平日我們登入不同網上服務時,有一些輸入了登入名稱後,再經密碼驗證就能登入,包括微軟帳戶。在很多網上服務都設立雙重認證系統,密碼及驗證碼並行,微軟則決定反其道而行,索性容許用家無需密碼就能登入帳戶。
無需密碼,並不代表用家輸入了帳戶名稱就可以即時登入,只是由現時開始,用家可以選擇以多種方式,包括Microsoft Authenticator、Windows Hello、保安碼及經電話或電郵接收驗證碼,以其中一種取代密碼,作為驗證用家身分的方式登入帳戶,使用各種微軟提供的網上服務。若用家不喜歡,還是可以保留以密碼作為驗證方式登入,不一定要配合微軟的新安排。
當很多網上服務沒有放棄密碼,只是加多一重驗證方式,提高安全度,為何微軟會容許用家以密碼以外的驗證方式登入呢?微軟於官方網誌引述網絡安全總監Bret Arsenault表示,黑客不是以特別方式入侵用家帳戶,而是以正常方式登入帳戶。言下之意,在於以密碼登入本身存在風險。
微軟指出,有些人為了使密碼難以被人猜中,所以會選用較複雜的密碼,但最終反而令自己容易忘記密碼,無法登入帳戶,甚至因嘗試登入但失敗的次數過多而令帳戶被凍結,得不償失。相反,有些人為了使自己容易記得密碼,於是選用簡單組合的密碼,但就衍生容易被其他人猜中的問題,並不安全。
在微軟最近進行的一項調查發現,有百分之15的受訪者會以自己寵物的名字作為密碼;有百分之10的人會「一個密碼走天涯」,更有百分之40的人會以特定的方程式設計密碼,例如A網站用「Fall2021」,B網站會用「Winter2021」,同樣並不安全。
正因微軟認為以密碼登入並不安全,所以他們索性讓用家可以選擇放棄以密碼登入帳戶,只依賴其他驗證身分的方式,固然有其理由,但微軟其實亦可學像其他網上服務如Google提供雙重認證登入功能,同樣能有助提升安全度。究竟微軟維持一步認證,但無需密碼,同時顧及安全度及登入的速度,會否是比雙重認證更好,就有待用家們評價了。
