微軟如何在世界密碼日協助您實現無密碼驗證

又到了一年一度的時刻。2023年5月4日是世界密碼日。自從十年前由資安專家們創立以來，它依然保持著強大的影響力。最近的一項研究分析了超過150億個密碼，發現排名前十名最受歡迎的密碼，依然包括易於破解的組合，例如「123456」和「qwerty」。以這種程度的安全性，許多組織如同把大門敞開一般。在串流服務分享使用此類密碼可能看似無害（不過他們的會計師可能不這麼認為），但這種行為有時會擴散到工作場所，使得低弱度密碼或共享員工密碼成為企業面臨的最大安全威脅之一。

在2022年，微軟每秒追蹤到1,287次密碼攻擊（每天超過1.11億次）。網路釣魚（Phishing）攻擊方法越來越受青睞，從2021年增長了61％至2022年。根據我們2023年的數據，這一趨勢仍在繼續。密碼不應該在未來的認證策略中扮演任何角色。這就是為什麼您不需要為微軟帳戶設置密碼的原因—數以十萬計的人已經完全刪除了他們的密碼。

為了實現更強大、更簡化的安全性，微軟的無密碼驗證可以幫助您的組織消除密碼漏洞，同時在整個企業範圍內提供簡化的存取方式。為了紀念世界密碼日，本文將幫助您向組織提出一個觀點當作為「明確驗證」的一部分，以零信任策略為基礎，使用對抗網路釣魚無密碼憑證的現代強大驗證方法提供最佳安全性和優異的投資報酬率（ROI）。

實現無密碼驗證，實現簡單、安全和節省成本。

如果您閱讀了我關於為何不設置密碼的部落格，您就會了解我對這個議題的看法。引用我自己的話：“您的密碼不僅糟糕，考慮到它很有可能被猜測、截取、釣魚或重複使用，它絕對是糟糕的。”正如微軟資訊安全性主管Bret Arsenault所說：“駭客不是闖進來的，他們是登入進來的。”

僅僅依賴密碼不足以提供充分的保護。傳統的多重身份驗證將第二要素添加到密碼中，以增加一層保護，但其中最受歡迎的電話驗證方法同時也是最有問題的（請參考我關於遠離電話驗證方法的部落格，了解為何電話驗證並非為理想的多重身份驗證選項）。即使使用強大的方法，例如使用Microsoft Authenticator來增強密碼，仍然存在密碼本身的弱點。最好的密碼是沒有密碼，而且您可以通過Windows Hello、安全金鑰或者我最喜歡的Microsoft Authenticator來實現這一目標。

在2022年，微軟與FIDO聯盟以及其他主要平台合作，致力於下一步的行動，讓密碼成為過去，支援使用通用無密碼驗證登錄方法，稱為「萬能金鑰」（passkeys）。萬能金鑰不僅用更加密碼學上安全的方式取代密碼，而且使用起來與密碼一樣簡單直觀。基於Fast Identity Online（FIDO）標準的無密碼技術，如Windows Hello，通過在設備上進行驗證，而不是通過（常常易受攻擊的）在線連接傳遞用戶憑證，從而增強了安全性。同時，它還提供了簡化的用戶體驗，有助於提升生產力。

這是微軟的長期合作夥伴Accenture決定通過取消密碼身份驗證的要求來簡化用戶體驗的目標。作為一家在49個國家擁有738,000名員工的公司，Accenture決定以自動化和便利為目標進行身分識別與存取權管理（IAM）。Accenture選擇了Microsoft Authenticator、Windows Hello for Business和FIDO2 security keys作為無密碼化驗證的解決方案。正如在他們的案例研究中所描述的那樣，結果已經開始顯現：“無密碼驗證的採用使得登錄時間更快、體驗更可靠、身份驗證失敗次數減少，並改善了整體安全性狀態。”

無論您是像 Accenture 這樣的全球組織，還是一家小型初創企業，微軟 Azure Active Directory（Azure AD）中的身份驗證方法政策（現在已成為Microsoft Entra的一部分）使您的 IAM 團隊能夠從單一控制台輕鬆管理所有用戶的無密碼驗證。更好的是，最近一項由 Forrester Consulting 執行的研究發現，基於對採訪客戶的調查，使用 Azure AD 來保護其業務應用程式的綜合組織，在三年內獲得了240％的投資報酬率（三年內的凈現值為850萬美元），同時每年將密碼重置請求減少了顯著的75％。