北京
世界密码日刚过,微软放出一枚重磅消息。这家科技巨头宣布,自2027年1月起,Microsoft Entra ID将彻底停止支持通过安全问题重置密码。这意味着沿用数十年的"密码+安全问题"组合,即将成为历史。
微软安全团队给出的判断很直接:传统密码已成网络安全体系中最脆弱的环节。钓鱼攻击、撞库、暴力破解——这些老生常谈的威胁手段,在AI加持下正迎来新一轮升级。相比之下,通行密钥(Passkey)依托生物识别或设备PIN码完成本地验证,既堵住了钓鱼漏洞,也省去了记忆密码的麻烦。
产品层面的转向早已开始。今年微软新注册的Microsoft账户默认关闭密码登录,优先引导用户设置通行密钥、Windows Hello或安全密钥。存量用户也能手动删除账户密码,实现"无密码化"。Windows 11近期强化了通行密钥管理功能,兼容1Password、Bitwarden等第三方密码管理器;Edge浏览器更是打通了微软密码管理器与iOS、Android设备的通行密钥同步,跨平台体验趋于完整。
通行密钥的底层逻辑是FIDO联盟推动的公钥加密标准。用户设备本地生成私钥,服务端只存储公钥,即使服务器被攻破,攻击者也拿不到可用的凭证。微软披露的数据称,采用通行密钥后,遭遇钓鱼身份验证尝试的用户比例骤降99.6%,登录流程大幅简化,"无密码、无弹窗"成为常态。
生态层面,通行密钥已非小众实验。FIDO联盟统计显示,全球范围内已有50亿个通行密钥投入使用。微软自家产品中,数亿用户已在OneDrive、Xbox等付费服务中启用该功能;企业端的内部系统同样被纳入强制推行范围,弱身份验证方式正在被系统性淘汰。
2027年的Deadline看似遥远,实则留给企业的迁移窗口并不宽裕。从密码体系向通行密钥的切换,涉及身份基础设施的重构、用户习惯的重新培养,以及遗留系统的兼容适配。微软的这步棋,既是安全策略的升级,也是一场关于身份认证主导权的生态卡位。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
