無密碼未來已經到來 即日起,微軟帳戶可採無密碼登入,從此向密碼說再見
作者:微軟安全性、合規性與身分識別部門企業副總裁Vasu Jakkal
沒人喜歡密碼,密碼既不方便,又是攻擊的主要目標,然而多年來卻是數位生活中萬事萬物的重要防護層,無論電子郵件、金融、社群、購物,全都少不了密碼。密碼不僅要設得複雜、設得獨一無二,設好了還得記,記起來了又須經常更改──但沒人喜歡如此。根據微軟近期在推特上舉辦的網路投票,有五分之一的回應者表示,寧願一不小心按到郵件的「全部回覆」而奇糗無比,也不要重設密碼。但,我們還有其他選擇嗎?
過去數年來,我們一直在談未來是無密碼的,很興奮在此宣布,微軟的無密碼未來又向前邁進一步。自2021年3 月開始,無密碼登入已可供商務使用者啟用,並已將該功能引入世界各地的企業組織。
自2021年9月17日起,大家可以徹底移除微軟帳戶的密碼,使用 Microsoft Authenticator App、Windows Hello、安全性金鑰或發送到手機或電子郵件的驗證碼來登入您最愛的APP和服務,比如:Outlook、OneDrive、Xbox、及家長監護功能(Family Safety)等。此功能將在未來近期推出。
密碼的問題
我的好友、微軟資安長Bret Arsenault常說:「駭客並不是侵入,而是登入。」 這句話我一直記著,因為他說得太有道理了。強度不足的密碼經常成為各類企業及使用者帳戶資安攻擊事件的進入破口。此時此刻每秒就有579起密碼攻擊事件,也就是每年180億起!
密碼到底為何如此容易受到攻擊,有以下幾個原因:
- 人類天性:
除了那些自動生成、難以記住的密碼外,密碼多半由我們自己設置,但有鑑於密碼的脆弱性,近年來對密碼的要求變得越來越複雜,包括多個符號、數字、區分大小寫以及不允許使用以前的密碼。 密碼通常需要定期更新,但要創建足夠安全且讓人記住的密碼是一項挑戰,對於我們生活中所有帳戶的建立、記住和管理,密碼是非常不方便的。
而忘記密碼時更是痛苦,我震驚地得知,比起找回遺失的密碼,有三分之一的人表示乾脆不再使用那個帳號或服務。如此一來,不僅使用者困在密碼無間道當中,企業也因此失去了客戶。而為了能記住,我們往往會使用和自身有關的現成字詞,比如最近微軟做的一項調查就發現,有15%的人以寵物的名字做為密碼靈感來源,其他常見的選擇還有姓氏及生日等重要日期,更有十分之一的人坦承,所有帳號都用同一組密碼。此外還有四成的人承認自己的密碼都有公式,比如今年秋天用的是Fall2021,隨著冬天、春天來臨就成了Winter2021、Spring2022。
- 駭客特性:
不幸的是,雖然這樣的密碼可能更容易記住,但駭客也更容易猜到。快速瀏覽一下某人的社群媒體可以讓任何駭客在登入他們的個人帳戶時占得先機。一旦密碼和電子郵件組合被洩露,它通常會在暗網上出售以用於攻擊。駭客手中有許多工具和技術,他們可以用「密碼噴灑」(password spraying)的手法,亂槍打鳥嘗試侵入帳戶密碼,也能以釣魚手法誘騙,讓你在假網站中輸入帳密。這些手法並不高深複雜,數十年來一直有人使用,卻還是有效,這是因為密碼依然由人所設置。
以下幾個步驟快速啟用無密碼登入:
- 首先,安裝Microsoft Authenticator App,並將其連結至您個人的微軟帳戶。
- 接著到您的Microsoft account,選擇「進階安全性選項」( Advanced Security Options),選擇開啟「無密碼帳戶」(Passwordless Account)的選項。
- 依照螢幕上的指示操作,在Authenticator應用程式跳出通知時選擇「允許」,之後便可不再需要密碼。
- 如果仍較喜歡使用密碼,隨時可將設定修改還原。詳細步驟影片請見此處。但希望您能嘗試無密碼登入—我猜您不會想換回來 (笑)
啟用無密碼登入很簡單 現在即刻啟動!
無密碼登入不僅獲得微軟企業客戶的熱烈回響,在微軟內部的測試情況也十分踴躍,幾乎100%的員工都選擇以無密碼方式登入公司帳號。
關於微軟的無密碼旅程,更多資訊請見Joy Chik , Corporate Vice President of Identity的部落格文章。若想進一步了解無密碼對Edge或 Microsoft 365應用程式有何益處,可參考Liat Ben–Zur 的部落格的文章。想要了解有關Microsoft解決方案,例如Microsoft Azure Active Directory 和 Microsoft Authenticator如何允許組織中的使用者在忘記密碼的同時受到保護,請參加我們將於 10 月 13 日舉行的「無密碼未來從現在開始」線上活動。
欲了解更多無密碼概念與技術應用,以及如何在 Azure Active Directory 中使用無密碼功能,歡迎至官方網站參考更多。
欲了解微軟安全性、合規性與身分識別部門企業副總裁Vasu Jakkal 署名發表的部落格原文,請至微軟資安部落格參考更多。
