Microsoft har endret standardoppsettprosessen for nye forbruker Microsoft-kontoer, styrer brukere mot passordløse autentiseringsmetoder fra starten av. Denne endringen, world passkey day betyr å lage en person.
I stedet vil de bli veiledet til å bruke mer moderne metoder som Windows Hello-Microsofts system for ansikt, fingeravtrykk eller PIN-pålogging introdusert for omtrent ti år siden-eller Microsoft Authenticator Mobile App. Denne justeringen gjenspeiler Microsofts pågående innsats for å forbedre kontosikkerheten midt i et økende tidevann av passordrelaterte cybertrusler.
Selskapet rettferdiggjør flyttingen ved å peke på sårbarhetene til passord og den økende sofistikering av angrep rettet mot dem. Microsofts data indikerer en angående rate på 7000 passordangrep som oppstår hvert sekund, .
fido allianse ÅTE
Microsofts egen metrics antyder at passkeys tilbyr en smoother brukeropplevelse med å bruke brukere er tre ganger mer times mer times mer times mer times mer times som mer. Multifaktorautentisering. Adopsjon ser ut til å vokse, med Microsoft som bemerker at nesten en million passkeys er registrert daglig for sine kontoer.
Ny påloggingsopplevelse og passordløs preferanse
Denne passordløse-for-default-tilnærmingen for nye kontoer er koblet med en bredere redesign av signeringen og påmeldingen til brukeropplevelsen. Dette oppdaterte grensesnittet tar sikte på et renere utseende som iboende guider brukere mot sikrere, passordfrie alternativer.
Forklar endringen for nye påmeldinger, uttalte Microsoft,”[Splitter nye Microsoft-kontoer vil nå være”passordløse.”] Nye brukere vil ha flere passordløse alternativer for å signere på deres konto og de vil ikke registrere et passord.”“Passwordless-foretrukket”-systemet rulles ut. Når du logger deg på, vil grensesnittet nå standard være den sikreste metoden som allerede er satt opp på kontoen, som en påmeldt passkey eller en Windows Hello-legitimasjon, i stedet for å umiddelbart be om et passord.
Microsoft bemerker at over 99% av brukerne signerer på Windows-enheter med Microsoft-kontoen deres, bruker Windows Hello Hello. Hvis noen logger seg på ved hjelp av en mindre sikker metode, vil de motta spørsmål som oppfordrer dem til Opprett en passkey eller lære hvordan du Administrer passkeyer i Windows . Videre kan eksisterende brukere som ønsker å forplikte seg fullt ut besøke kontoinnstillingene for å slette passordet helt. Selskapet rapporterte at interne studier av denne foretrukne strømmen førte til reduksjon av passordbruk som oversteg 20 prosent.
En strategi utviklet over tid
Dette siste trinnet mot en passordfri fremtid stemmer overens med et bredere sikkerhetsfokus Microsoft artikulert for et år siden. I mai 2024, etter flere cyberattacks, løftet selskapet sikkerheten som topp prioritet under Secure Future Initiative (SFI). Det var som en del av dette initiativet at den første Passkey-støtten for Consumer Microsoft-kontoer ble lansert på flere plattformer.
Siden den gang har Microsoft fortsatt å bygge den nødvendige infrastrukturen. Oppdateringer til Windows 11s Webauthn API-er (standarden som muliggjorde passkebruk i nettlesere og applikasjoner) ble introdusert i forhåndsvisningsbygg i november 2024, og satte spesielt til støtte for tredjeparts passkeforvaltere.
Dette tillot tjenester som 1Password eller Bitwarden å integrere mer direkte med vinduene Hello Authentication System. Dette tekniske arbeidet kompletterer innsatsen i bedriftsrommet, der Microsoft begynte å håndheve passkeystøtte i sin autentisator-app for spesifikke FIDO2-policyer som starter i januar 2025.
Den bredere sikkerhetskonteksten
Vekt på iboende sterkere autentisering. Selv noen former for multifaktorautentisering, selv om de er bedre enn passord alene, er ikke immun mot angrep.
En kritisk sårbarhet som ble lappet av Microsoft i slutten av 2024, involverte implementeringen av tidsbaserte engangspassord (TOTP)-de vanlige sekssifrede kodene generert av apper. Feilen, relatert til utilstrekkelige forsøksgrenser og et altfor langt kode-gyldighetsvindu, demonstrerte hvordan visse MFA-metoder fremdeles kan være utsatt for gjetting av brute-kraft. Oasis Security, som oppdaget feilen, bemerket at “kontoeiere ikke mottok noe varsel om det enorme antallet påfølgende mislykkede forsøk, noe som gjorde denne sårbarheten og angrepsteknikken farlig lav profil.”Denne hendelsen styrker saken ytterligere for phishing-resistente kryptografiske løsninger som passkeys.
