«Абсолютно нові облікові записи Microsoft тепер будуть «безпарольними за замовчуванням», - заявили представники Microsoft Джой Чик (Joy Chik) і Васу Джаккал (Vasu Jakkal). У нових користувачів буде кілька варіантів входу в обліковий запис без пароля, і їм ніколи не доведеться вводити пароль. Наявні користувачі можуть зайти в налаштування облікового запису і видалити свій пароль».
Виробник Windows повідомив, що було також спрощено процес входу в систему і реєстрації користувачів, віддавши перевагу безпарольним методам. Крім того, процес входу в систему тепер автоматично визначає найкращий доступний метод в обліковому записі користувача і встановлює його за замовчуванням.
Наприклад, якщо в обліковому записі є можливість входу за допомогою пароля і «одноразового коду», користувачеві буде запропоновано увійти за допомогою одноразового коду, а не пароля. Після входу в систему користувачеві буде запропоновано встановити ключ доступу для оптимального захисту.
Останній крок Microsoft, поряд з аналогічними рішеннями Apple, Google, Amazon та інших компаній, ухваленими останніми роками, являє собою неухильний рух до безпарольного майбутнього. Оскільки кібератаки на основі паролів, як і раніше, є прибутковим вектором початкового доступу для зловмисників, впровадження ключів-паролів - важливий крок у забезпеченні безпеки облікових записів.
У вересні 2023 року Microsoft розгорнула підтримку пропусків у Windows 11, приблизно в той самий час, коли Google зробила пропуски методом входу за замовчуванням для всіх користувачів по всьому світу. А минулого року компанія оновила Windows Hello, щоб забезпечити підтримку цієї технології.
Ключі-паролі пропонують більш безпечний спосіб входу на вебсайти та в додатки, усуваючи необхідність у паролях. Підтримувані альянсом Fast Identity Online (FIDO), пропускні ключі спираються на методи криптографії з відкритим і закритим ключем для аутентифікації користувачів.
Таким чином, коли користувач реєструється в онлайн-сервісі, його клієнтський пристрій (наприклад, телефон або ПК) генерує нову пару ключів. Закритий ключ надійно зберігається на пристрої користувача, а відкритий ключ реєструється в сервісі.
Під час входу в систему клієнтський пристрій використовує закритий ключ для підпису виклику після того, як власник пристрою підтвердить автентичність за допомогою біометричних даних (наприклад, розпізнавання обличчя або відбитка пальця).
У жовтні 2024 року FIDO Alliance заявив, що працює із зацікавленими сторонами над тим, щоб полегшити експорт перепусток та інших облікових даних через різних постачальників і поліпшити взаємодію постачальників облікових даних. Станом на грудень минулого року понад 15 млрд облікових записів користувачів можуть входити в систему за допомогою ключів замість паролів.
Минулого місяця відкрита галузева асоціація також створила робочу групу Payments Working Group (PWG) для визначення і просування рішень FIDO для платіжних систем.
Передбачається, що PWG «виявлятиме й оцінюватиме наявні та нові рішення для розв'язання завдань автентифікації платежів» і розроблятиме «рекомендації щодо використання ключів-паролів та/або пропонованих рішень FIDO разом з наявними платіжними технологіями».
Джерело: ko.com.ua
