По случаю Всемирного дня паролей Microsoft объявил, что теперь он позволяет войти без пароля для всех новых учетных записей, сделав тем самым, важный шаг в своей борьбе с паролями. Отныне любая новая учетная запись Microsoft будет настроена без пароля по умолчанию. При регистрации пользователю больше не будет предлагаться создать пароль, а вместо этого будет предложено выбрать один из более безопасных методов аутентификации: пароли, ключи безопасности, двухфакторная аутентификация или Windows Hello. Это изменение является частью более крупного плана, который разрабатывался в течение нескольких лет с целью полного отказа от использования паролей. Для существующих учетных записей Microsoft также предлагает возможность в настройках удалить свой пароль вручную.
Чтобы облегчить этот переход, Microsoft пересмотрела интерфейс входа в систему. Теперь платформа автоматически определяет наиболее безопасный способ входа, доступный в учетной записи, и предлагает его по умолчанию. Например, если пользователь настроил одноразовый код в дополнение к паролю, будет запрошен именно этот код. После входа в систему ему будет предложено зарегистрировать пароль для будущих подключений.
Первые результаты кажутся положительными: Microsoft утверждает, что эта новая модель уже позволила сократить использование паролей на 20 %.
Западные обозреватели отмечают, что за этим развитием прослеживается работа Альянса FIDO, промышленного консорциума, поддерживаемого Google, Apple и Microsoft. Цель состоит в том, чтобы сделать парольные ключи универсальным стандартом аутентификации. В отличие от паролей, эти ключи никогда не покидают устройство пользователя, что предотвращает любую форму кражи через сеть. Их можно использовать с функцией распознавания лиц, отпечатка пальца или местного кода, в зависимости от возможностей устройства. Миллионы сайтов и приложений уже поддерживают их, особенно в Китае, где наблюдается их массовое внедрение. Microsoft утверждает, что регистрирует почти миллион паролей, создаваемых каждый день, с вероятностью успешного входа в систему 98 % по сравнению с 32 % для обычных паролей.
Вместе с тем обозреватели указывают, что, хотя этот переход кажется неизбежным, он далек от обобщения. Многие сторонние сервисы, такие как банковские форумы или небольшие сайты, по-прежнему полагаются на традиционные пароли. Для пользователей это означает поддержание в актуальном состоянии менеджера паролей. Тем не менее Microsoft призывает пользователей интернета перейти на гибридный подход, удаляя пароли из совместимых служб и защищая другие с помощью надежных инструментов. Компания признает, что это изменение носит постепенный характер, но надеется, что, сделав стандарт без пароля обычным, его использование в конечном итоге будет естественным.
Переход на режим без пароля не обходится без последствий для учетных записей, которые все еще защищены традиционным способом. Microsoft предупреждает о растущем давлении со стороны злоумышленников на эти более уязвимые цели. Суть в следующем: сохранение пароля само по себе становится риском. Лучшей защитой остается прямой отказ от этой модели аутентификации. Как бы то ни было, только 6 % используемых паролей были действительно уникальными.