Microsoft versnelt de eliminatie van authenticatiemethoden op basis van sms-verificatiecodes en promoot krachtig 'wachtwoordloos inloggen' in het Windows 11-ecosysteem om de veiligheid van persoonlijke Microsoft-accounts te beschermen via wachtwoordsleutels, authenticatietoepassingen en back-up-e-mailadressen. Microsoft bevestigde tegenover de media dat het bedrijf niet langer sms-verificatiecodes naar persoonlijke accounts zal sturen. Deze aanpassing omvat niet alleen het tweefactorauthenticatieproces, maar omvat ook het proces voor het ophalen van accounts. In een ondersteuningsdocument dat eerder dit jaar stilletjes werd bijgewerkt, staat duidelijk dat Microsoft "sms als methode voor authenticatie en accountherstel voor persoonlijke Microsoft-accounts geleidelijk afschaft".

Microsoft stelde in zijn laatste beveiligingsadvies botweg dat sms-gebaseerde authenticatie "een van de belangrijkste bronnen van fraude is geworden" en niet langer consistent is met zijn langetermijnstrategie om de beveiligingsnormen te verbeteren. SMS-berichten zijn oorspronkelijk niet ontworpen voor moderne netwerkbeveiligingsscenario's. De inhoud ervan wordt in duidelijke tekst via mobiele netwerken verzonden en kan gemakkelijk worden onderschept en afgeluisterd. Bovendien legt de steeds vaker voorkomende 'SIM-kaartwisselaanval' ook de structurele zwakte van sms-verificatiecodes bloot: aanvallers hoeven operators alleen maar te misleiden om het nummer van het slachtoffer over te dragen naar een apparaat dat zij beheren, en vervolgens kunnen ze alle sms-verificatiecodes onmiddellijk ontvangen en gemakkelijk de online account van het slachtoffer overnemen. Vanuit het perspectief van Microsoft is het om dergelijke bedreigingen het hoofd te bieden niet langer realistisch om door te gaan met het patchen van het SMS-systeem, en een haalbaarder pad is het volledig omarmen van een wachtwoordloze oplossing.

Onder de nieuwe strategie zal Microsoft sms-verificatiecodes vervangen door wachtwoordsleutels als kern. Deze standaard wordt gezien als een moderne inlogmethode die bestand is tegen phishing. In tegenstelling tot traditionele wachtwoorden en zescijferige nummers die kunnen worden onderschept of hergebruikt, zijn wachtwoordsleutels voor authenticatie afhankelijk van biometrische hardware en een lokale pincode die in het apparaat is ingebouwd. Wanneer gebruikers inloggen op een Microsoft-account, kunnen ze de verificatie voltooien via Windows Hello-gezichtsherkenning, vingerafdrukherkenning of lokale apparaatpincode. Het systeem genereert op de achtergrond een paar openbare en privésleutels. De privésleutel wordt altijd opgeslagen in hardware, zoals de beveiligingschip van het lokale apparaat, en wordt niet via het netwerk verzonden, waardoor de mogelijkheid van phishing-aanvallen op afstand vrijwel wordt geëlimineerd.

De specifieke implementatie van de toegangssleutel kan de modus "apparaatbinding" aannemen of cloudservices gebruiken om tussen meerdere apparaten te synchroniseren. Het eerste betekent dat de privésleutel nooit een specifiek stuk hardware verlaat, zoals de TPM-beveiligingschip van een laptop; laatstgenoemde vertrouwt op diensten als Apple iCloud Keychain of Google Password Manager om de sleutel veilig te synchroniseren met meerdere terminals van de gebruiker. Microsoft wees erop dat zelfs als een gebruiker zijn of haar telefoon kwijtraakt, zolang een vertrouwd back-up-e-mailadres en een wachtwoordsleutel die op verschillende apparaten is gesynchroniseerd eerder zijn geconfigureerd, de accounttoegang nog steeds relatief veilig kan worden hersteld.

Vanuit het perspectief van de beveiligingstheorie is de stap van Microsoft om fragiele sms-verificatiecodes achterwege te laten en over te stappen op biometrisch gecodeerde toegangssleutels een upgrade in de goede richting, en het komt ook overeen met de algemene trend van "decodering" in de hele sector. In de aankondiging benadrukt Microsoft dat het bedrijf "zich inzet voor het verhogen van de beveiligingsnormen" en gelooft dat de toekomst van authenticatie "wachtwoordloos, veilig en gebruiksvriendelijk" moet zijn. De auteur van het artikel vermeldde ook dat bij dagelijks gebruik, met Microsoft Edge, Microsoft Password Manager en Microsoft Authenticator-applicaties, gekoppeld aan Windows Hello-gezichtsherkenning uitgerust met een infraroodcamera, de ervaring van inloggen op persoonlijke accounts zonder wachtwoord "echt uitstekend" is en dat de bediening soepeler verloopt.

Deze ogenschijnlijk ideale wachtwoordvrije toekomst zal echter niet soepel verlopen voor zware gebruikers en bepaalde technische scenario's. De auteur neemt zijn eigen werkproces als Windows Insider als voorbeeld en wijst erop dat hij vaak een groot aantal virtuele machines moet creëren, configureren en beheren voor het testen van verschillende systeemversies en softwareomgevingen. In deze geïsoleerde virtuele machine-omgevingen is fysieke biometrische hardware vaak niet beschikbaar en zijn beveiligingssleutels niet altijd toegankelijk, wat resulteert in een aanzienlijk "weggevallen" inlogervaring met wachtwoorden. Toen hij probeerde in te loggen op een Microsoft-account met behulp van een toegangssleutel via een pincode op een virtuele machine, kreeg hij herhaaldelijk foutmeldingen en kon hij het aanmeldingsproces niet succesvol voltooien.

In dit zeer technische maar relatief veelvoorkomende scenario was het aanvragen van een sms-verificatiecode ooit een eenvoudige en betrouwbare 'laatste redmiddel'. De combinatie van wachtwoord en sms-verificatiecode is diep geworteld in de harten van mensen, en een reeks van zes cijfers is bijna een van de meest natuurlijke beveiligingsstappen geworden in de dagelijkse activiteiten van gebruikers over de hele wereld. De auteur is van mening dat nieuwe technologieën, om deze jarenlang gevormde gewoonte echt te kunnen veranderen, niet alleen veiliger moeten zijn, maar ook in vrijwel alle scenario's 'zinloos' moeten kunnen functioneren, anders zullen gebruikers op kritieke momenten gemakkelijk in de problemen komen.

Microsoft heeft onlangs andere aanpassingen aangebracht aan de installatie-ervaring en het accountbeleid om te coördineren met deze verandering in de beveiligingsrichting. Er zijn bijvoorbeeld tekenen dat Microsoft mogelijk de vereiste om in te loggen op een Microsoft-account in toekomstige installatieprocessen van Windows 11 zal schrappen, waardoor de noodzaak voor gebruikers om tijdens bepaalde installatiefasen online in te loggen wordt verminderd. Aan de andere kant zal het bedrijf ook proactief alle persoonlijke accountgebruikers via systeempop-ups vragen om hen aan te moedigen om zo snel mogelijk toegangscodes te configureren en back-up-e-mailadressen te verifiëren. Veel voorkomende aanwijzingen zijn onder meer "sneller inloggen met gezicht, vingerafdruk of pincode".

Het is te voorzien dat het verlies van het "handige maar kwetsbare" hulpmiddel, de sms-verificatiecode, op korte termijn bij sommige gebruikers ongemak en klachten zal veroorzaken. In de verklaring van Microsoft wordt dit echter gezien als de prijs die moet worden betaald om moderne veiligheidsbedreigingen het hoofd te bieden, en het is ook een belangrijke stap om de algehele beveiligingsverdedigingslijn van het Windows 11-ecosysteem te versterken. Met de verdere popularisering van toegangssleutels en wachtwoordloze oplossingen verschuift de onderliggende logica van accountbeveiliging van "het onthouden van een wachtwoord" naar "bewijzen dat u bent wie u bent", en deze migratie is al volledig gelanceerd in het systeem van Microsoft.