作为桌面操作系统重大更新的一部分，微软昨天（9月26日）正式在 Windows 11 中推出了对通行密钥的支持功能。用户仅需依靠设备的 PIN 码或生物识别信息即可完成登录步骤，不再需要提供用户名和密码即可登录网站和应用程序。

　　基于FIDO标准，Passkeys于2022年5月首次宣布，以一种既强大又抗网络钓鱼的方式取代密码。最近几个月，它已经被苹果、谷歌和其他一些服务采用。

　　虽然这家科技巨头早在2023年6月就在Windows Insider程序中添加了密钥管理，但此次新功能的推出意味着其即将适用于大多数用户。

　　企业和操作系统安全副总裁David Weston表示：密钥是安全登录管理的跨平台未来。密钥创建了一个唯一的、不可猜测的加密凭证，它安全地存储在你的设备上。

　　密钥对于每个网站或应用程序来说都是独一无二的，它消除了以往设置复杂密码并存在遗忘的风险。同时，密钥还可以在同一操作系统(或生态系统)内的设备之间同步，使登录过程更容易。

　　除此之外，微软还表示还将把Windows Hello for Business应用到企业管理的Windows 11设备上，让it团队能够为加入微软Entra ID的机器设置策略，从而确保用户身份的安全。

　　另外还有与企业相关的新增功能值得注意：其中包括增强了内置的Windows防火墙和一个新的自定义应用程序控制选项，以确保只有经过批准和信任的应用程序被允许进入设备，并保护端点免受恶意代码的攻击。

　　Weston表示，通过控制不需要或恶意代码的运行，应用程序控制是整个安全策略的关键部分，应用程序控制通常被认为是防御恶意软件的最有效手段之一。

　　据BleepingComputer消息，云安全公司 Wiz 近期披露，微软人工智能研究部门在向公共 GitHub 存储库贡献开源人工智能学习模型时意外泄露了38 TB 的敏感数据。

　　Wiz 的安全研究人员发现，一名微软员工无意中共享了因配置错误而泄露敏感信息的 Azure Blob 存储桶URL。

　　微软认为这是由于使用过于宽松的共享访问签名（SAS）令牌，该令牌能对共享文件进行完全的控制，进而能以不可监控和撤销的方式进行数据共享。Wiz的研究人员警告称，由于缺乏监控和治理，SAS 令牌存在安全风险，应尽可能限制其使用，由于微软没有提供在 Azure中集中管理的方式，这些令牌非常难以跟踪。

　　Wiz发现，泄露的信息包括属于微软员工的个人信息备份、微软服务密码以及来自 359 名 微软员工共计 3万多条内部 Microsoft Teams 消息的存档。

　　在9月18日发布的一份通报中，微软安全响应中心（MSRC）团队表示没有客户数据被泄露，也没有其他内部服务因此次事件而面临危险。

　　Wiz 首席技术官兼联合创始人 Ami Luttwak 向BleepingComputer表示，人工智能为科技公司释放了巨大的潜力。然而，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们处理的大量数据需要额外的安全检查和保障措施。

　　就在1年前，2022 年 9 月，威胁情报公司 SOCRadar发现了另一个微软配置错误的 Azure Blob 存储桶，其中包含存储在 2017 年至 2022 年 8 月文件中的敏感数据，这些数据与来自全球 111 个国家和地区的 65000 多个实体存在关联。

　　Pcmag 网站披露，一名黑客利用人工智能深度伪造了一名员工声音，成功入侵 IT 公司 Retool，致使 27 名云客户被卷入网络安全事件当中。

　　黑客一开始向 Retool 多名员工发送钓鱼短信，声称自己是 Retool IT 团队工作人员并表示能够解决员工无法获得医疗保险的薪资问题。收到钓鱼短信后，大多数 Retool 员工没有进行回应，但有一名员工是个例外，从而引发了此次网络攻击事件。

　　根据 Retool 分享的消息来看，这名毫无戒心的员工点击了短信中一个 URL，该 URL 将其转到一个虚假的互联网门户网站，在登录包括多因素身份验证表格的门户后，网络攻击者使用人工智能驱动的深度伪造技术扮成了一名 Retool 员工真实声音给员工打了电话，（这个”声音“的主人很熟悉办公室的平面图、同事和公司的内部流程。

　　值得一提的是，整个对话过程中，虽然受害员工多次对电话表示了怀疑，但不幸的是，最后还是向攻击者提供了一个额外的多因素身份验证（MFA）代码。

　　可以看出，网络攻击者在打电话给受害员工之前，可能已经在一定程度上渗透到了 Retool 中。一旦放弃多因素代码，网络攻击者就会将自己的设备添加到该员工的账户中，并转向访问其 GSuite 账户。

　　Retool 表示，由于谷歌 Authenticator 应用程序最近引入了云同步功能，该功能虽然便于用户在手机丢失或被盗时可以访问多因素验证码，但 Retool 指出如果用户谷歌账户被泄露，那么其 MFA 代码也会被泄露。

　　Retool进一步指出，进入谷歌账户就能立即访问该账户中的所有 MFA 令牌，这是网络攻击者能够进入内部系统的主要原因。社会工程学是一种非常真实可信的网络攻击媒介，任何组织和个人都会成为其攻击目标，如果实体组织规模足够大，就会有员工在不知情的情况下点击链接并被钓鱼。

　　最后，虽然目前 Retool 已经禁止了网络攻击者的访问权限，但为了警告其它公司免受类似攻击，还是决定公布这起安全事件。返回搜狐，查看更多