“無密碼”和“零信任”是網絡安全的熱門話題，也是每個企業的終極安全目標。

　　微軟已宣布正式進入完全無密碼，允許Windows用戶用幾種替代登錄技術中的一種替換他們的字母數字密碼，以進入微軟產品，這一舉措得到了業內人士的積極響應。

　　微軟負責安全、合規和身份識別的企業副總裁Vasu Jakkal在一篇博客文章中表示，這些新的登錄選項自3月以來已向商業客戶提供，將于10月13日向所有 Windows 用戶提供。

　　“從今天開始，您現在可以從您的Microsoft帳戶中完全刪除密碼，”她說。“使用Microsoft Authenticator應用、Windows Hello、安全密鑰或發送到您的手機或電子郵件的驗證碼來登錄您喜歡的應用和服務。”

　　微軟表示，其客戶仍然可以選擇使用密碼，但它希望通過讓無密碼變得容易，用戶會選擇這樣做。

　　自2019年以來，Windows 10已提供無密碼訪問，并且在過去幾年中，該公司一直在其產品組合中緩慢傳播這種類型的訪問。

　　行業反應

　　業內人士同意微軟的思路，并表示企業和消費者應該采用任何有助于消除密碼需求的技術。

　　“密碼是公司內部最容易受到攻擊的組件之一。為了降低風險，組織應該建立嚴格的密碼策略或切換到無密碼模式，就像微軟正在做的那樣。后者將更有效率，”Mohit Tiwari說，云安全公司Symmetry Systems的聯合創始人兼首席執行官。

　　安全公司GuidePoint Security的專業服務身份和訪問管理實踐負責人Kevin Converse表示，無密碼是公司應實施的必要防御工具。

　　“隨著[管理和預算辦公室]最近對零信任的關注，許多人意識到，隨著云和遠程工作的不斷發展，無密碼環境是希望實施零信任并處理訪問管理的組織的關鍵組成部分占主導地位，”匡威說。“考慮到商界的發展方向，這一公告具有方向性。”

　　SecureW2的首席執行官兼聯合創始人Bert Kashyap稱微軟的舉動“對安全來說非常重要”，但指出了幾個潛在的障礙，包括如果無法訪問身份驗證器應用程序，可能會出現恢復問題。

　　“雖然這有利于安全，但這對最終用戶來說是可取的嗎？人們愿意將他們的個人手機與身份驗證器一起使用嗎？另外需要考慮的是，通過依賴”你擁有的東西“，它可能是一個糟糕的用戶如果手機丟失，體驗一下，”他說。

　　Beyond Identity的聯合創始人兼首席執行官TJ Jermoluk指出，用戶必須從系統中完全刪除舊密碼，才能使無密碼功能生效。

　　“除非你完全根除密碼，而不是在身份驗證過程中少使用它，否則仍然存在相當大的風險，”Jermoluk說。這會讓用戶誤以為他們是‘無密碼’，而實際上他們是有密碼。“

　　該公司表示，微軟已經提供了一種在Authenticator應用程序的登錄過程中完全刪除任何密碼的途徑。

　　保持簡單

　　微軟表示，在過去幾年中，它已經創建并實施了多種簡單的方法，旨在通過消除操作的復雜性來鼓勵人們注冊其無密碼系統之一。

　　該公司表示，用戶可以通過下載Microsoft Authenticator應用程序來實現無密碼，該應用程序通過向手機或電子郵件發送PIN或基于時間的一次性密碼，幫助人們在使用雙因素驗證時登錄帳戶。

　　微軟于2015年為企業和消費者推出了Windows Hello。該公司表示，該技術使用生物識別技術，用戶可以對其進行設置以識別指紋、虹膜、面部或 PIN。

　　密碼不好

　　Jakkal列出了Microsoft在過去幾年中一直在努力放棄密碼的眾多原因。

　　”弱密碼是企業和消費者賬戶中大多數攻擊的切入點。每秒有高達579次密碼攻擊——即每年180億次，“她指出。

　　攻擊者將如此多的精力用于獲取密碼的一般原因是雙重的。首先，通過首先獲得真實密碼進入目標網絡更容易、更有益，其次，人們使密碼很容易被竊取或破譯。

　　創建復雜的密碼很困難。Jakkal 說，它們很難記住，而且由于人們擁有如此多的帳戶，因此現在需要的數量使他們難以管理。

　　”我震驚地了解到，近三分之一的人表示他們完全停止使用帳戶或服務，而不是處理丟失的密碼。這不僅是陷入密碼循環的人的問題，也是失去客戶的企業的問題， “她注意到。

　　Jakkal說，為了讓自己更輕松，人們會深入熟悉的井中找出密碼。他們使用寵物名稱、家庭成員名稱和常用短語。他們還會在多個站點重復使用他們已經知道的密碼。

　　”我們還發現十分之一的人承認在不同網站上重復使用密碼，40%的人表示他們使用了密碼公式，比如2021年秋季，最終變成了2021年冬季或2022 年，“她說。

　　所有這些陰謀都直接在黑客手中發揮作用，因為許多人擁有利用寬松密碼創建的技能和工具。

　　”快速瀏覽一下某人的社交媒體可以讓任何黑客在登錄他們的個人帳戶時有一個良好的開端，“他說。”他們可以使用自動密碼聯想來快速嘗試多種可能性。他們可以使用網絡釣魚來誘騙您將您的憑據放入虛假網站。“

　　快速點擊幾下，今天就可以無密碼了

　　首先，確保您已安裝Microsoft Authenticator應用并鏈接到您的個人 Microsoft帳戶。

　　https://docs.microsoft.com/en-us/azure/active-directory/user-help/user-help-auth-app-download-install

　　接下來，訪問您的Microsoft帳戶，登錄并選擇高級安全選項。在Additional Security Options下，您將看到Passwordless Account，選擇打開。

　　https://login.live.com

　　Microsoft Authenticator 屏幕顯示無密碼選項

　　最后，按照屏幕上的提示操作，然后批準來自您的 Authenticator 應用程序的通知。一旦您獲得批準，您就可以擺脫密碼了！

　　顯示密碼的Microsoft Authenticator屏幕已成功刪除

　　如果您決定更喜歡使用密碼，您可以隨時將其添加回您的帳戶。但我希望你能嘗試一下無密碼——我認為你不會再想回去。

　　點評：如今這個信息高速發展的時代，企業安全都在拼命堆砌密碼難度，甚至使用超高難度密碼。其實微軟也并非是首創，縱觀目前手機行業，生物解鎖代替密碼的玩法也是屢見不鮮，微軟也只是從企業安全角度出發，照搬了這個模式。

　　但就微軟的地位和影響力，看到并直接做到去密碼化，這對整個網絡安全行業都將是一次不可忽視的震蕩，這個震蕩的影響力也將逐漸波及到各行各業，引領未來網絡安全走向真正完全”去密碼“化。

　　應了開頭那句話：”無密碼“和”零信任“是每個企業的終極安全目標。