Microsoft har förändrat standardinställningsprocessen för nya konsumentmicrosoft-konton, styr användare mot lösenordslösa autentiseringsmetoder från början. Denna förändring, tillkännagivna på maj World PassKey Day , betyder individer som skapar konton för tjänster som xbox eller copilot kommer inte att skapa en traditionell lösenord. Guidad för att använda mer moderna metoder som Windows Hello-Microsofts system för ansikte, fingeravtryck eller pin-inloggning introducerad för ungefär tio år sedan-eller Microsoft Authenticator Mobile App. Denna justering återspeglar Microsofts pågående ansträngning för att förbättra kontosäkerheten mitt i en stigande tidvatten av lösenordsrelaterade cyberhot.
Företaget motiverar flytten genom att peka på lösenordens sårbarheter och den ökande sofistikeringen av attacker som riktar sig till dem. Microsofts data indikerar en angående hastighet på 7 000 lösenordsattacker som inträffar varje sekund, FIDO Alliance.
Microsoft’s own metrics suggest passkeys offer a smoother user experience, claiming users are three times more successful logging in and complete the process eight times faster compared to using passwords with Multifaktorautentisering. Adoption verkar växa, med Microsoft som noterar att nästan en miljon passkeys registreras dagligen för sina konton.
Ny inloggningsupplevelse och lösenordslös preferens
Denna lösenordslösa-för-defult-strategi för nya konton är kopplad till en bredare redesign av skylt och inloggning. Detta uppdaterade gränssnitt syftar till en renare utseende som i sig leder användare mot säkrare, lösenordsfria alternativ.
som förklarar förändringen för nya anmälningar, säger Microsoft,”[helt nya Microsoft-konton kommer nu att vara”Passwordless.”Nya användare kommer att ha flera lösenord för att underteckna sitt konto och de kommer aldrig att behöva för att registrera sig””Lösenordslöst föredraget”-system rullas ut. När du loggar in kommer gränssnittet nu som standard till den säkraste metoden som redan har ställts in på kontot, som en inskriven passnyckel eller ett Windows Hello-referens, snarare än att omedelbart be om ett lösenord.
Microsoft konstaterar att över 99% av användarna som signerar in Windows-enheter med sina Microsoft-konto använder redan Windows Hello. Om någon loggar in i att använda en mindre säker metod, kommer de att få instruktioner som uppmuntrar dem till Skapa en passey eller lära dig hur du Hantera passkeys i Windows . Dessutom kan befintliga användare som vill helt begå besöka sina kontoinställningar för att ta bort sitt lösenord helt. Företaget rapporterade att interna försök av detta föredragna flöde ledde till en minskning av lösenordsanvändningen som överstiger 20 procent.
En strategi som utvecklats över tid
Detta senaste steg mot en lösenordsfri framtid är förenlig med en bredare säkerhetsfokus Microsoft artikulerad för ett år sedan. I maj 2024, efter flera cyberattacker, höjde företaget säkerhet som sin högsta prioritet under Secure Future Initiative (SFI). Det var som en del av det initiativet att det första passnyckelstödet för Consumer Microsoft-konton lanserades över flera plattformar.
Sedan dess har Microsoft fortsatt att bygga den nödvändiga infrastrukturen. Uppdateringar till Windows 11: s WebAuthn API: er (standard som möjliggör PassKey-användning i webbläsare och applikationer) introducerades i förhandsgranskningsbyggnader i november 2024, vilket särskilt lägger till stöd för Windows Hello-autentisationssystem. Detta tekniska arbete kompletterar insatser i företagsutrymmet, där Microsoft började upprätthålla passey-stöd i sin autentisator-app för specifik FIDO2-policy som börjar i januari 2025.
Den bredare säkerhetssammanhang
Betoningen på inherent Stronger Autentication Methods Like Passys är informerade av de gränser för äldre. Till och med vissa former av multifaktorautentisering, även om det är bättre än lösenord ensam, är inte immun mot attackera.
En kritisk sårbarhet som lappades av Microsoft i slutet av 2024 involverade dess implementering av tidsbaserade engångslösenord (TOTP)-de vanliga sexsiffriga koderna som genererades av appar. Felen, relaterad till otillräckliga försöksgränser och ett alltför långt kodgiltighetsfönster, visade hur vissa MFA-metoder fortfarande kunde vara mottagliga för brute-force gissning. Oasis Security, som upptäckte bristen, konstaterade att”kontoägare inte fick någon varning om det enorma antalet följd misslyckade försök, vilket gjorde denna sårbarhet och attackteknik farligt låg profil.”Denna incident stärker ytterligare fallet för phishing-resistenta kryptografiska lösningar som passkeys.
