微软正式迈进无密时代
发布时间:2021-10-08 09:00:01|浏览次数:688
在本周,微软宣布他们已经完成了无口令化的改造,我们一起来看看,他们是怎么做的。本文转载自微软企业安全、身份副总裁Vasu Jakkal的博客。
大家都不喜欢口令,因为口令既不方便,而且是被攻击的主要目标。然而多年来,它们一直是数字生活中最重要的安全层——从电子邮件到银行帐户,从购物车到视频游戏。
我们需要创建复杂而独特的口令,记住它们,并且经常更改,虽然没有人喜欢这样做,但是我们还有别的选择吗?
过去的几年,我们一直在说未来是无口令的,今天我很荣幸的宣布这一愿景的最新进展。2021 年 3 月,微软宣布商业用户普遍可以使用无口令登录,并将此功能引入世界各地的企业组织中。
从今天开始,你可以从你的 Microsoft 帐户中完全删除口令。使用 Microsoft Authenticator 应用程序、Windows Hello、安全密钥、短信验证码或电子邮件验证码登录您喜爱的应用程序和服务,例如 Microsoft Outlook、Microsoft OneDrive、Microsoft 家庭安全设置等。此功能将在未来几周内推出。
口令问题
Bret Arsenault是微软的首席安全信息官(CISO),他喜欢说:“黑客不会声势浩大的闯入,他们会平平静静的登录。”自从第一次听到他说这句话,这句话就一直萦绕在我心头,因为这是真的。
弱口令是大多数企业和消费者帐户攻击的切入点。每秒多达 579 次口令攻击--相当于每年 180 亿次。
为什么口令如此易受攻击?有两大原因。
人性
除了几乎不可能记住的自动生成的口令,我们还会自己创建口令。但是,考虑到口令的脆弱性,近年来对口令的要求变得越来越复杂,包括多个符号、数字、区分大小写以及禁止使用以前的口令。通常需要定期更新,但要创建既足够安全又足够令人难忘的口令是一个很大的挑战。在我们的生活中,创建、记住和管理所有帐户的口令都非常不方便。
忘记口令也很痛苦。我震惊地发现,忘记口令后,近三分之一的人表示他们会完全停止使用帐户或这项服务,而不是处理丢失的口令。这不仅让用户陷入了口令使用恢复体验差的陷阱,更从商业上失去了客户。
为了解决这些问题并创建可以记住的口令,我们尝试让事情变得更简单。我们经常依赖于已知的与个人相关的词汇以及短语。我们最近的一项调查发现,15%的人用宠物的名字来当做口令。其他常见的口令规则包括生日等重要日期以及姓氏等。我们还发现,十分之一的人跨网站重复使用口令,40%的人表示他们使用了格式化的口令,例如Fall2021,最终成为 Winter2021 或 Spring2022。
黑客本性
不幸的是,虽然这样的口令可能更容易记住,但黑客也更容易猜到。快速浏览某人的社交媒体可以让任何黑客在登录其个人帐户时抢先一步。一旦口令和电子邮件组合被泄露,通常会在网络黑市上出售,用于大数量级的攻击。
黑客也有很多工具和技术。他们可以使用自动口令嗅探工具尝试多种可能性。也可能利用网络钓鱼,让你将口令录入一个假网站。这些策略相对来说并不复杂,已经使用了几十年,但它们仍然有效,因为口令仍然是由人类创建的。
去口令化操作
第一步,确保Microfoft Authenticator app已经在手机上安装,并关联到微软帐户;
第二步,访问微软帐户,在高级安全选项中,开启Passwordless Account。
之后,手机上会弹出提示、要求确认。一旦完成统一,你将不再需要使用口令。
国民认证一直专注于无口令化进程,提供多行业多场景无口令化解决方案,敬请多多关注。