Собирая терабайты диагностических данных об использовании собственных продуктов, корпорация Microsoft, как никто другой, знает: использование паролей — хлопотное занятие, при этом не гарантирующее безопасность. В 2021 году свет увидит отдельный онлайн-сервис My Apps для удобного управления учетными данными во множестве разных приложений, а также получит дальнейшее развитие интеграция аппаратных ключей FIDO во многие продукты компании.
Ноутбук с подключенным физическим ключом / ©Paul Stamatiou
О результатах работы Microsoft в области технологий идентификации пользователя и планах на 2021 год рассказал в корпоративном блоге Алекс Симонс (Alex Simons), вице-президент компании и руководитель проекта Identity Program. Помимо впечатляющей статистики об использовании паролей в различных сферах, Симонс сообщил, что в следующем году для большинства клиентов Microsoft они станут рудиментом.
Ради этого корпорация разрабатывает нечто вроде агрегатора учетных данных для широкого спектра онлайн- и офлайн-сервисов. Подробностей о проекте мало, но он совершенно точно будет не простым менеджером паролей. Кроме того, совсем скоро специалисты Microsoft смогут показать свои наработки по созданию новых программных интерфейсов и пользовательских приложений (или порталов) для работы с аппаратными FIDO-ключами.
Все вместе это позволит упростить для большинства пользователей работу в интернете или на локальном компьютере. При этом безопасность только повысится, а доступ к сервисам станет одинаково удобным вне зависимости от выбора устройства. Даже если в 2021 году жизнь вернется в норму, привыкшим общаться и работать в Сети людям получится делать это комфортнее.
В подкрепление своих слов Симонс приводит обнадеживающую статистику, согласно которой основная масса пользователей уже созрела для отказа от паролей. В 2020 году более чем на 50% возросло число клиентов платформы Azure Active Directory, выбравших доступ при помощи технологий Windows Hello for Business, Microsoft Autentificator и ключей FIDO2. Суммарно — свыше 150 миллионов пользователей.
Среди «простых смертных», работающих на некорпоративных платформах Windows 10, уже 84,7% используют опции Hello для входа в систему против 69,4% в 2019 году. Очевидно, речь идет и о логине при помощи ПИН-кода, поскольку распространенность компьютеров и ноутбуков с оборудованием для биометрической аутентификации существенно ниже: такие опции доступны лишь для некоторых линеек бизнес-моделей.
Свое стремление избавить пользователей от паролей в компании аргументируют красноречивой статистикой. Специалисты по кибербезопасности Microsoft приводят данные, согласно которым каждый месяц один из 250 корпоративных аккаунтов становится скомпрометирован тем или иным способом. А всемирно известная аналитическая компания Gartner утверждает, что от 20% до 50% обращений в техподдержку связаны с восстановлением паролей. Наконец, эксперты Международного экономического форума подсчитали, что киберпреступления наносят мировой экономике ущерб в размере 2,9 миллиона долларов ежеминутно. Причем подавляющее большинство атак нацелено именно на пароли.
В корпорации Microsoft предлагают как можно шире использовать биометрическую и двухфакторную аутентификацию. А вопросы менеджмента паролей — хранения, своевременного обновления и проверки защищенности — возлагать на специализированные сервисы. Стоит отметить, что это полностью верное утверждение, а такими приложениями необязательно должны быть продукты Microsoft.
Комментарии
В корпорации Microsoft предлагают как можно шире использовать биометрическую и двухфакторную аутентификацию. ---- угу, а что делать, если друг к другу обращаются две программы, два сервиса, 2 робота, 2 процесса.
Вот же дятлы, до сих пор не знают много чего про свои же программы, которые работают сами по себе, обращаются сами куда хотят ,сливают чего хотят и куда хотят....
Итак, - не все авторизации и аутентификации - это входы живых физических лиц. Есть еще и проги, и задания планировщиков, и службы-демоны, и обмены между базами по расписанию, и много чего еще....
Меж собой программы могут использовать сколь угодно сложные методы защиты данных. Проблема с пользователями которые не в состоянии запомнить пароль типа KhghgfYGFng23de и предпочитают чего попроще.
Есть такая поговорка: «то, что знают двое, знает и свинья». Любой сторонний сервис - это второй. Причем с непредсказуемыми моральными ценностями.
Что может быть проще, чем вызубрить строку абракадабры 200-300 символов и на каждый адрес входа записывать только точку вхождения, направление чтения и количество знаков? В крайнем случае, раз в год просто выучить сонет Шекспира на английском? Но тогда нужно будет ещё и год записывать.
Вот эти данные уже можно сохранять где угодно, предварительно зашифровав.
Любой осмысленный текст, тем более такой известный это плохой пароль. Одинаковый пароль на множестве сайтов (пусть даже абракадабра) это плохой пароль. Первый поддается подбору, а второй задолбаешься менять если он утечет в сеть хотя бы на одном сайте. Представьте сообщение "у вас 100500 скомпрометированных паролей смените их немедленно" из-за одного такого прокола.
Вы читаете то, на что отвечаете? Или я непонятно написал?
Не надо все 250 символов вводить на каждом сайте. А только с, допустим, 166 12 символов. И для каждого сайта точка входа и количество символов - различны.
Допустим, Вы выучили строку: "88y3bsd37mXRbcypDGiyj8XXgj9kooJJfMo2PuZncC8CaboAsPr454j2sdRCthtKoPrDFk5yI2hkkzhsXNbx1myg6kJRZN5A1HtogzbK23tgvZ0nm0xevJmlHFoUFtonjyxd8Ph8JR7p8xd94isjrfCd7ZIKXlao72ao0fp7detNtjhFtfo4zNctUfO1nry44GoolH9S8eGjGilBLplj7vdMua73hKJf1vfcOird4Sfsf83unNueEgFeuI"
И для авторизации на этом сайте будете использовать со 166 символа 12 штук:
"p7detNtjhFt".
Вам остаётся только записать эти два числа: 166 и 12.
Для другого сайта будете использовать, допустим, с 77 24 символа.
Уважаю ваш метод )) мне в жизни не запомнить такой бессмысленный набор. Да и не стоит оно того. Но вот если вы забыли какая последовательность на этом сайте что будете делать?
Ну, восстановить-то как правило, всегда возможно?
Сбалансировал баллы))
Ну и конечно бумажечку с абракадаброй придется где-то хранить. Иначе одна пропущенная буковка и ваши волосы на попе и в других местах уже никогда не станут прежними.
Не надо хранить всю строку. Есть маленькие хитрости.
Случайно ткнул в плюс. А отменить никак. Можно только в минус поменять. Не оставлять же Вам плюс? Поэтому - минус)))
Можно подумать, что тут сплошные члены "Союза меча и орала. Все, что про нас хотят знать -- это куда мы ходим и что покупаем. А это никакими паролями скрыть невозможно.
Вы маленько статьи попутали. Про орала в другой теме. А здесь про пароли. А пароли обычно нужны бывают посторонним людям чтобы избавить вас от лишней наличности или причинить иной вред. Взлом сайтов, кража аккаунтов, размещение порочащей инфы, да просто спам с просьбой скинуть денег с вашей странички. Да все что угодно вплоть до организации ботнетов и майнинга криптовалют.
То есть у вас есть собственные сайты, куча аккаунтов, кто-то уже порочил вашу честь, клянчил деньги от вашего имени?!.. Меня пока от всей этой головной боли бог миловал. :-)
Тармашев не с вас свой сериал про Древнего запилил?
Если вы готовы предоставить данные о ваших перемещениях первому встречному это ваше дело. Не надо только другим рассказывать что от этого никакого вреда и лишь сплошная польза.
Что же вы какой непонятливый?! Я имел в виду виртуальное пространство, где за вами без перерыва следит ваш поисковик... И про пользу от этого у меня нет ни словечка. Но это действительность, данная нам в ощущениях.