تعمل Microsoft على تسريع عملية التخلص من أساليب المصادقة المستندة إلى رموز التحقق عبر الرسائل النصية القصيرة، كما تعمل بقوة على الترويج لـ "تسجيل الدخول بدون كلمة مرور" في نظام Windows 11 البيئي لحماية أمان حسابات Microsoft الشخصية من خلال مفاتيح المرور وتطبيقات المصادق وعناوين البريد الإلكتروني الاحتياطية. وأكدت مايكروسوفت لوسائل الإعلام أن الشركة لن ترسل بعد الآن رموز التحقق عبر الرسائل النصية القصيرة إلى الحسابات الشخصية. لا يتضمن هذا التعديل عملية التحقق الثنائية فحسب، بل يشمل أيضًا عملية استرداد الحساب. تنص وثيقة الدعم التي تم تحديثها بهدوء في وقت سابق من هذا العام بوضوح على أن Microsoft "تتخلص تدريجياً من الرسائل القصيرة كوسيلة للمصادقة واسترداد الحساب لحسابات Microsoft الشخصية".
صرحت Microsoft بصراحة في أحدث نصائحها الأمنية أن المصادقة المستندة إلى الرسائل القصيرة "أصبحت أحد المصادر الرئيسية للاحتيال" ولم تعد متوافقة مع استراتيجيتها طويلة المدى لتحسين معايير الأمان. لم يتم تصميم الرسائل النصية القصيرة في الأصل لسيناريوهات أمان الشبكة الحديثة. ويتم نقل محتواها بنص واضح عبر الشبكات الخلوية ويمكن اعتراضها والتنصت عليها بسهولة. بالإضافة إلى ذلك، يكشف "هجوم مبادلة بطاقة SIM" الشائع بشكل متزايد أيضًا عن الضعف الهيكلي لرموز التحقق من الرسائل النصية القصيرة: يحتاج المهاجمون فقط إلى خداع المشغلين لنقل رقم الضحية إلى جهاز يتحكمون فيه، وبعد ذلك يمكنهم تلقي جميع رموز التحقق من الرسائل القصيرة على الفور والاستيلاء بسهولة على حساب الضحية عبر الإنترنت. من وجهة نظر مايكروسوفت، للتعامل مع مثل هذه التهديدات، لم يعد من الواقعي الاستمرار في تصحيح نظام الرسائل القصيرة، والمسار الأكثر جدوى هو تبني حل بدون كلمة مرور بشكل كامل.
وبموجب الإستراتيجية الجديدة، ستقوم مايكروسوفت باستبدال رموز التحقق عبر الرسائل النصية القصيرة بمفاتيح المرور باعتبارها المفتاح الأساسي. يعتبر هذا المعيار طريقة تسجيل دخول حديثة مقاومة للتصيد الاحتيالي. على عكس كلمات المرور التقليدية والأرقام المكونة من ستة أرقام والتي يمكن اعتراضها أو إعادة استخدامها، تعتمد مفاتيح المرور على الأجهزة البيومترية ورمز PIN المحلي المدمج في الجهاز للمصادقة. عندما يقوم المستخدمون بتسجيل الدخول إلى حساب Microsoft، يمكنهم إكمال التحقق من خلال التعرف على الوجه في Windows Hello، أو التعرف على بصمات الأصابع، أو رقم التعريف الشخصي (PIN) للجهاز المحلي. سيقوم النظام بإنشاء زوج من المفاتيح العامة والخاصة في الخلفية. يتم حفظ المفتاح الخاص دائمًا في الأجهزة مثل شريحة الأمان الخاصة بالجهاز المحلي ولن يتم نقله عبر الشبكة، مما يؤدي تقريبًا إلى القضاء على احتمالية هجمات التصيد عن بعد.
يمكن أن يعتمد التنفيذ المحدد لمفتاح المرور إما وضع "ربط الجهاز" أو استخدام الخدمات السحابية للمزامنة بين أجهزة متعددة. الأول يعني أن المفتاح الخاص لا يترك أبدًا قطعة معينة من الأجهزة، مثل شريحة أمان TPM للكمبيوتر المحمول؛ يعتمد الأخير على خدمات مثل Apple iCloud Keychain أو Google Password Manager لمزامنة المفتاح بشكل آمن مع محطات متعددة للمستخدم. أشارت مايكروسوفت إلى أنه حتى لو فقد المستخدم هاتفه، طالما تم تكوين عنوان بريد إلكتروني احتياطي موثوق به ومفتاح مرور متزامن عبر الأجهزة مسبقًا، فلا يزال من الممكن استعادة الوصول إلى الحساب بشكل آمن نسبيًا.
من منظور نظرية الأمان، يعد تحرك Microsoft للتخلي عن رموز التحقق الهشة عبر الرسائل النصية القصيرة والتحول إلى مفاتيح المرور المشفرة البيومترية بمثابة ترقية في الاتجاه الصحيح، ويتوافق أيضًا مع الاتجاه العام المتمثل في "فك التشفير" في الصناعة بأكملها. وشددت مايكروسوفت في إعلانها على أن الشركة "ملتزمة برفع معايير الأمان" وتعتقد أن مستقبل المصادقة يجب أن يكون "بدون كلمات مرور وآمنًا وسهل الاستخدام". ذكر كاتب المقال أيضًا أنه في الاستخدام اليومي، مع تطبيقات Microsoft Edge وMicrosoft Password Manager وMicrosoft Authenticator، إلى جانب التعرف على الوجه Windows Hello المجهز بكاميرا تعمل بالأشعة تحت الحمراء، فإن تجربة تسجيل الدخول إلى الحسابات الشخصية بدون كلمة مرور "ممتازة حقًا" والعملية أكثر سلاسة.
ومع ذلك، فإن هذا المستقبل المثالي الخالي من كلمة المرور قد لا يكون سلسًا للمستخدمين الثقيلين وبعض السيناريوهات التقنية. يأخذ المؤلف عملية عمله كمستخدم Windows Insider كمثال ويشير إلى أنه غالبًا ما يحتاج إلى إنشاء وتكوين وإدارة عدد كبير من الأجهزة الافتراضية لاختبار إصدارات النظام وبيئات البرامج المختلفة. في بيئات الأجهزة الافتراضية المعزولة هذه، غالبًا ما تكون أجهزة القياسات الحيوية المادية غير متاحة ولا يمكن دائمًا الوصول إلى مفاتيح الأمان، مما يؤدي إلى "إسقاط" تجربة تسجيل الدخول بمفتاح المرور بشكل ملحوظ. عند محاولة تسجيل الدخول إلى حساب Microsoft باستخدام مفتاح مرور عبر رمز PIN في جهاز افتراضي، واجه رسائل خطأ بشكل متكرر ولم يتمكن من إكمال عملية تسجيل الدخول بنجاح.
في هذا السيناريو عالي التقنية ولكن الشائع نسبيًا، كان طلب تلقي رمز التحقق عبر رسالة نصية بمثابة "حل أخير" بسيط وموثوق. أصبح الجمع بين كلمة المرور ورمز التحقق عبر الرسائل النصية القصيرة متجذرًا بعمق في قلوب الأشخاص، وأصبحت سلسلة مكونة من ستة أرقام تقريبًا واحدة من أكثر خطوات الأمان الطبيعية في العمليات اليومية للمستخدمين حول العالم. يعتقد المؤلف أنه من أجل تغيير هذه العادة التي تشكلت لسنوات عديدة، يجب ألا تكون التقنيات الجديدة أكثر أمانًا فحسب، بل يجب أيضًا أن تكون قادرة على العمل "بلا معنى" في جميع السيناريوهات تقريبًا، وإلا فإنها ستضع المستخدمين بسهولة في مشاكل في اللحظات الحرجة.
قامت Microsoft مؤخرًا بإجراء تعديلات أخرى على تجربة التثبيت وسياسات الحساب للتنسيق مع هذا التغيير في اتجاه الأمان. على سبيل المثال، هناك دلائل تشير إلى أن Microsoft قد تزيل شرط تسجيل الدخول إلى حساب Microsoft في عمليات تثبيت Windows 11 المستقبلية، وبالتالي تقليل حاجة المستخدمين إلى تسجيل الدخول عبر الإنترنت أثناء مراحل إعداد معينة. ومن ناحية أخرى، ستقوم الشركة أيضًا بمطالبة جميع مستخدمي الحسابات الشخصية بشكل استباقي من خلال النوافذ المنبثقة للنظام لتشجيعهم على تكوين مفاتيح المرور والتحقق من عناوين البريد الإلكتروني الاحتياطية في أقرب وقت ممكن. تتضمن المطالبات الشائعة "تسجيل الدخول بشكل أسرع باستخدام الوجه أو بصمة الإصبع أو رقم التعريف الشخصي".
من المتوقع أن يؤدي فقدان الأداة "المريحة ولكن الهشة" لرمز التحقق عبر الرسائل النصية القصيرة إلى إزعاج بعض المستخدمين وشكاويهم على المدى القصير. ومع ذلك، في بيان Microsoft، يعتبر هذا هو الثمن الذي يجب دفعه للتعامل مع التهديدات الأمنية الحديثة، كما أنه خطوة أساسية لتعزيز خط الدفاع الأمني الشامل لنظام Windows 11 البيئي. ومع زيادة تعميم مفاتيح المرور والحلول التي لا تحتوي على كلمة مرور، يتحول المنطق الأساسي لأمن الحساب من "تذكر كلمة المرور" إلى "إثبات هويتك"، وقد تم بالفعل إطلاق هذا الترحيل بالكامل في نظام Microsoft.