Разделы

ПО Софт Безопасность Стратегия безопасности Техническая защита Техника

Microsoft оставит все свои сервисы без паролей

Microsoft намерена убрать из своих сервисов поддержку авторизации по паролю в течение 2021 г. Компания считает их ненадежным способом защиты профилей и собирается предложить пользователям новый универсальный инструмент для работы с ее сервисами под своим аккаунтом.

В будущее без паролей

Корпорация Microsoft планирует полностью отказаться от паролей в своих сервисах в течение 2021 г. В своем блоге она сообщила, что ее решение напрямую связано со стремлением повысить уровень безопасности для своих пользователей, поскольку, по ее статистике, около 80% кибератак в мире нацелены именно на кражу логинов и паролей.

Риск утечки паролей затрагивает не только обычных, но и корпоративных пользователей. По подсчетам Microsoft, ежемесячно одна из 250 корпоративных аккаунтов подвергается компрометации.

Для полного отказа от паролей Microsoft запустит новые инструменты авторизации, в основе которых будут алгоритмы управления ключами безопасности на базе стандарта FIDO2. В частности, в планы компании входит запуск некоего «конвергентного портала регистрации», который тоже будет использоваться для работы с такими ключами.

Имеющиеся способы беспарольной аутентификации

В настоящее время Microsoft продвигает ряд различных фирменных инструментов аутентификации пользователей. К ним относится технология Windows Hello, позволяющая идентифицировать человека по лицу при помощи ИК-камер и сканеров отпечатков пальцев в ноутбуках и мониторах.

passw600.jpg
Возможно, в небезопасности паролей виноваты не они, а сами пользователи

Также у Microsoft есть приложение Authenticator, упрощающее авторизацию в том или ином сервисе. Оно дает возможность быстро подключаться к любым проектам компании, где требуется идентификация пользователя, например, к почте Outlook, облаку OneDrive, или офисным программам из пакета Office. Учетные записи для сторонних сервисов, к примеру, соцсети Facebook, тоже поддерживаются.

В Windows без пароля

Существует вероятность, что поддержка паролей как средства авторизации исчезнет и их флагманского программного продукта Microsoft – ОС Windows 10. Еще в июле 2019 г. компания убрала из тестовой сборки этой системы функцию авторизации путем ввода пароля, предложив бета-тестерам перейти на PIN-код.

В качестве дополнительного варианта замены пароля на ПК под управлением Windows 10 Microsoft предложила использовать биометрию. Под этим она подразумевала собственную технологию Windows Hello, но в данном случае она может быть оказаться бесполезной на компьютерах, у которых нет ни дактилоскопа, ни камеры.

Кроме того, пароль тоже может быть PIN-кодом. Для этого пользователю достаточно лишь придумать для подтверждения входа пароль в виде набора цифр.

Билл Гейтс тоже против паролей

Microsoft потеряла доверие к паролям еще в начале XXI века. В 2004 г. основатель компании Билл Гейтс (Bill Gates) заявил, что пароли как средства обеспечения инфобезопасности обречены на вымирание. «Еще один важный вопрос в области систем идентификации – ненадежность паролей. Мы не собираемся рассчитывать на их надежность», – сказал он.

Но на тот момент у Microsoft не было ни Windows Hello, ни Authenticator – Билл Гейтс делал ставку на совсем другие инструменты авторизации, хотя биометрию он упоминал уже тогда. «Мы движемся по направлению к биометрии и смарт-картам», – отметил он.

С Биллом Гейтом согласны и специалисты издания The Conversation. Как сообщал CNews, в сентябре 2020 г. они провели исследование и выяснили, пароли как средство защиты пользовательских данных полностью устарели. К такому выводы они пришли, узнав, что подобрать любой пароль можно за несколько минут при помощи облачных вычислений, а сервис дешифровки хэшированных паролей за пару секунд находится в Google или «Яндексе».

Даже сам изобретатель компьютерных паролей, американский ученый Фернандо Корбато (Fernando Corbato), разочаровался в своем детище. Корбато разработал концепцию защищенных паролем учетных записей пользователей еще в 1961 г., а в 2014 г. в интервью изданию The Wall Street Journal он заявил, что у паролей как у явления и части современной жизни есть немало недостатков. По словам ученого, с развитием интернета пароли становились все большей проблемой для пользователей – сервисов становилось все больше, людям приходилось запоминать больше паролей, а использование только лишь одной комбинации серьезно угрожало их конфиденциальности на фоне роста киберпреступности. В современном мире пароли стали «чем-то вроде ночного кошмара», добавил Корбато.

Пароли никуда не денутся

Microsoft может отказаться от паролей в своих сервисах, но сами пользователи продолжат применять их на сотнях различных сайтов. Компания, понимая это, за несколько дней до заявления о переходе в 2021 г. на новые способы авторизации, модифицировала приложение Authenticator, добавив в него менеджер самых обычных паролей.

Новая функция Microsoft Authenticator
Как мигрировать с SAP ERP на 1С за 9 месяцев: кейс крупного производителя табачной продукции
Бизнес

Authenticator теперь умеет «запоминать» пароли и автоматически вводить их при входе в аккаунт. Пока такое автозаполнение работает только с сервисами Microsoft, но в будущем может появиться поддержка и сторонних проектов.

Также в Authenticator есть генератор паролей и возможность синхронизации сохраненных паролей с другими мобильными устройствами или компьютерами. По умолчанию сервис работает только с браузером Microsoft Edge, но также есть поддержка и Google Chrome, хотя для него нужно будет установить специальное расширение.

Эльяс Касми