微软朝着无密码的未来迈出了大胆的一步

在最近的博客中微软宣布从2021年9月15日起，您可以完全删除您的微软账户的密码，并使用Microsoft Authenticator应用程序、Windows Hello、安全密钥或发送到您的手机或电子邮件的验证码来登录微软应用程序和服务。

好久不见

乍一看，这似乎是一个好主意，许多用户会松一口气，并期待下一个科技巨头采取这一步骤。所有赞成这一改变的人一定都在想：是什么花了他们这么长时间？

2019年，微软安全主管Bret Arsenault解释了该公司取消密码的原因。在2020年，微软开始启用替代方案对于其许多产品，如Yubico、HID Crescendo、TrustKey和AuthenTrend。

所有这些替代方案都更安全，更难以妥协，我们一直提倡将它们作为第二个因素在登录过程中的年龄。

为什么要删除密码？

微软对此给出了两个原因:

• 没有人喜欢密码(我可以保证这不是真的)。
• 他们是攻击的主要目标。

没有人喜欢密码的原因之一是，荒谬和不必要的规则也使密码情况变得更糟，比如要求用户选择符合公式的密码，或强迫用户每隔几个月更换密码。这两家公司都已名誉扫地，但仍在困扰着我们。公式减少用户可以从中选择的可能密码的数量，以及定期的密码重置鼓励用户选择符合可预测模式的密码，这两者都可以使猜测密码变得更容易，这与我们想要的相反。

我同意密码可以被猜到这一事实，这使它们成为目标。但在我看来，这里的推理有点扭曲。如果小偷想要我的珠宝，我当然可以到最近的当铺去卖。但这难道不是在转移他们的注意力吗?现在我有钱了，那也是我的目标。

从密码到生物特征识别的转换多次遇到同样的问题。如果我用密码交换指纹，我的指纹就会成为目标。如果我的指纹丢失了，我可以替换它们吗？罪犯们会想出什么办法来偷它们？当他们拥有它们时会发生什么？谈论在任何地方重复使用相同的凭据…

Per Thorsheim的专家意见

必威平台APP必威官方登录备用Malwarebytes Labs对这一消息的看法有些分歧，所以我们决定联系世界上最顶尖的密码专家之一。每Thorsheim，他在推特上表达了对微软这一举措的一些主要担忧。

祝贺微软迈出了大胆的一步!

1.我相信“很少有人”会在早期做到这一点
2.个人用户完全可以FUBAR自己的帐户访问，并且
3.微软将了解到，当人们进入“帐户恢复”过程时，他们会感到恼火。

请证明我错了。https://t.co/7C37gN0xNJ

-每索尔谢姆（@Thorsheim）2021年9月15日

必威平台APP必威官方登录备用Malwarebytes实验室：Per，谢谢你的时间，你能告诉我们的读者一些关于你自己的事情，以及你是如何对密码如此感兴趣的吗?

每Thorsheim:我是Per Thorsheim，我是PasswordsCon的创始人和主要组织者，这是第一个也是唯一一个致力于密码和数字认证的全球会议。白天，我负责BankID的安全工作，这是挪威的数字身份/认证/签名解决方案，由vipps.no．我对密码的痴迷始于我在普华永道(PWC)做渗透测试的时候，在2000年之前的某个地方，由于一名员工使用“Password”作为密码，在不到一天的时间里就成功获得了《财富》500强公司的Domain Admin。

2010年12月，受我居住的挪威西海岸卑尔根大学的邀请，我第一次运行了PasswordsCon。(见passwordscon.org更多信息)。

必威平台APP必威官方登录备用Malwarebytes实验室：假设您主要关心的是当人们由于某种原因无法访问他们的账户时会发生什么，这是正确的吗?如果他们使用微软的一个无密码选项作为身份验证的第二个因素，同样的反对意见还会适用吗?

每Thorsheim是的，在写这篇文章的时候，这是我主要关心的问题。或者更准确地说，应该是“当人们失去了他们选择的认证器，从而失去了他们的微软账户的访问权”。我以前尝试过用微软恢复账户，我知道其他人也尝试过，但都失败了。帐户恢复是很困难的，通常要避免这个过程成为黑客的主要目标。因此，我看到有些人干脆辞职，并创建了一个新账户。这一点在青少年以及他们对Instagram、TikTok和Snapchat等社交媒体的使用上尤其明显。创建一个新账户并告诉你的朋友你有了一个新用户名会更容易一些。

既然微软允许你删除你的密码，从而删除你的“你知道的东西”因素，我们是否只剩下在亲密关系中容易被窃取或滥用的选项？这是否使这些场景变得更容易，因为攻击者不再需要猜测或获取受害者密码？我们是否从本质上将密码降级为简单的4-6-8位PIN码？

我没有答案，但我必须说，微软迈出了这一大胆的一步，给我留下了深刻的印象。

我已经足够大了，已经看到了许许多多不同的解决方案，这些解决方案承诺了更好的用户体验和/或更好的安全性，但很多都失败得很惨。我见过智能卡的企业集成，有无数双因素解决方案，包括臭名昭著的RSA SecurID。

在笔测试和审计期间，我记得看到管理员删除了SecurID OTP的需要，并将密码设置为“123456”或类似的CxO级别和董事会成员。“因为他们说，要记得一直带着硬件代币太难了。”

cxo级别的高管有时还会有私人助理，负责管理他们工作对象的大部分数字生活。然后还有要处理的共享账户，比如新闻、预订或帮助台。这只是企业如今面临的众多挑战中的一部分，因为“个人”账户已不再是唯一存在的账户类型。

必威平台APP必威官方登录备用Malwarebytes实验室：在你的专家看来，有什么比完全放弃密码更好的替代方案——用蛮力攻击和网络钓鱼获取密码?

每Thorsheim:我真的不相信有一个解决方案可以放弃密码。没有风险分析证明移除的合理性，也没有成本/收益分析。

另一方面，有大量商业案例支持开发和销售解决方案以删除、替换或至少隐藏用户密码的尝试。

现在微软提供了免费删除密码的选项，我想知道这样做对我们所有人和微软来说真正的成本是什么。只有时间才能证明。

我希望这对你有用。我可以讲几个小时，但是…

必威平台APP必威官方登录备用Malwarebytes实验室：谢谢你的宝贵时间和宝贵见解。

而我们还有密码

时间将告诉我们微软的这一“大胆举动”是否有助于提高安全性。我们建议用户在迈向无密码未来的第一步之前仔细考虑。

不管你是否接受微软的无密码功能，事实上你很可能会在很长一段时间内在其他地方使用密码。虽然这仍然是事实，但为确保密码安全，您可以做的最好的事情之一就是使用密码管理器。它们不仅使创建和记住强密码变得更容易，而且避免了密码重复使用，还阻止了我们在虚假（钓鱼）网站上填写凭据！