Microsoft откажется от паролей в учетных записях

Microsoft в ближайшие недели откажется от паролей в учетных записях. Об этом сообщается в пресс-релизе компании.
iStock

Теперь для входа в приложения и службы, такие как Outlook, OneDrive, Microsoft Family Safety и другие, в качестве альтернативы паролям можно будет использовать приложение Microsoft Authenticator, биометрическую систему аутентификации Windows Hello, ключ безопасности или проверочный код, отправленный на телефон или электронную почту.

Чтобы перейти на беспарольный режим уже сегодня, необходимо убедиться в том, что у вас установлено приложение Microsoft Authenticator и оно связано с учетной записью Microsoft, затем посетить сайт account.microsoft.com, войти в систему и найти раздел "Дополнительная безопасность". В нем можно будет включить параметр "Учетная запись без пароля". Следуя инструкциям на экране, затем необходимо будет лишь одобрить уведомление из приложения Authenticator. При этом, если пользователь решит, что все же предпочитает использовать пароль, его всегда можно будет добавить обратно в свою учетную запись.

По мнению компании, слабые пароли являются причиной для большинства атак на корпоративные и пользовательские учетные записи. Каждую секунду происходит 579 атак на пароли - это 18 миллиардов атак в год. Пароли очень неудобно создавать и запоминать. Пользователи часто стараются облегчить себе задачу и придумать легко запоминающийся пароль. Один из недавних опросов показал, что 15% людей используют имена своих домашних питомцев для создания паролей. Среди других распространенных ответов - имена членов семьи и важные даты, например, дни рождения. Каждый десятый человек отметил, что использует пароли повторно на разных сайтах, а 40% говорят, что меняли пароли на похожие по определенной формуле, например, Fall2021, который в итоге превращается в Winter2021 или Spring2022.

"Утверждение о том, что отказ от привычного пароля "увеличивает безопасность" весьма спорно, потому что наиболее надежной комбинацией является наличие пароля, второго фактора аутентификации в виде SMS-кода или кода из приложения и третьего фактора в виде некоего биометрического показателя (таким образом можно проверить, что пользователь знает пароль, обладает возможностью для предоставления одноразового заранее неизвестного кода и действительно является собой)", - утверждает Роман Резвухин, заместитель руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB.

По его словам, набор способов аутентификации, о которых говорит Microsoft, едва ли является удобным для пользователя, поэтому многие процедуры аутентификации естественным образом упрощаются. "Если же, скажем, пользователь ранее имел только парольную аутентификацию, но не имел аутентификации в виде одноразового кода, то конечно же замена пароля на код подтверждения может повысить безопасность", - добавляет он.

Также важно уделять большее внимание устройству, которое используется для подтверждения - нельзя допустить, чтобы оно могло попасть в чужие руки и предоставляло потенциальному злоумышленнику возможность для чтения одноразового кода. "Не стоит сбрасывать со счетов и вредоносное ПО для мобильных устройств - оно способно считывать и коды из смс, и в некоторых случаях и коды подтверждения из приложений", - говорит Резвухин.

С ним не согласен Дмитрий Бондарь, директор Центра компетенций управления доступом Solar inRights компании "Ростелеком-Солар".

"У парольной аутентификации большое количество недостатков. Их можно подобрать, передать, использовать один и тот же для разных учётных записей. Это делает их довольно небезопасным способом аутентификации. Поэтому переход на альтернативные способы - это хороший шаг для повышения безопасности. Стоит отметить, что безопасность каждого из предлагаемых Microsoft способов аутентификации учётных записей зависит в каждом из случаев от разных обстоятельств", - считает специалист.

Наиболее оптимальным методом с точки зрения безопасности, является применение многофакторной аутентификации, даже если одним из ее элементов является использование пароля, важно только, чтобы пароль был по-настоящему надежным, добавляет Дмитрий Галов, эксперт по кибербезопасности в "Лаборатории Касперского". "Таким образом, отказ от паролей в пользу альтернативного метода аутентификации в массовом сегменте - интересный концепт, который, к слову, уже применяется в некоторых сервисах. Важно смотреть и анализировать, как он проявит себя в будущем, потому что на данном этапе сложно сказать, какие проблемы здесь могут еще проявиться", - заключает он.