Разработчики: | Microsoft |
Дата премьеры системы: | апрель 2017 г |
Дата последнего релиза: | 2020/12/17 |
Технологии: | ИБ - Аутентификация |
Содержание |
Основная статья: Пароли
2021: Microsoft начала отказываться от паролей при входе в учетные записи
15 сентября 2021 года Microsoft начала отказываться от паролей при входе в учетные записи. Ранее эта функция была доступна только бизнес-клиентам, а теперь ею смогут воспользоваться и потребители.
Для входа в приложения и службы, такие как Outlook, OneDrive, Microsoft Family Safety, в качестве альтернативы паролям можно будет использовать приложение Microsoft Authenticator, биометрическую систему аутентификации Windows Hello, ключ безопасности или проверочный код, отправленный на телефон или электронную почту.
Чтобы перейти на беспарольный режим, нужно установить приложение Microsoft Authenticator и связать его с учетной записью Microsoft, затем посетить сайт account.microsoft.com, войти в систему и найти раздел «Дополнительная безопасность». В нем можно будет включить параметр «Учетная запись без пароля». Следуя инструкциям на экране, затем необходимо будет лишь одобрить уведомление из приложения Authenticator. При этом, если пользователь решит, что все же предпочитает использовать пароль, его всегда можно будет добавить обратно в свою учетную запись.
Как отмечают в Microsoft, cлабые пароли являются причиной для большинства атак на корпоративные и пользовательские учетные записи. Каждую секунду происходит 579 атак на пароли – это 18 млрд атак в год. Пароли очень неудобно создавать и запоминать. Пользователи часто стараются облегчить себе задачу и придумать легко запоминающийся пароль. Проведенный компанией опрос показал, что 15% людей используют имена своих домашних питомцев для создания паролей. Среди других распространенных ответов – имена членов семьи и важные даты, например дни рождения. Каждый десятый человек отметил, что использует пароли повторно на разных сайтах, а 40% говорят, что меняли пароли на похожие по определенной формуле, например, Fall2021, который в итоге превращается в Winter2021 или Spring2022.[1]
2020: Добавление превью-версии менеджера паролей
Менеджер паролей от Microsoft поддерживает Edge, Chrome, iOS и Android. Об этом стало известно 17 декабря 2020 года.
Превью-версия менеджера паролей на декабрь 2020 года встроена в бесплатное мобильное приложение Microsoft Authenticator, использующееся для многофакторной аутентификации. Как многие другие менеджеры паролей, менеджер имеет функцию автозаполнения паролей.
Пароли синхронизируются из браузера Microsoft Edge и могут использоваться на нескольких устройствах с помощью учетной записи Microsoft. Пароли также могут синхронизироваться с Google Chrome с помощью расширения Microsoft Autofill.
Microsoft может добавить полноценный менеджер паролей в свой сервис Microsoft 365, пишет The Verge. Функция автозаполнения пригодится владельцам учетных записей Microsoft, использующих в работе несколько устройств.
Данная функция стала доступна в Microsoft Authenticator 16 декабря 2020 года, и для того, чтобы начать ею пользоваться, нужно указать ее как функцию автозаполнения по умолчанию в настройках iOS- и Android-устройства.
Автозаполнение работает только с пользовательскими учетными записями Microsoft и отключено для корпоративных пользователей, использующих приложение для авторизации по телефону или многофакторной аутентификации. Для того чтобы включить эту возможность для корпоративных пользователей Microsoft Authenticator, компаниям необходимо присоединиться к списку разрешенных[2].
2017: Анонс
В апреле 2017 года Microsoft выпустила приложение, которое призвано "уничтожить пароль" как средство авторизации. Приложение Authenticator призвано заменить традиционные пароли push-уведомлениями. [3]
Эксперты по безопасности говорят, что пароли - это уже слишком слабый и ненадежный способ защиты данных.
В 2016 году самым популярным в мире паролем оставался пресловутый "123456". То есть, пользователи не воспринимают всерьез необходимость защищаться, по крайней мере, до тех пор, пока сами не столкнутся со взломом почтового аккаунта или банковского счета, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор Безопасности". - А с другой стороны, запоминать десятки уникальных паролей к разным ресурсам - как минимум неудобно. Существуют, конечно, программные менеджеры паролей, позволяющие генерировать уникальные символьные комбинации для каждого отдельного ресурса, а пользователю остается только запомнить один мастер-пароль. Но об этих программах знают не все, а те, кто знает, не всегда готов их использовать. |
Идея Authenticator заключается в минимизации усилий со стороны пользователя таким образом, чтобы ему не пришлось самому придумывать безопасные (то есть, весьма сложные) пароли. При установке Authenticator на мобильное устройство под управлением iOS или Android, пользователь получает push-уведомление, и если он его подтверждает командой Approve, производится авторизация.
Приложение не требует никаких биометрических модулей, только прикосновение человека, который в данный момент держит трубку. Это, правда, означает, что при ее краже вор тоже сможет заходить во все доступные с мобильного устройства аккаунты, если пользователь не сможет быстро заблокировать устройство удаленно.
Как отметил Алекс Саймонс (Alex Simons), программный директор подразделения Microsoft по средствам идентификации, Authenticator рассчитан на пользовательский рынок. Бизнес-вариант приложения последует ближайшей осенью.
Microsoft уже не впервые пытается избавиться от пароля: модель реализации Authenticator похожа на Windows Hello, биометрическое приложение для авторизации на компьютерах под Windows 10. Для того, чтобы оно работало, понадобятся аппаратные биометрические модули, а ими оснащены далеко не все персональные компьютеры. Authenticator в биометрических средствах не нуждается.
Интересно, что Microsoft рассматривает метод авторизации с помощью Authenticator как двухфакторный: первая ступень - это сам телефон, а вторая - его собственные средства защиты, такие как PIN или отпечаток пальца. В компании признают, что толковать определение двухфакторной авторизации можно по-разному.
В целом, двухфакторной авторизацией это назвать можно только с натяжкой, - считает Дмитрий Гвоздев. В целом до звания "убийцы паролей" Authenticator еще довольно далеко. |
Примечания
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (846)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
TUV Austria (2)
Солар (ранее Ростелеком-Солар) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (470, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
ГК ОТР (1, 1)
Мультифактор (Multifactor) (1, 1)
Samsung Electronics (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
Т-Банк (Тинькофф Банк) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
VK (ранее Mail.ru Group) (1, 1)
Индид, Indeed (ранее Indeed ID) (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Другие (7, 7)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Indeed Access Manager (Indeed AM) - 45 (45, 0)
FalconGaze SecureTower - 38 (38, 0)
PayControl - 26 (23, 3)
3-D Secure (3D-Secure) - 26 (23, 3)
Avanpost IDM Access System - 20 (20, 0)
Другие 219
PayControl - 3 (3, 0)
МегаФон Мобильный ID - 2 (2, 0)
JaCarta Authentication Server (JAS) - 1 (1, 0)
ОТР.Опора - 1 (1, 0)
Samsung Knox - 1 (1, 0)
Другие 2
Indeed Access Manager (Indeed AM) - 6 (6, 0)
Indeed PAM - Indeed Privileged Access Manager - 2 (2, 0)
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 (2, 0)
Avanpost IDM Access System - 1 (1, 0)
PayControl - 1 (1, 0)
Другие 0
Indeed Access Manager (Indeed AM) - 7 (7, 0)
Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
PayControl - 4 (4, 0)
JaCarta - 3 (0, 3)
Aladdin 2FA - 3 (3, 0)
Другие 3
PayControl - 3 (3, 0)
Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
Spacebit X-Control АОКЗ (Система автоматизации органов криптографической защиты) - 1 (1, 0)
Multifactor Сервис многофакторной аутентификации - 1 (1, 0)
МТС ID - 1 (1, 0)
Другие 6