微软账户无密码化的取证影响

五月初，微软正式宣布，新创建的微软账户现在将默认为无密码，以实现“更简单、更安全的登录”。这一变化延续了Windows 11所设定的方向，即逐步淘汰传统密码，转而采用更安全、更方便用户的身份验证方法，如PIN码、生物识别和passkeys。

背景

在Windows 8之前，登录Windows意味着使用带有密码的本地帐户；这是一种简单、直接且不安全的方法。Microsoft账户的推出增加了一个基于云的选项，将操作系统登录与Outlook、OneDrive等微软在线服务绑定在一起。随着时间的推移，微软将用户推向云账户，限制用户在没有云账户的情况下安装Windows，并逐渐淘汰本地账户。但这种方法存在一个重大缺陷：Microsoft账户的密码哈希值缓存在本地。这样，攻击者就可以通过加速离线攻击提取并破解哈希值，不仅可以访问本地系统，还可以访问云数据，包括电子邮件、聊天记录、文件，甚至是BitLocker恢复密钥（默认上传到微软服务器）。

在Windows 11中，微软推出了一种新的身份验证模式：无密码登录。Windows 10也使用了Windows Hello，与现有的无密码登录选项不同的是，Windows 11允许用户完全不使用密码，禁用了使用密码登录Windows的功能。用户可以完全禁用基于密码的登录，从而完全阻止离线密码攻击。不过，在Windows 11中，Microsoft账户仍保留了对传统密码登录的支持--直到现在。今后，新创建的微软账户将有一个选项，即不再支持密码，该选项将成为新的默认设置。现有用户仍然可以使用密码登录，除非他们选择手动删除密码。

只有新创建的Microsoft账户受到影响

无密码登录的情况与BitLocker加密的情况类似：这种变化只影响新创建的Microsoft账户。现有的Microsoft账户不受影响，除非用户明确选择使用新系统。因此，我们现在面对的是两种并存的模式：

• 不会更改现有账户。密码可用于登录Windows（如果启用）和通过浏览器访问Microsoft服务。无密码登录为可选项，但支持，例如使用Microsoft Authenticator应用程序。
• 新账户创建时默认不带密码。用户通过Windows Hello（PIN码或生物识别）登录Windows，并使用passkeys访问浏览器中的帐户。

密码被什么替代？

密码正在被passkeys取代，passkeys是一种数字凭证，可安全地替代传统登录方式，并具有防网络钓鱼的功能。密钥可以存储在本地电脑、可信的外部设备（如手机）和 / 或云端（如iCloud Keychain）。这种模式将“你知道的东西”（密码）和双因素身份验证合并为“你拥有的东西”，从而有效地取代了这两种因素。

这就提出了一些重要问题。如果攻击者窃取并解锁了持有密码的设备，仅凭这一点就足以访问账户吗？这种新模式真的比实施良好的双因素认证（2FA）更安全吗？普通用户能否理解并有效管理密码？如果无法访问受信任的设备会发生什么情况？目前，问题比答案更多。

为什么密码会被替换？

微软表示，“每天有近一百万个passkeys注册”，passkeys用户的登录成功率为98%，而使用密码登录的成功率仅为32%。此外微软还称，使用passkeys登录比使用传统密码快三倍，比使用密码和传统多因素身份验证快八倍。

对电子数据取证的影响

无密码账户的取证影响仍在不断显现。一方面，取证分析人员已经有了一些处理无密码登录的经验。另一方面，如果系统驱动器是用BitLocker加密的，那么这些技术也无济于事，因为新安装的Windows默认启用了BitLocker。那就需要采取其他手段。虽然传统的密码攻击变得无关紧要，但passkeys有可能从与账户关联的可信设备（如手机或辅助PC）中提取出来，从而实现无密码或第二验证因素访问。

可以肯定的是，身份验证的格局正在发生变化。取证调查员们现在必须为双重现实做好准备，即：仍然依赖密码的账户和完全不使用密码的账户。这种演变在理论上可以简化用户体验并提高安全性，但同时也要求取证分析和网络安全领域采用新的工具及工作流程。