微软确认NTLM身份验证方式在Windows 11 24H2和Server 2025之后将失效

微软确认NTLM身份验证方式在Windows1124H2和Server2025之后将失效不过，与此同时，这家科技巨头还补充说，它将继续致力于"WindowsServer的下一个版本和Windows的下一个年度版本"，这意味着NTLM身份验证将在Windows11的2024更新版本24H2和WindowsServer2025上运行。微软目前正在确保这两个操作系统的系统要求相互兼容。该公司写道：包括LANMAN、NTLMv1和NTLMv2在内的所有NTLM版本均已停止功能开发，并已被废弃。但NTLM的使用将在下一个WindowsServer版本和下一个Windows年度版本中继续有效。对NTLM的调用应由对"协商"的调用取代，"协商"将尝试使用Kerberos进行身份验证，只有在必要时才返回NTLM。早些时候，微软曾解释说，此举背后的原因是为了提高身份验证的安全性，因为Kerberos等更现代的协议在这方面更胜一筹。该公司现在建议使用"协商"协议，这样只有在Kerberos不可用时才会退回到NTLM。在许多情况下，应用程序只需在向SSPI发出的AcquireCredentialsHandle请求中做一行更改，就能用Negotiate替代NTLM。一个已知的例外情况是，应用程序对完成身份验证所需的最大往返次数做了硬性假设。在大多数情况下，"协商"至少会增加一次额外的往返。某些情况可能需要额外配置。对于那些想知道NTLM历史有多悠久的人来说，这项技术自1993年在WindowsNT3.1中加入时就已经存在了。Kerberos虽然更"现代"，但也从Windows2000ServicePack4(SP4)开始使用，也算得上历史悠久了。...PC版：https://www.cnbeta.com.tw/articles/soft/1433540.htm手机版：https://m.cnbeta.com.tw/view/1433540.htm

谷歌身份验证器现在可以将 2FA 代码同步到云端

谷歌身份验证器现在可以将2FA代码同步到云端GoogleAuthenticator刚刚获得更新，对于经常使用该服务登录应用程序和网站的人来说应该会更有用。从今天开始，GoogleAuthenticator现在会将其生成的任何一次性双因素身份验证(2FA)代码同步到用户的Google帐户。以前，一次性身份验证器代码存储在本地的单个设备上，这意味着丢失该设备通常意味着无法登录使用身份验证器的2FA设置的任何服务。要利用新的同步功能，只需更新Authenticator应用程序即可。如果您在Google身份验证器中登录了Google帐户，您的代码将自动备份并在您使用的任何新设备上恢复。即使您没有登录Google帐户，您也可以按照此支持页面上的步骤手动将代码传输到另一台设备。警告：由于此前谷歌身份验证器更新会造成验证代码无法被正确验证，此次更新是否解决了这个问题编辑未进行确认，请谨慎更新。——

微软发布 Windows Server 紧急更新，修复 3 月更新导致的域控制器崩溃问题

微软发布WindowsServer紧急更新，修复3月更新导致的域控制器崩溃问题https://www.ithome.com/0/757/622.htm微软承认3月更新会导致WindowsServer域控制器本地安全授权子系统服务（LSASS）内存泄漏，在内部部署和基于云的ActiveDirectory域控制器为Kerberos身份验证请求提供服务时，就会出现这种情况。

【Sui推出Web3身份验证解决方案zkLogin】

【Sui推出Web3身份验证解决方案zkLogin】2023年09月13日05点21分老不正经报道，Sui基金会宣布推出Web3身份验证解决方案zkLogin。zkLogin使用户无需安装钱包或管理助记词即可加入Sui生态系统。zkLogin使用户无需安装钱包或管理助记词即可加入Sui生态系统。通过Sui的新网络原始码，开发者可以让用户使用他们在谷歌、Facebook、Twitch和其他第三方提供商的现有账户来验证dApps。未来的计划包括与微软、苹果、微信和亚马逊进行类似的整合。

【Ultiverse、TaskON 等 BNB Chain 项目将集成 zkBAB 进行隐私身份验证】

【Ultiverse、TaskON等BNBChain项目将集成zkBAB进行隐私身份验证】2023年05月25日11点29分5月25日消息，Ultiverse、TaskON、ReadON、Yuliverse、Web3Go、zkPass和LetsMeme等BNBChain项目宣布采用Web3隐私保护协议MantaNetwork推出的zkBAB进行隐私身份验证，将集成zkBAB私有身份凭证。通过利用zkBAB，可减少机器人程序利用和女巫攻击，此外用户可通过使用证明密钥连接应用程序，以无缝和无钱包的方式验证所有权。

微软的 Windows Hello 指纹验证机制已被绕过

微软的WindowsHello指纹验证机制已被绕过微软的进攻研究与安全工程（MORSE）要求BlackwingIntelligence对指纹传感器的安全性进行评估，研究人员在10月份的微软BlueHat大会上的一次演讲中提供了他们的发现。研究小组将Goodix、Synaptics和ELAN等公司的流行指纹传感器作为研究目标，并在最新发表的一篇博文中详细介绍了构建可执行中间人（MitM）攻击的USB设备的深入过程。这种攻击可以访问被盗的笔记本电脑，甚至可以对无人值守的设备发动"邪恶女仆"攻击。戴尔Inspiron15、联想ThinkPadT14和微软SurfaceProX都是指纹识别器攻击的受害者，只要有人之前在设备上使用过指纹验证，研究人员就可以绕过WindowsHello保护。BlackwingIntelligence的研究人员对软件和硬件进行了逆向工程，发现了Synaptics传感器上定制TLS的加密实现缺陷。绕过WindowsHello的复杂过程还涉及解码和重新实施专有协议。得益于微软对WindowsHello和无密码未来的推动，指纹传感器目前已被Windows笔记本电脑用户广泛使用。微软三年前曾透露，近85%的消费者使用WindowsHello登录Windows10设备，而不是使用密码（不过，微软将简单的PIN码也算作使用WindowsHello）。这已经不是WindowsHello生物识别身份验证第一次被破解了。2021年，微软被迫修复了一个WindowsHello身份验证绕过漏洞，该漏洞涉及捕捉受害者的红外图像来欺骗WindowsHello的面部识别功能。不过，目前还不清楚微软能否单独修复这些最新漏洞。BlackwingIntelligence的研究人员JesseD'Aguanno和TimoTeräs在关于这些漏洞的深度报告中写道："微软在设计安全设备连接协议（SDCP）以提供主机和生物识别设备之间的安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。此外，SDCP只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露出相当大的攻击面，根本不在SDCP的覆盖范围内。"研究人员发现，在他们锁定的三台设备中，有两台没有启用微软的SDCP保护。现在，BlackwingIntelligence建议原始设备制造商确保启用SDCP，并确保指纹传感器的实施由合格的专家进行审核。BlackwingIntelligence还在探索对传感器固件的内存破坏攻击，甚至是Linux、Android和苹果设备上的指纹传感器安全。...PC版：https://www.cnbeta.com.tw/articles/soft/1399057.htm手机版：https://m.cnbeta.com.tw/view/1399057.htm