Microsoftは、新しいConsumer Microsoftアカウントのデフォルトセットアッププロセスを変更し、ユーザーを最初からパスワードレス認証方法に向けて操縦しました。この変更、 world passkey day
代わりに、約10年前に導入された顔、指紋、またはピンログインのMicrosoftのシステム- Microsoft Authenticatorモバイルアプリなど、Windows Helloなどのより近代的な方法を使用するように導かれます。この調整は、パスワード関連のサイバー脅威の潮流の中でアカウントのセキュリティを強化するためのマイクロソフトの継続的な取り組みを反映しています。
会社は、パスワードの脆弱性とそれらを標的とする攻撃の洗練度を高めることにより、動きを正当化します。 Microsoftのデータは、毎秒発生する7,000件のパスワード攻撃のレートの懸念を示しています。フィッシングに耐性があります。これらは、 fido Alliance 。多要因認証。採用は成長しているようで、Microsoftはそのアカウントのために毎日100万人近くのパスキーが登録されていることに注目しています。この更新されたインターフェイスは、より安全なパスワードのないオプションに本質的にユーザーを導くクリーンな外観を目的としています。
新しいサインアップの変更を説明します。マイクロソフトは、「[デフォルトではパスワードレスになります。]新しいユーザーには、既存のアカウントに署名する必要はありません。 「パスワードレスプロファーレッド」システムが展開されています。サインインすると、インターフェイスは、すぐにパスワードを要求するのではなく、登録されたPassKeyやWindows Helloの資格情報のように、アカウントに既にセットアップされている最も安全なメソッドにデフォルトになります。
Microsoftは、Microsoftアカウントを使用してWindowsデバイスに署名するユーザーの99%以上がWindows Helloを利用していることを指摘しています。誰かがより安全でない方法を使用してログインしてログインした場合、彼らは passkey を作成するか、 それ以来、Microsoftは必要なインフラストラクチャの構築を続けています。 Windows 11のWebAuthn APIの更新(WebブラウザーとアプリケーションでのPassKeyの使用を可能にする標準のPassKey使用)が2024年11月にプレビュービルドで導入され、特にサードパーティPassKeyマネージャーのサポートが追加されました。この技術作業は、2025年1月から特定のFIDO2ポリシーのAuthenticatorアプリでMicrosoftがPassKeyサポートの実施を開始したエンタープライズ分野での取り組みを補完します。パスワードだけよりも優れているものの、いくつかの形式の多要素認証でさえ、攻撃の免疫はありません。 2024年後半にMicrosoftがパッチした重大な脆弱性には、アプリによって生成される一般的な6桁のコードである時間ベースのワンタイムパスワード(TOTP)の実装が含まれていました。不十分な試行制限と過度に長いコード有効性ウィンドウに関連する欠陥は、特定のMFAメソッドがまだブルートフォースの推測を受けやすいかを示しました。欠陥を発見したオアシスのセキュリティは、「アカウント所有者は、結果として生じた膨大な数の試みについてアラートを受け取らず、この脆弱性と攻撃技術を危険なほど目立たないようにした」と述べました。この事件は、PassKeysのようなフィッシングに耐える暗号化ソリューションのケースをさらに強化します。