“无密码”和“零信任”是网络安全的热门话题，也是每个企业的终极安全目标。

　　微软已宣布正式进入完全无密码，允许Windows用户用几种替代登录技术中的一种替换他们的字母数字密码，以进入微软产品，这一举措得到了业内人士的积极响应。

　　微软负责安全、合规和身份识别的企业副总裁Vasu Jakkal在一篇博客文章中表示，这些新的登录选项自3月以来已向商业客户提供，将于10月13日向所有 Windows 用户提供。

　　“从今天开始，您现在可以从您的Microsoft帐户中完全删除密码，”她说。“使用Microsoft Authenticator应用、Windows Hello、安全密钥或发送到您的手机或电子邮件的验证码来登录您喜欢的应用和服务。”

　　微软表示，其客户仍然可以选择使用密码，但它希望通过让无密码变得容易，用户会选择这样做。

　　自2019年以来，Windows 10已提供无密码访问，并且在过去几年中，该公司一直在其产品组合中缓慢传播这种类型的访问。

　　行业反应

　　业内人士同意微软的思路，并表示企业和消费者应该采用任何有助于消除密码需求的技术。

　　“密码是公司内部最容易受到攻击的组件之一。为了降低风险，组织应该建立严格的密码策略或切换到无密码模式，就像微软正在做的那样。后者将更有效率，”Mohit Tiwari说，云安全公司Symmetry Systems的联合创始人兼首席执行官。

　　安全公司GuidePoint Security的专业服务身份和访问管理实践负责人Kevin Converse表示，无密码是公司应实施的必要防御工具。

　　“随着[管理和预算办公室]最近对零信任的关注，许多人意识到，随着云和远程工作的不断发展，无密码环境是希望实施零信任并处理访问管理的组织的关键组成部分占主导地位，”匡威说。“考虑到商界的发展方向，这一公告具有方向性。”

　　SecureW2的首席执行官兼联合创始人Bert Kashyap称微软的举动“对安全来说非常重要”，但指出了几个潜在的障碍，包括如果无法访问身份验证器应用程序，可能会出现恢复问题。

　　“虽然这有利于安全，但这对最终用户来说是可取的吗？人们愿意将他们的个人手机与身份验证器一起使用吗？另外需要考虑的是，通过依赖”你拥有的东西“，它可能是一个糟糕的用户如果手机丢失，体验一下，”他说。

　　Beyond Identity的联合创始人兼首席执行官TJ Jermoluk指出，用户必须从系统中完全删除旧密码，才能使无密码功能生效。

　　“除非你完全根除密码，而不是在身份验证过程中少使用它，否则仍然存在相当大的风险，”Jermoluk说。这会让用户误以为他们是‘无密码’，而实际上他们是有密码。“

　　该公司表示，微软已经提供了一种在Authenticator应用程序的登录过程中完全删除任何密码的途径。

　　保持简单

　　微软表示，在过去几年中，它已经创建并实施了多种简单的方法，旨在通过消除操作的复杂性来鼓励人们注册其无密码系统之一。

　　该公司表示，用户可以通过下载Microsoft Authenticator应用程序来实现无密码，该应用程序通过向手机或电子邮件发送PIN或基于时间的一次性密码，帮助人们在使用双因素验证时登录帐户。

　　微软于2015年为企业和消费者推出了Windows Hello。该公司表示，该技术使用生物识别技术，用户可以对其进行设置以识别指纹、虹膜、面部或 PIN。

　　密码不好

　　Jakkal列出了Microsoft在过去几年中一直在努力放弃密码的众多原因。

　　”弱密码是企业和消费者账户中大多数攻击的切入点。每秒有高达579次密码攻击——即每年180亿次，“她指出。

　　攻击者将如此多的精力用于获取密码的一般原因是双重的。首先，通过首先获得真实密码进入目标网络更容易、更有益，其次，人们使密码很容易被窃取或破译。

　　创建复杂的密码很困难。Jakkal 说，它们很难记住，而且由于人们拥有如此多的帐户，因此现在需要的数量使他们难以管理。

　　”我震惊地了解到，近三分之一的人表示他们完全停止使用帐户或服务，而不是处理丢失的密码。这不仅是陷入密码循环的人的问题，也是失去客户的企业的问题， “她注意到。

　　Jakkal说，为了让自己更轻松，人们会深入熟悉的井中找出密码。他们使用宠物名称、家庭成员名称和常用短语。他们还会在多个站点重复使用他们已经知道的密码。

　　”我们还发现十分之一的人承认在不同网站上重复使用密码，40%的人表示他们使用了密码公式，比如2021年秋季，最终变成了2021年冬季或2022 年，“她说。

　　所有这些阴谋都直接在黑客手中发挥作用，因为许多人拥有利用宽松密码创建的技能和工具。

　　”快速浏览一下某人的社交媒体可以让任何黑客在登录他们的个人帐户时有一个良好的开端，“他说。”他们可以使用自动密码联想来快速尝试多种可能性。他们可以使用网络钓鱼来诱骗您将您的凭据放入虚假网站。“

　　快速点击几下，今天就可以无密码了

　　首先，确保您已安装Microsoft Authenticator应用并链接到您的个人 Microsoft帐户。

　　https://docs.microsoft.com/en-us/azure/active-directory/user-help/user-help-auth-app-download-install

　　接下来，访问您的Microsoft帐户，登录并选择高级安全选项。在Additional Security Options下，您将看到Passwordless Account，选择打开。

　　https://login.live.com

　　Microsoft Authenticator 屏幕显示无密码选项

　　最后，按照屏幕上的提示操作，然后批准来自您的 Authenticator 应用程序的通知。一旦您获得批准，您就可以摆脱密码了！

　　显示密码的Microsoft Authenticator屏幕已成功删除

　　如果您决定更喜欢使用密码，您可以随时将其添加回您的帐户。但我希望你能尝试一下无密码——我认为你不会再想回去。

　　点评：如今这个信息高速发展的时代，企业安全都在拼命堆砌密码难度，甚至使用超高难度密码。其实微软也并非是首创，纵观目前手机行业，生物解锁代替密码的玩法也是屡见不鲜，微软也只是从企业安全角度出发，照搬了这个模式。

　　但就微软的地位和影响力，看到并直接做到去密码化，这对整个网络安全行业都将是一次不可忽视的震荡，这个震荡的影响力也将逐渐波及到各行各业，引领未来网络安全走向真正完全”去密码“化。

　　应了开头那句话：”无密码“和”零信任“是每个企业的终极安全目标。