माइक्रोसॉफ्ट एसएमएस सत्यापन कोड के आधार पर प्रमाणीकरण विधियों को खत्म करने में तेजी ला रहा है, और पासकी, प्रमाणक अनुप्रयोगों और बैकअप ईमेल पते के माध्यम से व्यक्तिगत माइक्रोसॉफ्ट खातों की सुरक्षा की रक्षा के लिए विंडोज 11 पारिस्थितिकी तंत्र में "पासवर्ड रहित लॉगिन" को सख्ती से बढ़ावा दे रहा है। माइक्रोसॉफ्ट ने मीडिया को पुष्टि की कि कंपनी अब व्यक्तिगत खातों पर एसएमएस सत्यापन कोड नहीं भेजेगी। इस समायोजन में न केवल दो-कारक सत्यापन प्रक्रिया शामिल है, बल्कि खाता पुनर्प्राप्ति प्रक्रिया भी शामिल है। इस साल की शुरुआत में चुपचाप अपडेट किए गए एक समर्थन दस्तावेज़ में स्पष्ट रूप से कहा गया है कि माइक्रोसॉफ्ट "व्यक्तिगत माइक्रोसॉफ्ट खातों के लिए प्रमाणीकरण और खाता पुनर्प्राप्ति की एक विधि के रूप में एसएमएस को चरणबद्ध तरीके से समाप्त कर रहा है।"
माइक्रोसॉफ्ट ने अपनी नवीनतम सुरक्षा सलाह में स्पष्ट रूप से कहा कि एसएमएस-आधारित प्रमाणीकरण "धोखाधड़ी के मुख्य स्रोतों में से एक बन गया है" और अब सुरक्षा मानकों में सुधार के लिए इसकी दीर्घकालिक रणनीति के अनुरूप नहीं है। एसएमएस टेक्स्ट संदेश मूल रूप से आधुनिक नेटवर्क सुरक्षा परिदृश्यों के लिए डिज़ाइन नहीं किए गए थे। उनकी सामग्री सेलुलर नेटवर्क पर स्पष्ट पाठ में प्रसारित होती है और आसानी से पकड़ी और सुनी जाती है। इसके अलावा, तेजी से आम हो रहा "सिम कार्ड स्वैप हमला" भी एसएमएस सत्यापन कोड की संरचनात्मक कमजोरी को उजागर करता है: हमलावरों को केवल ऑपरेटरों को पीड़ित के नंबर को उनके नियंत्रण वाले डिवाइस पर स्थानांतरित करने की आवश्यकता होती है, और फिर वे तुरंत सभी एसएमएस सत्यापन कोड प्राप्त कर सकते हैं और आसानी से पीड़ित के ऑनलाइन खाते पर कब्जा कर सकते हैं। माइक्रोसॉफ्ट के दृष्टिकोण से, ऐसे खतरों से निपटने के लिए, एसएमएस सिस्टम को पैच करना जारी रखना अब यथार्थवादी नहीं है, और एक अधिक व्यवहार्य मार्ग पूरी तरह से पासवर्ड रहित समाधान को अपनाना है।
नई रणनीति के तहत, माइक्रोसॉफ्ट एसएमएस सत्यापन कोड को कोर के रूप में पास कुंजी से बदल देगा। इस मानक को एक आधुनिक लॉगिन विधि माना जाता है जो फ़िशिंग के प्रति प्रतिरोधी है। पारंपरिक पासवर्ड और छह अंकों की संख्या के विपरीत, जिन्हें इंटरसेप्ट या पुन: उपयोग किया जा सकता है, पास कुंजी प्रमाणीकरण के लिए बायोमेट्रिक हार्डवेयर और डिवाइस में निर्मित एक स्थानीय पिन पर निर्भर करती है। जब उपयोगकर्ता Microsoft खाते में लॉग इन करते हैं, तो वे Windows Hello चेहरे की पहचान, फिंगरप्रिंट पहचान या स्थानीय डिवाइस पिन के माध्यम से सत्यापन पूरा कर सकते हैं। सिस्टम पृष्ठभूमि में सार्वजनिक और निजी कुंजी की एक जोड़ी उत्पन्न करेगा। निजी कुंजी हमेशा स्थानीय डिवाइस की सुरक्षा चिप जैसे हार्डवेयर में सहेजी जाती है और नेटवर्क के माध्यम से प्रसारित नहीं की जाएगी, इस प्रकार दूरस्थ फ़िशिंग हमलों की संभावना लगभग समाप्त हो जाती है।
पास कुंजी का विशिष्ट कार्यान्वयन या तो "डिवाइस बाइंडिंग" मोड को अपना सकता है या कई डिवाइसों में सिंक्रनाइज़ करने के लिए क्लाउड सेवाओं का उपयोग कर सकता है। पूर्व का मतलब है कि निजी कुंजी कभी भी हार्डवेयर का एक विशिष्ट टुकड़ा नहीं छोड़ती है, जैसे लैपटॉप की टीपीएम सुरक्षा चिप; बाद वाला उपयोगकर्ता के कई टर्मिनलों की कुंजी को सुरक्षित रूप से सिंक्रनाइज़ करने के लिए ऐप्पल आईक्लाउड किचेन या Google पासवर्ड मैनेजर जैसी सेवाओं पर निर्भर करता है। माइक्रोसॉफ्ट ने बताया कि भले ही कोई उपयोगकर्ता अपना फोन खो देता है, जब तक एक विश्वसनीय बैकअप ईमेल पता और सभी डिवाइसों में सिंक्रनाइज़ की गई पास कुंजी पहले से कॉन्फ़िगर की गई है, तब भी खाते तक पहुंच अपेक्षाकृत सुरक्षित रूप से बहाल की जा सकती है।
सुरक्षा सिद्धांत के नजरिए से, नाजुक एसएमएस सत्यापन कोड को त्यागने और बायोमेट्रिक एन्क्रिप्टेड पास कुंजियों को अपनाने का माइक्रोसॉफ्ट का कदम सही दिशा में एक उन्नयन है, और यह पूरे उद्योग में "डिक्रिप्शन" की सामान्य प्रवृत्ति के अनुरूप भी है। अपनी घोषणा में, माइक्रोसॉफ्ट ने जोर देकर कहा कि कंपनी "सुरक्षा मानकों को बढ़ाने के लिए प्रतिबद्ध है" और उसका मानना है कि प्रमाणीकरण का भविष्य "पासवर्ड रहित, सुरक्षित और उपयोगकर्ता के अनुकूल" होना चाहिए। लेख के लेखक ने यह भी उल्लेख किया है कि दैनिक उपयोग में, माइक्रोसॉफ्ट एज, माइक्रोसॉफ्ट पासवर्ड मैनेजर और माइक्रोसॉफ्ट ऑथेंटिकेटर अनुप्रयोगों के साथ, एक इन्फ्रारेड कैमरे से लैस विंडोज हैलो चेहरे की पहचान के साथ, पासवर्ड के बिना व्यक्तिगत खातों में लॉग इन करने का अनुभव "वास्तव में उत्कृष्ट" है और ऑपरेशन सुचारू है।
हालाँकि, यह प्रतीत होता है कि आदर्श पासवर्ड-मुक्त भविष्य भारी उपयोगकर्ताओं और कुछ तकनीकी परिदृश्यों के लिए आसान नहीं हो सकता है। लेखक विंडोज़ इनसाइडर के रूप में अपनी स्वयं की कार्य प्रक्रिया को एक उदाहरण के रूप में लेता है और बताता है कि उसे अक्सर विभिन्न सिस्टम संस्करणों और सॉफ़्टवेयर वातावरणों के परीक्षण के लिए बड़ी संख्या में वर्चुअल मशीनें बनाने, कॉन्फ़िगर करने और प्रबंधित करने की आवश्यकता होती है। इन पृथक वर्चुअल मशीन वातावरणों में, भौतिक बायोमेट्रिक हार्डवेयर अक्सर अनुपलब्ध होता है और सुरक्षा कुंजियाँ हमेशा पहुंच योग्य नहीं होती हैं, जिसके परिणामस्वरूप पासकी लॉगिन अनुभव काफी हद तक "गिरा" जाता है। वर्चुअल मशीन में पिन के माध्यम से पासकी का उपयोग करके Microsoft खाते में लॉग इन करने का प्रयास करते समय, उसे बार-बार त्रुटि संदेशों का सामना करना पड़ा और वह लॉगिन प्रक्रिया को सफलतापूर्वक पूरा करने में असमर्थ था।
इस अत्यधिक तकनीकी लेकिन अपेक्षाकृत सामान्य परिदृश्य में, टेक्स्ट संदेश सत्यापन कोड प्राप्त करने का अनुरोध करना एक बार एक सरल और विश्वसनीय "अंतिम उपाय समाधान" था। पासवर्ड और एसएमएस सत्यापन कोड का संयोजन लोगों के दिलों में गहराई से बस गया है, और छह अंकों की एक स्ट्रिंग दुनिया भर के उपयोगकर्ताओं के दैनिक कार्यों में सबसे प्राकृतिक सुरक्षा कदमों में से एक बन गई है। लेखक का मानना है कि कई वर्षों से बनी इस आदत को वास्तव में बदलने के लिए, नई तकनीकों को न केवल सुरक्षित होना चाहिए, बल्कि लगभग सभी परिदृश्यों में "संवेदनहीन" तरीके से काम करने में सक्षम होना चाहिए, अन्यथा यह महत्वपूर्ण क्षणों में उपयोगकर्ताओं को आसानी से परेशानी में डाल देगा।
Microsoft ने सुरक्षा दिशा में इस परिवर्तन के साथ समन्वय करने के लिए हाल ही में इंस्टॉलेशन अनुभव और खाता नीतियों में अन्य समायोजन किए हैं। उदाहरण के लिए, ऐसे संकेत हैं कि Microsoft भविष्य में Windows 11 इंस्टॉलेशन प्रक्रियाओं में Microsoft खाते में लॉग इन करने की आवश्यकता को हटा सकता है, जिससे कुछ सेटअप चरणों के दौरान उपयोगकर्ताओं को ऑनलाइन लॉग इन करने की आवश्यकता कम हो जाएगी। दूसरी ओर, कंपनी सिस्टम पॉप-अप के माध्यम से सभी व्यक्तिगत खाता उपयोगकर्ताओं को जल्द से जल्द पास कुंजी कॉन्फ़िगर करने और बैकअप ईमेल पते सत्यापित करने के लिए प्रोत्साहित करने के लिए सक्रिय रूप से संकेत देगी। सामान्य संकेतों में "चेहरे, फिंगरप्रिंट या पिन के साथ तेजी से लॉग इन करें" शामिल है।
यह अनुमान लगाया जा सकता है कि एसएमएस सत्यापन कोड के "सुविधाजनक लेकिन नाजुक" उपकरण को खोने से अल्पावधि में कुछ उपयोगकर्ताओं को असुविधा और शिकायतें होंगी। हालाँकि, माइक्रोसॉफ्ट के बयान में, इसे वह कीमत माना जाता है जिसे आधुनिक सुरक्षा खतरों से निपटने के लिए भुगतान किया जाना चाहिए, और यह विंडोज 11 पारिस्थितिकी तंत्र की समग्र सुरक्षा रक्षा लाइन को मजबूत करने के लिए एक महत्वपूर्ण कदम भी है। पास कुंजियों और पासवर्ड रहित समाधानों के और अधिक लोकप्रिय होने के साथ, खाता सुरक्षा का अंतर्निहित तर्क "पासवर्ड याद रखना" से "यह साबित करना कि आप कौन हैं" की ओर स्थानांतरित हो रहा है, और यह माइग्रेशन पहले ही Microsoft के सिस्टम में पूरी तरह से लॉन्च हो चुका है।