Microsoft chce, abyś zrezygnował z hasła, ale czy powinieneś?

October 12, 2023
WAktualności Ochrona Internetu

Kluczowe dania na wynos

Microsoft stwierdził niedawno, że w przyszłym roku więcej osób powinno usunąć swoje hasła i zacząć korzystać z loginów biometrycznych, takich jak skanery linii papilarnych.
Microsoft promuje Windows Hello, narzędzie do skanowania biometrycznego, które umożliwia logowanie się do systemu Windows 10 za pomocą odcisku palca.
Cyberprzestępczość kosztuje światową gospodarkę 2,9 miliona dolarów co minutę, a około 80% tych ataków jest ukierunkowanych na hasła.

Zbliżenie przedstawiające osobę proszoną o użycie odcisku palca w celu odblokowania telefonu. — Chaiyawat Sripimonwan / Getty Images

Pozbądź się haseł i zacznij korzystać z uwierzytelniania biometrycznego, takiego jak odciski palców i skany twarzy, radzi Microsoft. Nie tak szybko, odpowiadają niektórzy eksperci ds. bezpieczeństwa.

W przyszłym roku logowanie bez hasła powinno być standardem, oświadczył niedawno Microsoft na swoim blogu blog o bezpieczeństwie. Firma reklamuje Windows Witam, narzędzie do skanowania biometrycznego, które umożliwia logowanie się do systemu Windows 10 za pomocą odcisku palca. Niektórzy obserwatorzy twierdzą jednak, że należy się zawahać, zanim przywitamy się z otwartymi ramionami.

„Wykorzystanie danych biometrycznych opisane w planach Microsoftu jest obiecujące, ale wszyscy powinniśmy zachować ostrożność w przypadku nowych wersji i wdrożeń rozwiązań biometrycznych. uwierzytelnianie, o czym przekonaliśmy się, gdy badacze wykazali, że wczesne wersje identyfikatora FaceID firmy Apple można oszukać” – Phil Leslie, współzałożyciel cyberbezpieczeństwa solidny Tarcza Zniszczenia– powiedział w wywiadzie e-mailowym.

„Czy zaufałbym podejściu biometrycznemu firmy Microsoft w zakresie haseł do bezpłatnej aplikacji internetowej niezawierającej żadnych informacji o płatności? Prawdopodobnie. Czy użyłbym go w tej chwili do mojego konta bankowego? Jeszcze nie."

Pozwól swoim palcom mówić

Microsoft twierdzi, że zamiast haseł będzie lepiej służyć użytkownikom, korzystając z biometrycznych urządzeń zabezpieczających, takich jak skanujące odciski palców lub kształt twarzy. Własne oprogramowanie Windows Hello firmy Microsoft oferuje tę opcję.

Jak wynika z wpisu na blogu firmy Microsoft dotyczącego bezpieczeństwa, liczba konsumentów korzystających z funkcji Windows Hello do logowania się na urządzeniach z systemem Windows 10 zamiast hasła wzrosła w 2020 r. do 84,7% w porównaniu z 69,4% w 2019 r.

Palec wskazujący dotykający technologii interfejsu użytkownika zabezpieczającego i skanujący odcisk palca. — Yuichiro Chino / Getty Images

Aby przekazać wiadomość, że rezygnacja z hasła jest lepsza, Alex Simons, wiceprezes korporacyjny ds. zarządzania programami tożsamości firmy Microsoft, zwraca uwagę we wpisie na blogu stwierdzono, że cyberprzestępczość kosztuje światową gospodarkę 2,9 miliona dolarów co minutę, przy czym około 80% ataków jest ukierunkowanych na hasła.

„Używanie haseł jest kłopotliwe i stwarza zagrożenie dla bezpieczeństwa użytkowników i organizacji każdej wielkości, przy czym średnio jedno na 250 kont firmowych każdego miesiąca zostaje naruszone” – dodał.

Wygodny, ale nie bezpieczniejszy

Użytkownicy powinni jednak pamiętać, że chociaż rozwiązania bez hasła, takie jak Microsoft Hello, mogą być wygodniejsze, nie zwiększają bezpieczeństwa. „Ostatecznie do ochrony kont nadal wymagane jest hasło” – Craig Lurey, współzałożyciel i dyrektor ds. technicznych dostawcy usług zarządzania hasłami Ochrona Strażnika– powiedział w wywiadzie e-mailowym.

„Cyberprzestępcy o tym wiedzą i nadal mogą uzyskać dostęp do urządzenia lub aplikacji, pomijając uwierzytelniacz biometryczny i testując słabe lub ponownie użyte hasła. Ich celem jest także odzyskiwanie kont przy użyciu haseł i pytań zabezpieczających.”

Czy zaufałbym podejściu biometrycznemu firmy Microsoft w zakresie haseł do bezpłatnej aplikacji internetowej niezawierającej żadnych informacji o płatności? Prawdopodobnie. Czy użyłbym go w tej chwili do mojego konta bankowego? Jeszcze nie.

Urządzenia mobilne, w szczególności smartfony, są często urządzeniem uwierzytelniającym używanym w ramach infrastruktury bezhasłowej. Użytkownicy muszą upewnić się, że urządzenie jest wolne od złośliwego oprogramowania, zanim umożliwią dostęp, mówi Hank Schless, starszy menedżer ds. rozwiązań bezpieczeństwa w firmie firma zajmująca się cyberbezpieczeństwem Lookout– powiedział w wywiadzie e-mailowym.

„Zaatakowane urządzenie mobilne może umożliwić atakującemu dostęp do Twojej infrastruktury, jeśli uda mu się wykorzystać urządzenie jako formę uwierzytelnienia” – dodał.

Jeśli chcesz pozbyć się haseł, istnieją alternatywy dla Hello firmy Microsoft. Jednym z rozwiązań jest aplikację Nuggets, który wykorzystuje jednorazowy proces wdrożenia.

Skanując dokument tożsamości wydany przez organ państwowy (np. paszport lub prawo jazdy) i przeprowadzając kolejną kontrolę, konsumenci mogą po prostu uzyskać dostęp do dowolnej witryny lub aplikacji zawierającej ich dane biometryczne. Na żadnym poziomie nie jest wymagana nazwa użytkownika ani hasło. I zakaz przekazywania jakichkolwiek danych osobowych podczas logowania.

Nawet jeśli system bezhasłowy jest powszechnie wdrażany, nie jest to złoty środek na rozwiązanie wszystkich problemów związanych z bezpieczeństwem logowania użytkownika, powiedział Schless. „Phishing mobilny nadal będzie problemem” – dodał. „Nawet jeśli w mniejszym stopniu koncentruje się na zbieraniu danych uwierzytelniających, nadal musisz chronić swoich pracowników przed linkami phishingowymi, które dostarczają złośliwe oprogramowanie na urządzenie”.

Hasła mogą być kłopotliwe, ale są to wypróbowane i godne zaufania technologie. Rozwiązania biometryczne proponowane przez firmę Microsoft mogą nie być dla wszystkich.