Microsoft видит проблему в стандартных паролях, которые зачастую повторяются и имеют низкую надежность. В компании убеждены, что альтернативные способы аутентификации более безопасны.
Конец 30-летней технологии
Американский ИТ-гигант заявил, что любой пользователь, обладающий учетной записью Microsoft, может полностью избавиться от паролей. В качестве альтернативы компания предлагает входить в свой аккаунт при помощи сервиса Windows Hello, приложения Microsoft Authentication или физического ключа безопасности.
Люди часто используют одинаковые комбинации паролей для разных сайтов. В корпорации считают такой подход проблемой – злоумышленнику достаточно один раз узнать правильную последовательность символов, чтобы взломать сразу несколько учетных записей, в том числе и отвечающих за вход в корпоративные сети организаций. Подбор правильной комбинации обычно не представляет проблемы, т.к. пользователи нередко применяют слабые пароли вроде 123456 или abc123.
Также в Microsoft отмечают, что технология паролей уже устарела – она была придумана более 30 лет назад. Человеческое мышление достаточно предсказуемо, и поэтому злоумышленники успешно реализуют подобные атаки на старый инструмент безопасности, рассказывают представители компании.
Возможная альтернатива
В Microsoft предлагают пользователям возможность полностью отказаться от традиционных паролей. Более того, компания стимулирует своих клиентов использовать более продвинутые технологии, выдавая уведомление о повышении безопасности аккаунта после отключения аутентификации по паролю.
Для изменения настроек своей учетной записи необходимо на странице Advanced Security Options в разделе Additional security активировать переключатель Passwordless account, установив его в положение Turn on. Система оповестит пользователя о том, что отключение пароля повысит стойкость аккаунта перед фишинговыми атаками. После этого появится предложение установить приложения Microsoft Authenticator. После подтверждения запроса на своем смартфоне, пароль будет удален из аккаунта. Однако компания предупреждает, что после этой операции пользователь может утратить доступ к некоторым старым сервисам и устройствам.
Сейчас опция отказа от пароля доступна только владельцам стандартного аккаунта Microsoft. Корпорация обещает вскоре добавить аналогичную функцию для владельцев Azure AD. Администраторы смогут выбирать для группы пользователей вариант использования паролей «required», «allowed» или просто их отсутствие.