Microsoft ने घोषणा की कि पासकी अब Entra ID एंटरप्राइज़ आइडेंटिटी सेवा के लिए डिफ़ॉल्ट ऑथेंटिकेशन बन जाएगी। SMS और वॉयस‑आधारित दो‑कारक प्रमाणीकरण को 1 फ़रवरी 2027 को बंद कर दिया जाएगा, जिससे संगठनों को फ़िशिंग‑रोधी विधियों की ओर तेज़ी से बदलाव करना पड़ेगा।

मुख्य बिंदु (Key Takeaways)

  • सितंबर 2026 से Entra ID में पासकी डिफ़ॉल्ट बनेंगे।
  • SMS और वॉयस ऑथेंटिकेशन 1 फ़रवरी 2027 को बंद हो जाएगा।
  • सभी उपयोगकर्ताओं को फ़िशिंग‑रोधी पासवर्ड‑लेस विकल्प अपनाने की सलाह दी गई है।

पासकी को डिफ़ॉल्ट बनाकर सुरक्षा का नया युग

Microsoft ने आधिकारिक तौर पर घोषणा की कि Microsoft Entra ID में पासकी (passkeys) को सितंबर 2026 से डिफ़ॉल्ट ऑथेंटिकेशन विधि बना दिया जाएगा। यह कदम एंटरप्राइज़ स्तर पर फ़िशिंग‑रोधी, पासवर्ड‑लेस पहचान प्रणाली को मानक बनाने की दिशा में एक महत्वपूर्ण कदम है। वर्तमान में SMS और वॉयस‑आधारित दो‑कारक प्रमाणीकरण (2FA) का उपयोग करने वाले उपयोगकर्ता स्वचालित रूप से पासकी के लिए सक्षम हो जाएंगे और अगली बार जब वे मल्टी‑फैक्टर ऑथेंटिकेशन करेंगे, तो उन्हें पासकी रजिस्टर करने का संकेत मिलेगा।

SMS/वॉयस ऑथेंटिकेशन का चरणबद्ध हटाना

Microsoft ने स्पष्ट किया कि 1 फ़रवरी 2027 से SMS और वॉयस ऑथेंटिकेशन को पूरी तरह से बंद कर दिया जाएगा। इस तिथि के बाद, कोई भी टेनेंट इन पारंपरिक तरीकों का उपयोग नहीं कर पाएगा, जिससे संभावित साइन‑इन व्यवधान से बचा जा सकेगा। प्रशासनिक रोल (ग्लोबल रीडर, ऑथेंटिकेशन पॉलिसी एडमिनिस्ट्रेटर, सिक्योरिटी रीडर) वाले एडमिन PowerShell स्क्रिप्ट “Entra SMS/Voice Policy Scanner” चलाकर प्रभावित उपयोगकर्ताओं की सूची बना सकते हैं।

तीसरे‑पक्ष टेलीकॉम प्रदाता एवं माइक्रोसॉफ्ट सुरक्षा स्टोर

यदि कोई संगठन अभी भी फ़ोन‑आधारित ऑथेंटिकेशन पर निर्भर है, तो उन्हें Microsoft Security Store के माध्यम से थर्ड‑पार्टी टेलीकॉम प्रदाताओं को कॉन्फ़िगर करना होगा। माइक्रोसॉफ्ट ने एक समर्पित दस्तावेज़ पृष्ठ पर चरण‑बद्ध मार्गदर्शन प्रदान किया है, जिसमें पासकी, Windows Hello for Business, FIDO2 सिक्योरिटी की, स्मार्ट‑कार्ड आदि फ़िशिंग‑रोधी विकल्पों को तैनात करने के सभी तकनीकी पहलुओं को कवर किया गया है।

खतरों का बढ़ता परिदृश्य और AI‑सक्षम फ़िशिंग

साइबर खतरों की तीव्रता में उल्लेखनीय वृद्धि हुई है। Microsoft Threat Intelligence ने रिपोर्ट किया है कि AI‑सक्षम फ़िशिंग अभियानों की क्लिक‑थ्रू दर 54% तक पहुँच गई है, जबकि पारंपरिक अभियानों की दर केवल 12% है। शाइनीहंटर्स जैसी एक्सटॉर्शन गैंग ने Entra SSO खातों को बड़े पैमाने पर लक्षित किया है, जिससे पासकी को डिफ़ॉल्ट बनाकर फ़िशिंग‑रोधी सुरक्षा को सुदृढ़ करना अनिवार्य हो गया है।

भविष्य की दिशा और संगठनों के लिए सिफ़ारिशें

पासकी को डिफ़ॉल्ट बनाकर Microsoft ने न केवल उपयोगकर्ता अनुभव को सरल किया है, बल्कि पहचान चोरी और क्रेडेंशियल‑स्टेलिंग के जोखिम को भी कम किया है। संगठनों को सलाह दी जाती है कि वे जल्द से जल्द सभी उपयोगकर्ताओं को फ़िशिंग‑रोधी विधियों में माइग्रेट करें, ताकि 2027 की नियत तिथि से पहले किसी भी साइन‑इन विफलता से बचा जा सके। साथ ही, सुरक्षा टीमों को ब्रीच‑एंड‑अटैक सिमुलेशन (BAS) जैसी निरंतर परीक्षण प्रक्रियाओं को अपनाना चाहिए, ताकि संभावित खामियों को वास्तविक हमलावरों से पहले खोजा जा सके।