Microsoft telah mengumumkan bahwa kunci sandi akan menjadi metode autentikasi default untuk layanan identitas perusahaan Entra ID mulai September 2026.
Kunci sandi akan diaktifkan secara otomatis untuk pengguna Entra ID yang sekarang menggunakan SMS berbasis telepon dan autentikasi suara, yang akan dihentikan pada bulan Februari 2027 di seluruh penyewa.
Namun, pengguna yang sudah masuk ke akun mereka dengan kunci sandi, Windows Hello for Business, kunci keamanan FIDO2, kartu pintar, atau metode anti phishing lainnya akan dapat terus menggunakan metode tersebut.
“Saat peluncuran ini menjangkau setiap organisasi, pengguna yang diaktifkan untuk SMS atau autentikasi suara akan secara otomatis diaktifkan untuk kunci sandi, dan saat berikutnya mereka melakukan autentikasi multifaktor, mereka akan diminta untuk mendaftarkan kunci sandi,” kata Microsoft.
“Setelah transisi ini, pada tanggal 1 Februari 2027, Microsoft akan menghentikan pengiriman telekomunikasi yang disediakan Microsoft untuk otentikasi SMS dan suara dan tidak lagi menawarkan SMS dan suara sebagai kemampuan asli Microsoft Entra.”
Sebelum tanggal ini, organisasi disarankan untuk memastikan bahwa semua pengguna menggunakan metode yang tahan terhadap phishing untuk menghindari gangguan proses masuk, karena mereka tidak lagi dapat menggunakan SMS atau suara untuk menyelesaikan autentikasi multifaktor dan masuk ke akun mereka.
Admin dengan peran pembaca global, Administrator kebijakan autentikasi, atau Pembaca keamanan diaktifkan dapat menemukan pengguna autentikasi SMS atau suara dengan menjalankan skrip PowerShell Entra SMS/Pemindai Kebijakan Suara.
Organisasi yang masih diharuskan menggunakan autentikasi berbasis telepon perlu mengonfigurasi penyedia telekomunikasi pihak ketiga melalui Microsoft Security Store.
Microsoft memberikan panduan langkah demi langkah dalam menerapkan dan mengelola autentikasi tanpa kata sandi yang tahan terhadap phishing Entra ID halaman dokumentasi khusus ini.
Pengguna disarankan untuk beralih dari metode otentikasi berbasis telepon untuk memblokir serangan identitas dan meningkatkan keamanan akunseperti yang dilakukan oleh pelaku ancaman (termasuk geng pemerasan ShinyHunters). sangat ditargetkan Akun sistem masuk tunggal (SSO) Microsoft Entra dalam gelombang baru-baru ini dari Serangan pencurian data SaaS menggunakan kredensial yang dicuri.
“Microsoft Threat Intelligence telah mengamati kampanye phishing yang didukung AI mencapai rasio klik-tayang (CTR) sebesar 54%, dibandingkan dengan sekitar 12% untuk kampanye yang lebih tradisional, menjadikan kata sandi yang dicuri dan faktor kedua yang dapat diphishing menjadi risiko yang mendesak,” tambah Microsoft.
“Dengan menjadikan kunci sandi sebagai pengalaman autentikasi default, organisasi mengurangi ketergantungan pada metode autentikasi yang dapat ditipu dan memperkuat perlindungan terhadap pencurian kredensial dan phishing.”
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
