„Czasy paswordless” (czyli sytuacji, gdy nie będziemy już musieli korzystać z haseł) przez lata były hasłem wyśmiewanym, czasami wręcz memicznym. Takim jak „rok Linuxa”, czy „era post-PC”. Tymczasem z Linuxa wciąż korzystają... cóż – ci, którzy muszą albo to lubią, pecety wciąż są popularne, a hasła... No właśnie. A hasła możesz już nie używać, jeśli masz konto Microsoft.

Ryzyko większe niż, zyski?

„Wszyscy wiedzą, że czegoś nie da się zrobić, aż znajdzie się taki jeden, który nie wie, że się nie da, i on to robi”. Te słowa Alberta Einsteina to jeden z najpopularniejszych cytatów w historii świata, całkiem trafnie opisujące losy autentykacji bezhasłowej przez ostatnie lata. O rezygnacji z haseł mówi się od przeszło dekady, jednak każdy, kto próbował, natrafiał na przeszkody. Ostatecznym argumentem wydawała się zawsze być wysokopoziomowa analiza ryzyka. Z jednej strony hasło można zapomnieć/ustalić zbyt łatwe/zapisać na kartce/stracić w efekcie phishingu. Z drugiej zaś – co jest w stanie zastąpić hasło na tyle efektywnie, by nie dać się złamać? Tymczasem Microsoft zamiast myśleć, po prostu powiedział: „Sprawdzamy!”.

„Poprawiłeś bezpieczeństwo konta, usuwając hasło”

W perspektywie minionych lat i szalejącej cyberprzestępczości taka informacja brzmi mocno abstrakcyjnie. Tymczasem nie sposób przyznać racji Vasu Jakkalowi, wiceprezydentowi Microsoftu, racji, iż:

- Hasło można zapomnieć albo stracić, tymczasem rysy twarzy, czy odciski palców są tylko nasze, podobnie jak telefon, w którym trzymamy aplikację z generowanym co minutę losowych hasłem liczbowych.

Hasło możemy wyłączyć, logując się na nasze konto Microsoft, wybierając Ustawienia/Zabezpieczenia/Opcje Zabezpieczeń. Jeśli zdecydujemy się wyłączyć hasło, obligatoryjne jest korzystanie z aplikacji Microsoft Authenticator. To wydaje się być póki co jedynym minusem tej metody. Przy wielości serwisów, korzystających z haseł jednorazowych, bardzo popularne są aplikacje gromadzące takie hasła z wielu żródeł. W tej sytuacji musimy zainstalować jeszcze jedną, ale przewagą Authenticatora jest fakt, iż w momencie próby logowania wysyła powiadomienie push, a jego akceptacja to jedyna niezbędna interakcja ze strony użytkownika.

A co jeśli zgubimy telefon z Authenticatorem? Pozostaje mail, SMS – albo jedno i drugie, jeśli mamy wybrane uwierzytelnienie dwuskładnikowe. I tyle. Bye bye, hasło. Ciekawe, kto następny?

Podziel się: