Microsoft пропонує користувачам повністю відмовитись від паролів для підвищення безпеки

Американський техногігант Microsoft оголосив, що користувачі можуть повністю відключити паролі в своєму обліковому записі. Натомість у компанії пропонують використовувати для акаунтів перевірочні коди, біометричні ідентифікатори або мобільні застосунки.

У корпорації вірять, що прийшов час залишити в минулому традиційний метод із введенням паролів. Відомо, що цю тему представники техногіганта неодноразово виносили на докладне обговорення і тепер оголосили, що «будь-який власник облікового запису Microsoft може повністю позбутися паролів».

Як зазначається, частина проблем із традиційним введенням пароля в тому, що люди мають звичку використовувати однакові комбінації для різних сайтів і акаунтів.

Крім того, паролі часто виявляються слабкими, і в Microsoft вказують на те, що кіберзлочинці потенційно можуть проникнути в мережі цілої організації, зламавши єдиний пароль, який опинився відносно простим. Для прикладу наводять такі популярні слабкі комбінації, як «123456», «abc123» або «qwerty».

Яка альтернатива

«Типові атаки на кшталт фішингу, розпилення паролів (password spraying) і підстановки облікових даних спираються на одну незмінну істину: коли справа доходить до паролів, хід людської думки нескладно передбачити. Завдяки цій передбачуваності зловмисникам, як і раніше, в більшості випадків вдається досягти успіху в подібних видах атак навіть за допомогою інструментів 30-річної давності», — стверджують у Microsoft.

Натомість компанія підштовхує власників акаунтів нібито до «більш безпечних і зручних методів аутентифікації», до яких відносяться вхід через «Windows Hello», використання програми Microsoft Authentication або фізичних ключів безпеки.

Як видалити пароль

Для того, щоб видалити пароль зі свого аккаунта, необхідно:

  • перейти на account.microsoft.com;
  • здійснити вхід у систему;
  • перейти до пункту «Додаткові параметри безпеки»;
  • увімкнути опцію «Акаунт без пароля».

Зазначено, що Microsoft після видалення пароля навіть сповіщає спеціальним повідомленням про те, що безпека облікового запису підвищена.

При цьому, якщо користувач вирішить повернути пароль облікового запису, то зможе це зробити.

Що буде з паролями в Azure

Представники Microsoft заявляють, що «незабаром» також почнуть пропонувати можливість видалення паролів для клієнтів Azure AD.

«Адміністратори зможуть вибирати для групи користувачів варіант використання паролів „required“, „allowed“ або просто їх відсутність. Користувачі отримають можливість відмовлятися від встановлення пароля при створенні акаунту або видаляти наявний пароль від уже існуючого профілю», — йдеться в повідомленні.

Водночас деякі програми Microsoft, як і раніше, будуть вимагати пароль. Серед них: Office 2010 і більш ранні версії, Remote Desktop і Xbox 360.

Від пароля також не зможуть відмовитися користувачі тих версій Windows, які зараз уже не підтримуються. Функція буде доступна тільки в Windows 10 і Windows 11.


Читайте також статтю «Більше ніяких паролів і секретів в Azure» та інші статті, новини та обговорення на тему безпеки.

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Лучше бы рассказали как отказаться от гребанного 2FA и OTP. Бесит постоянно искать телефон, когда нужно залогинится

Купи умные часы, шо ты как маленький )
Но да — бесит капец ужас ад

Лучше бы сделать усб-стик который вводил бы код одной кнопкой, но как туда передать данные?

А потом найдется какой-то баг в Microsoft Authentication и разом вся безопасность коту под хвост.

www.opennet.ru/...​nnews/art.shtml?num=55813

Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure
Метод эксплуатации тривиален — достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка «Authentication», отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root. Для выполнения произвольных команд в системе достаточно использовать в сообщении штатную команду ExecuteShellCommand_INPUT.

Защитники Литкода еще любят говорить что не обязательно быть крутым разработчиком, так как все баги найдут юнит тесты.
Только вот такие баги они не находят.

А юніт тести хто писатиме?

Юнит тесты это волшебство которое ловит все баги, даже если их писали те же быдлокодеры что и код.

Ну, если архитектура изначально кривая, качеством алгоритмов это не компенсировать...

Я вас умоляю. К чему такие сложности. Вот у меня нет доступа к продакшн кластеру по ssh — ну вот совсем нет. только поды могу перезапукать. Но есть тонкость.
docs.microsoft.com/ru-ru/azure/aks/ssh
Т.е. мне и не нужен ssh и на пароль с ключем мне насрать, в общем-то. А дальше начинается прекрасное — Service Principal на ноде хранится в plaintext. и далее мы от имени кластера... продолжать?

При таких фичах — и баги не нужны...

То, что компании постоянно повышают уровень безопасности и заставляют пользователей переходить на 2х факторную авторизацию — это понятно и правильно.
Меня поражает другое: в банках на этот счет даже не чешутся!
То есть что бы зайти на свой ноут пользовтелю нужно приложить палец на телефоне и потом еще ввести одноразовый пароль из аутентикатора.
А что бы снять денег с карточки — 6 цифр пинкода, а и ногда даже этого не нужно!
Когда меня в банке спрашивают почему я не пользуюсь их карточкой везде-везде я говорю что она просто небезопасная. Вот когда вы сделаете что бы для снятия денег с карты нужно было:
— Иметь саму карточку
— Получить подтверждение со смартфона с отпечатком пальца и фейс ид.
— Вести пароль как минимум 8 символов (не цифр)
В идеале еще ввести «вычислимую» часть пароля (например день недели + день месяца + час).
То есть предусмотреть, что «Человека можно напоить,усыпить,оглушить...Наконец с трупа!» © и тогда преступники получают сразу и карточку, и отпечатки пальца и даже фейс ид. Пин код из 6 цифр, который человек вводит на каждой кассе и в кафе подсмотреть — дело одного дня слежки.
Поэтому ОБЯЗЯТЕЛЬНО должен быть какой-то пароль, который во-первых, есть только в голове у человека, во-вторых меняется каждый раз хотя бы на один символ.
Нужно понимать украинские реалии: если будет известно что у человека на карточке хотя бы 100 000 гривен — ради них его и пасти будут и на убийство пойдут. А инфу из банков сейчас сливают, а теперь еще мусора смогут запросить.
Я хочу быть уверен что когда до меня доберутся (а полностью себя защитить невозможно — разве что вообще забарикадироваться в квартире) — то они хотя бы не смогут получить мои деньги!

Хорошо если пин из 6 цифр, а зачастую дают лишь 4...

У пинкода только три попытки. А так если продолжать рассуждения вся секурность кончится на том, что тебя в лес вывезут и сам все отдашь.

И такие прециденты были!
kh.vgorode.ua/...​zamuchyly-pytkamy-foto-18
Но есть надежда что сердце не выдержит раньше, чем скажешь пинкод. Там более что даже если скажешь — все равно ведь не отпустят.
kh.vgorode.ua/...​kharkovskoho-prohrammysta
Вот еще вдогонку:
politeka.net/...​yli-novye-detali-raspravy
www.bagnet.org/...​zal-ubiystvo-programmista

Создай виртуальную карту и храни на ней все свои милионы, в Приват Банке с такой например не снимешь без двухфакторной аунтификации.
А на счете пластиковой карты храни столько, сколько планируешь потратить.
Если что докинут денег через телефон можно за минуту.

А як же Бобер буде страждати?

Или жить не по адресу прописки/указанному в договоре. Телефон же хранить где-нибудь в тайнике (не там, где живёшь), настроя пересылку звонков/смс.
Можно сделать и лучше — переводить часть денег на заграничные депозиты без права досрочного снятия или на номерные счета.

А ещё лучше — переехать куда-нибудь, где безопаснее жить.

oll.tv відразу повівся і перейшов на те ж саме, що не дуже зручно, коли СМС доходить дві хвилини, а ти хочеш пряму трансляцію футбольного матчу :-D

Юзаю их апку для авторизации давно, хорошо работает, фейсайди а потом выбрать цифру что была на сайте, который требует авторизацию. В принципе все ок, но вот если несколько аккаунтов то часто куки глючат и тут гугл работает лучше.

Для домогосподарок то дійсно не важливо, можна і без паролю, а от якщо турбуєшся про свою безпеку, то без потужного паролю нікуди з двофакторною автентифікацією.
Вибір між зручно та захищено.

Нужен пароль для доступа к паролю.

а ещё пароль для доступа к паролю для доступа к паролю...

Для розробників завершення очікуване.

Подписаться на комментарии