„Czasy paswordless” (czyli sytuacji, gdy nie będziemy już musieli korzystać z haseł) przez lata były hasłem wyśmiewanym, czasami wręcz memicznym. Takim jak „rok Linuxa”, czy „era post-PC”. Tymczasem z Linuxa wciąż korzystają... cóż – ci, którzy muszą albo to lubią, pecety wciąż są popularne, a hasła... No właśnie. A hasła możesz już nie używać, jeśli masz konto Microsoft.
„Wszyscy wiedzą, że czegoś nie da się zrobić, aż znajdzie się taki jeden, który nie wie, że się nie da, i on to robi”. Te słowa Alberta Einsteina to jeden z najpopularniejszych cytatów w historii świata, całkiem trafnie opisujące losy autentykacji bezhasłowej przez ostatnie lata. O rezygnacji z haseł mówi się od przeszło dekady, jednak każdy, kto próbował, natrafiał na przeszkody. Ostatecznym argumentem wydawała się zawsze być wysokopoziomowa analiza ryzyka. Z jednej strony hasło można zapomnieć/ustalić zbyt łatwe/zapisać na kartce/stracić w efekcie phishingu. Z drugiej zaś – co jest w stanie zastąpić hasło na tyle efektywnie, by nie dać się złamać? Tymczasem Microsoft zamiast myśleć, po prostu powiedział: „Sprawdzamy!”.
W perspektywie minionych lat i szalejącej cyberprzestępczości taka informacja brzmi mocno abstrakcyjnie. Tymczasem nie sposób przyznać racji Vasu Jakkalowi, wiceprezydentowi Microsoftu, racji, iż:
- Hasło można zapomnieć albo stracić, tymczasem rysy twarzy, czy odciski palców są tylko nasze, podobnie jak telefon, w którym trzymamy aplikację z generowanym co minutę losowych hasłem liczbowych.
Hasło możemy wyłączyć, logując się na nasze konto Microsoft, wybierając Ustawienia/Zabezpieczenia/Opcje Zabezpieczeń. Jeśli zdecydujemy się wyłączyć hasło, obligatoryjne jest korzystanie z aplikacji Microsoft Authenticator. To wydaje się być póki co jedynym minusem tej metody. Przy wielości serwisów, korzystających z haseł jednorazowych, bardzo popularne są aplikacje gromadzące takie hasła z wielu żródeł. W tej sytuacji musimy zainstalować jeszcze jedną, ale przewagą Authenticatora jest fakt, iż w momencie próby logowania wysyła powiadomienie push, a jego akceptacja to jedyna niezbędna interakcja ze strony użytkownika.
A co jeśli zgubimy telefon z Authenticatorem? Pozostaje mail, SMS – albo jedno i drugie, jeśli mamy wybrane uwierzytelnienie dwuskładnikowe. I tyle. Bye bye, hasło. Ciekawe, kto następny?
23 marca 2023
Malware z Obamą w tle20 marca 2023
Phishingowy SMS? Wyślij go na 508 700 90016 marca 2023
Nie "restartuj" konta na NetflixZgłoś incydent