Microsoft Entra ID เตรียมเริ่มใช้ Passkeys เป็นค่าเริ่มต้นในการยืนยันตัวตน เริ่มต้นตั้งแต่เดือนกันยายนนี้

 

Microsoft ประกาศว่า Passkeys จะกลายเป็นวิธีการยืนยันตัวตนเริ่มต้น สำหรับบริการระบุตัวตนระดับองค์กร Entra ID โดยจะเริ่มตั้งแต่เดือนกันยายน 2026

Passkeys จะถูกเปิดใช้งานโดยอัตโนมัติสำหรับผู้ใช้ Entra ID ที่ใช้การยืนยันตัวตน phone-based SMS และ voice authentication ซึ่งวิธีการเหล่านี้จะถูกยกเลิกการใช้งานในเดือนกุมภาพันธ์ 2027

อย่างไรก็ตาม ผู้ใช้ที่ลงชื่อเข้าใช้บัญชีของตนด้วย Passkeys, Windows Hello for Business, FIDO2 security keys, สมาร์ทการ์ด หรือวิธีการอื่นใดที่มีมาตรการป้องกันต่อการฟิชชิงอยู่แล้ว จะสามารถใช้งานวิธีการเหล่านั้นต่อไปได้

Microsoft ระบุว่า "เมื่อเปิดใช้งาน ผู้ใช้งานที่ใช้การยืนยันตัวตนผ่าน SMS หรือระบบ voice authentication อยู่ จะได้รับการเปิดใช้งาน Passkeys ให้โดยอัตโนมัติ และในครั้งต่อไปที่พวกเขาทำการยืนยันตัวตนแบบ MFA จะได้รับการแจ้งเตือนให้ลงทะเบียน Passkey"

"หลังจากการเปลี่ยนในวันที่ 1 กุมภาพันธ์ 2027 Microsoft Entra ID จะยกเลิกการส่งสัญญาณโทรคมนาคมของ Microsoft สำหรับการยืนยันตัวตนด้วย SMS และ voice authentication"

 

ผู้ดูแลระบบที่มีบทบาท Global Reader, Authentication policy administrator หรือ Security reader สามารถค้นหาผู้ใช้ที่ใช้การยืนยันตัวตนด้วย SMS หรือ voice authentication ได้ โดยการรันสคริปต์ PowerShell ที่ชื่อว่า Entra SMS/Voice Policy Scanner

องค์กรที่ยังคงจำเป็นต้องใช้การยืนยันตัวตนผ่านโทรศัพท์ จะต้องกำหนดค่าผู้ให้บริการโทรคมนาคมภายนอก ผ่าน Microsoft Security Store

Microsoft ได้ให้คำแนะนำแบบ step-by-step ในการปรับใช้ และจัดการการยืนยันตัวตนแบบไร้รหัสผ่านที่มีมาตรการป้องกันต่อการฟิชชิงของ Entra ID บนหน้า documentation ที่จัดไว้โดยเฉพาะ

ผู้ใช้งานได้รับคำแนะนำให้เปลี่ยนไปใช้วิธีอื่นแทนการยืนยันตัวตนผ่านระบบโทรศัพท์ เพื่อป้องกันการโจมตีบัญชีผู้ใช้งาน และยกระดับความปลอดภัยของบัญชี เนื่องจากผู้โจมตี (รวมถึงกลุ่มเรียกค่าไถ่อย่าง ShinyHunters) ได้มุ่งเป้าโจมตีบัญชี Microsoft Entra single sign-on (SSO) อย่างหนัก ในแคมเปญการโจมตีเพื่อขโมยข้อมูล SaaS เมื่อไม่นานมานี้ โดยใช้ข้อมูลระบุตัวตนที่ถูกขโมยมา

Microsoft ให้ข้อมูลเพิ่มเติมว่า "Microsoft Threat Intelligence ตรวจพบแคมเปญฟิชชิงที่นำ AI มาใช้ ซึ่งมีอัตราการคลิกสูงถึง 54% เมื่อเทียบกับแคมเปญแบบดั้งเดิมที่มีอัตราการคลิกอยู่ราว 12% ส่งผลให้รหัสผ่านที่ถูกขโมย และปัจจัยยืนยันตัวตนขั้นที่สองที่เสี่ยงต่อการถูกฟิชชิง กลายเป็นความเสี่ยงที่เร่งด่วน"

"การกำหนดให้ passkeys เป็นการยืนยันตัวตนเริ่มต้น จะช่วยให้องค์กรลดการพึ่งพาวิธีการยืนยันตัวตนที่เสี่ยงต่อการถูกฟิชชิง และเสริมความแข็งแกร่งในการป้องกันการขโมยข้อมูล credential รวมถึงการโจมตีแบบฟิชชิง"

ที่มา : bleepingcomputer