全球用戶超過 10 億的微軟,目前已經在制定計畫,該計畫將徹底結束微軟帳戶的密碼時代,即全面轉向由 MFA 或通行金鑰 (Passkey) 的無密碼時代。
當前,微軟安全系統每秒會攔截超過 7000 次密碼攻擊,這幾乎是 2023 年的 2 倍,而中間人網路釣魚攻擊同比增長高達 146%。鑑於目前沒有更好的辦法能夠徹底應對普遍存在的密碼攻擊,微軟決定在未來全部進入無密碼時代,即使用者只能通過 MFA 多因素認證或通行金鑰登錄。
微軟在兩年前提出了通行金鑰(passkeys)這一解決方案,以使用 Windows Hello 建立和登入。 一旦使用 Windows Hello 建立並儲存通行密鑰之後,就可以使用裝置的生物特徵辨識(臉部、指紋辨識)或 PIN 來登入。 或者,可以使用隨附裝置 (手機或平板電腦) 來登入。
透過這種方式不會像密碼那樣容易遭受相同類型的攻擊,還消除了忘記密碼和一次性驗證碼的問題。用通行金鑰登錄比傳統密碼快三倍,比密碼加傳統多因素認證(MFA)快八倍;使用者使用通行金鑰登錄的成功率是密碼的三倍(98% 對比 32%);99% 開啟通行金鑰註冊流程的使用者都能完成註冊。
由於通行金鑰通常也不支援下載和匯出,因此通行金鑰本身洩露的機率極低,攻擊者要麼遠端登錄到使用者系統並且能夠通過 Windows Hello 認證才有可能呼叫 Windows 11 中儲存的通行金鑰。
不過,儘管通行金鑰有諸多優勢,但也並非完美。如果使用者的電腦既有設定通行金鑰,又有設定密碼,那麼帳戶仍面臨釣魚攻擊風險。因此,微軟的最終目標是完全取消密碼,早在 2022 年微軟就提供了密碼刪除服務,已有數百萬使用者刪除了密碼。
目前當然還是有很多用戶依然使用傳統密碼,主要原因就是在某些情境之下,還是只能依靠密碼來說入,通行密鑰還是不夠方便。未來,微軟肯定會繼續改善通行金鑰的使用情境,加速終結密碼時代。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!