По случаю Всемирного дня паролей Microsoft объявил, что теперь он позволяет войти без пароля для всех новых учетных записей, сделав тем самым, важный шаг в своей борьбе с паролями. Отныне любая новая учетная запись Microsoft будет настроена без пароля по умолчанию. При регистрации пользователю больше не будет предлагаться создать пароль, а вместо этого будет предложено выбрать один из более безопасных методов аутентификации: пароли, ключи безопасности, двухфакторная аутентификация или Windows Hello. Это изменение является частью более крупного плана, который разрабатывался в течение нескольких лет с целью полного отказа от использования паролей. Для существующих учетных записей Microsoft также предлагает возможность в настройках удалить свой пароль вручную.
Как отмечают обозреватели IT, этот поворот событий не является неожиданностью: Microsoft сталкивается со взрывом кибератак, направленных на взлом паролей. В 2024 году компания фиксировала 7000 атак в секунду, что вдвое больше, чем в предыдущем году. Слабые или повторно используемые пароли (часто такие, как "123456" или имена) значительно облегчают работу злоумышленников. Даже системы с двойной аутентификацией уязвимы в случае успешного фишинга. Microsoft хочет пресечь все эти угрозы, внедрив так называемые «устойчивые к фишингу» методы, такие как пароли, стандартизированные Альянсом FIDO. Последние не могут быть перехвачены или использованы повторно, поскольку они основаны на асимметричной криптографии, уникальной для каждого устройства.
Чтобы облегчить этот переход, Microsoft пересмотрела интерфейс входа в систему. Теперь платформа автоматически определяет наиболее безопасный способ входа, доступный в учетной записи, и предлагает его по умолчанию. Например, если пользователь настроил одноразовый код в дополнение к паролю, будет запрошен именно этот код. После входа в систему ему будет предложено зарегистрировать пароль для будущих подключений.
Первые результаты кажутся положительными: Microsoft утверждает, что эта новая модель уже позволила сократить использование паролей на 20 %.
Западные обозреватели отмечают, что за этим развитием прослеживается работа Альянса FIDO, промышленного консорциума, поддерживаемого Google, Apple и Microsoft. Цель состоит в том, чтобы сделать парольные ключи универсальным стандартом аутентификации. В отличие от паролей, эти ключи никогда не покидают устройство пользователя, что предотвращает любую форму кражи через сеть. Их можно использовать с функцией распознавания лиц, отпечатка пальца или местного кода, в зависимости от возможностей устройства. Миллионы сайтов и приложений уже поддерживают их, особенно в Китае, где наблюдается их массовое внедрение. Microsoft утверждает, что регистрирует почти миллион паролей, создаваемых каждый день, с вероятностью успешного входа в систему 98 % по сравнению с 32 % для обычных паролей.
Вместе с тем обозреватели указывают, что, хотя этот переход кажется неизбежным, он далек от обобщения. Многие сторонние сервисы, такие как банковские форумы или небольшие сайты, по-прежнему полагаются на традиционные пароли. Для пользователей это означает поддержание в актуальном состоянии менеджера паролей. Тем не менее Microsoft призывает пользователей интернета перейти на гибридный подход, удаляя пароли из совместимых служб и защищая другие с помощью надежных инструментов. Компания признает, что это изменение носит постепенный характер, но надеется, что, сделав стандарт без пароля обычным, его использование в конечном итоге будет естественным.
Переход на режим без пароля не обходится без последствий для учетных записей, которые все еще защищены традиционным способом. Microsoft предупреждает о растущем давлении со стороны злоумышленников на эти более уязвимые цели. Суть в следующем: сохранение пароля само по себе становится риском. Лучшей защитой остается прямой отказ от этой модели аутентификации. Как бы то ни было, только 6 % используемых паролей были действительно уникальными.
