Posted inCommunity & News Defend Against Threats Identity Security Secure AI Productivity Security Newsletter Threat Protection with XDR

Microsoft Authenticator 取消对密码的支持

Posted inCommunity & News, Defend Against Threats, Identity Security, Secure AI Productivity, Security Newsletter, Threat Protection with XDR

Microsoft Authenticator 中的自动填充功能是一种在手机上访问的应用和网站上安全存储和自动填充密码的方法。

Microsoft 将很快停止使用其 Authenticator 应用程序存储和自动填充密码的功能。从 7 月开始,用户将无法再通过 Authenticator 自动填充保存的密码,而需要切换到 Microsoft Edge 或其他密码管理器。

  • 从 2025 年 6 月开始,您将无法再在 Authenticator 应用程序中添加导入新密码。但是,您可以继续通过自动填充功能保存密码,直到 7 月。
  • 在 2025 年 7 月期间,您将无法将自动填充功能与 Authenticator 结合使用。
  • 从 2025 年 8 月起,您将无法再在 Authenticator 中访问您保存的密码。

保存的密码将自动同步到您的 Microsoft 帐户,以便通过 Edge 访问它们。要将 Edge 用作默认自动填充提供程序,请转到设备的设置并选择 Edge 而不是 Authenticator。如果您不想使用 Edge,请务必在 8 月之前将密码导出到其他服务。

要继续使用生成的密码,请从 Generator history(通过密码选项卡访问)中将它们保存到您保存的密码中。

别担心 — Microsoft Authenticator MFA 本身不会消失。您仍然可以将其用于其主要目的:生成多因素身份验证(MFA)代码以保护您的登录。

那么,如果您在应用程序中存储了密码,您应该怎么做?

Microsoft 建议使用 Microsoft Edge 访问您保存的密码,因为它们会与您的 Microsoft 帐户同步。Edge 可以为您自动填充这些密码,现在是查看和清理您保存的密码的好机会。

但 Microsoft 鼓励用户完全超越密码并切换到通行密钥——一种更安全、用户友好的替代方案。如果您已经为您的 Microsoft 帐户设置了密钥,则 Authenticator 可以充当您的密钥提供商。如果没有,现在是进行转换的好时机。

为什么切换到 Passkeys?

密码很难创建、记住和管理,并且容易受到黑客攻击。相比之下,通行密钥依赖于更强大的身份验证方法,如 PIN、面部识别、指纹或物理安全密钥,使其更加安全。

密钥的主要挑战是在多个设备之间同步它们,尤其是在 PC 和手机之间。Microsoft Authenticator 可以通过充当中央存储库来帮助克服此问题。

Microsoft 的 ”在 Android 或 iOS 上的 Authenticator 中注册密钥“将指导您为支持的账户设置通行密钥。您还可以使用其他密码管理器轻松地在您的设备之间存储和同步密钥。

随着 Microsoft Authenticator的密码管理功能即将停用,现在是开始转向通行密钥以提高安全性和便利性的最佳时机。

Microsoft Authenticator 最初于 2016 年作为多因素身份验证应用程序推出,并于 2020 年增加了密码存储。虽然密码支持即将结束,但该应用程序将继续支持密钥,即用于登录帐户的PIN码、指纹或面部识别等身份验证方法。

有关导出密码或将 Edge 设置为默认自动填充提供程序的更多详细信息,请访问 Microsoft 的官方网站 这里

 

✅ 企业用户账户密码安全防护 — 10 条身份安全建议

  1. 强制使用多因素认证(MFA)
  • 不再仅依赖用户名+密码,增加如:
    • 手机APP验证码(如 Microsoft Authenticator)
    • 硬件令牌(如 YubiKey)
    • 生物识别(指纹、人脸)
  • 特别对高权限账户(管理员、财务、HR)务必启用。

 

  1. 实施密码复杂度与长度策略
  • 建议最小长度 ≥ 12 位
  • 混合使用:
    • 大小写字母
    • 数字
    • 特殊字符
  • 禁止使用:
    • 弱密码(如 Password123!)
    • 公司名称、生日、顺序数字

 

  1. 推行密码定期轮换或 Passwordless 策略
  • 如果仍使用密码:
    • 定期更换(如 90 天一次)
    • 检测是否存在重复旧密码
  • 或考虑无密码登录:
    • Windows Hello
    • FIDO2 硬件密钥
    • 身份认证APP推送

 

  1. 禁用共享账户
  • 禁止多个人共用同一个账号
  • 每个员工都应拥有专属账户,便于审计和溯源
  • 如果业务必须共享:
    • 配置临时凭证
    • 使用安全工具(如 Privileged Access Management)

 

  1. 开启异常登录检测与告警
  • 配置安全产品检测:
    • 异常地理位置登录
    • 登录失败暴力破解
    • 不常用设备登录
  • 自动触发告警或阻断策略

 

  1. 定期进行凭证安全检测
  • 检查密码是否出现在泄漏数据库(如 HaveIBeenPwned)
  • 使用企业安全工具或云平台:
    • Microsoft Entra ID (前 Azure AD) Identity Protection
    • Google Workspace Alert Center

 

  1. 实施最小权限原则
  • 账号只分配执行工作所需权限
  • 定期复审高权限账户
  • 减少本地管理员账号数量

 

  1. 培训员工安全意识
  • 定期开展身份安全培训:
    • 如何识别钓鱼邮件
    • 不随意输入密码在陌生网站
    • 使用密码管理器存储复杂密码
  • 提醒员工不要重复使用密码

 

  1. 使用企业级密码管理器
  • 推荐部署如:
    • 1Password Business
    • LastPass Enterprise
    • Keeper Business
  • 优势:
    • 自动生成复杂密码
    • 企业可集中管理账户
    • 支持审计和访问记录

 

  1. 对高风险账户启用条件访问策略
  • 如 Microsoft Entra Conditional Access、Okta Policies:
    • 根据用户风险、设备合规性、位置限制访问
    • 阻止高风险登录或强制二次验证

 

以上这 10 条身份安全建议,不仅降低企业密码泄露或被攻破的风险,也能满足越来越多合规法规(如 GDPR、ISO 27001、网络安全法)的安全要求。

 

Post Views: 17
Tags: