通行密钥。
微软本身也是通行密钥的主要推动者。今年早些时候,微软宣布新 Microsoft 账户默认进入无密码模式,用户可以通过通行密钥、生物识别或安全密钥登录,不再依赖传统密码,现有用户也可以手动删除账户密码。
Windows 11 也加强了通行密钥集成,能够调用 1Password、Bitwarden 等第三方密码管理器中保存的通行密钥。微软还将支持用户通过 Edge 浏览器,把 Microsoft Password Manager 中的通行密钥同步到 iOS 和 Android。
据IT之家了解,通行密钥依赖指纹、面部识别或 PIN 等设备端验证,优势在于更简单、更安全。与传统密码不同,通行密钥可以抵御钓鱼攻击,也不容易被虚假登录页面窃取。
微软并不是唯一推动无密码登录的公司。过去一年,包括 FIDO 联盟成员在内的科技行业都在推动通行密钥普及。FIDO 联盟估计,目前全球已有 50 亿个通行密钥投入使用。
微软也表示,已经有“数亿用户”在 OneDrive、Xbox 和其他微软消费者服务中使用通行密钥。微软内部也已经切换到通行密钥。微软内部已经淘汰较弱的身份验证方式,并推出抗钓鱼身份验证,覆盖环境中 99.6% 的用户和设备。大幅简化登录流程:不需要输入验证码,不需要处理额外提示,所有人都能获得直接明了的体验。
微软还希望防止恶意攻击者通过钓鱼方式获取账户恢复信息。从 2027 年 1 月开始,安全问题将不再可用于重置 Microsoft Entra ID 密码。