Разработчики: | Microsoft |
Дата премьеры системы: | апрель 2017 г |
Дата последнего релиза: | 2020/12/17 |
Технологии: | ИБ - Аутентификация |
Содержание |
Основная статья: Пароли
2021: Microsoft начала отказываться от паролей при входе в учетные записи
15 сентября 2021 года Microsoft начала отказываться от паролей при входе в учетные записи. Ранее эта функция была доступна только бизнес-клиентам, а теперь ею смогут воспользоваться и потребители.
Для входа в приложения и службы, такие как Outlook, OneDrive, Microsoft Family Safety, в качестве альтернативы паролям можно будет использовать приложение Microsoft Authenticator, биометрическую систему аутентификации Windows Hello, ключ безопасности или проверочный код, отправленный на телефон или электронную почту.
Чтобы перейти на беспарольный режим, нужно установить приложение Microsoft Authenticator и связать его с учетной записью Microsoft, затем посетить сайт account.microsoft.com, войти в систему и найти раздел «Дополнительная безопасность». В нем можно будет включить параметр «Учетная запись без пароля». Следуя инструкциям на экране, затем необходимо будет лишь одобрить уведомление из приложения Authenticator. При этом, если пользователь решит, что все же предпочитает использовать пароль, его всегда можно будет добавить обратно в свою учетную запись.
Как отмечают в Microsoft, cлабые пароли являются причиной для большинства атак на корпоративные и пользовательские учетные записи. Каждую секунду происходит 579 атак на пароли – это 18 млрд атак в год. Пароли очень неудобно создавать и запоминать. Пользователи часто стараются облегчить себе задачу и придумать легко запоминающийся пароль. Проведенный компанией опрос показал, что 15% людей используют имена своих домашних питомцев для создания паролей. Среди других распространенных ответов – имена членов семьи и важные даты, например дни рождения. Каждый десятый человек отметил, что использует пароли повторно на разных сайтах, а 40% говорят, что меняли пароли на похожие по определенной формуле, например, Fall2021, который в итоге превращается в Winter2021 или Spring2022.[1]
2020: Добавление превью-версии менеджера паролей
Менеджер паролей от Microsoft поддерживает Edge, Chrome, iOS и Android. Об этом стало известно 17 декабря 2020 года.
Превью-версия менеджера паролей на декабрь 2020 года встроена в бесплатное мобильное приложение Microsoft Authenticator, использующееся для многофакторной аутентификации. Как многие другие менеджеры паролей, менеджер имеет функцию автозаполнения паролей.
Пароли синхронизируются из браузера Microsoft Edge и могут использоваться на нескольких устройствах с помощью учетной записи Microsoft. Пароли также могут синхронизироваться с Google Chrome с помощью расширения Microsoft Autofill.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос
Microsoft может добавить полноценный менеджер паролей в свой сервис Microsoft 365, пишет The Verge. Функция автозаполнения пригодится владельцам учетных записей Microsoft, использующих в работе несколько устройств.
Данная функция стала доступна в Microsoft Authenticator 16 декабря 2020 года, и для того, чтобы начать ею пользоваться, нужно указать ее как функцию автозаполнения по умолчанию в настройках iOS- и Android-устройства.
Автозаполнение работает только с пользовательскими учетными записями Microsoft и отключено для корпоративных пользователей, использующих приложение для авторизации по телефону или многофакторной аутентификации. Для того чтобы включить эту возможность для корпоративных пользователей Microsoft Authenticator, компаниям необходимо присоединиться к списку разрешенных[2].
2017: Анонс
В апреле 2017 года Microsoft выпустила приложение, которое призвано "уничтожить пароль" как средство авторизации. Приложение Authenticator призвано заменить традиционные пароли push-уведомлениями. [3]
Эксперты по безопасности говорят, что пароли - это уже слишком слабый и ненадежный способ защиты данных.
В 2016 году самым популярным в мире паролем оставался пресловутый "123456". То есть, пользователи не воспринимают всерьез необходимость защищаться, по крайней мере, до тех пор, пока сами не столкнутся со взломом почтового аккаунта или банковского счета, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор Безопасности". - А с другой стороны, запоминать десятки уникальных паролей к разным ресурсам - как минимум неудобно. Существуют, конечно, программные менеджеры паролей, позволяющие генерировать уникальные символьные комбинации для каждого отдельного ресурса, а пользователю остается только запомнить один мастер-пароль. Но об этих программах знают не все, а те, кто знает, не всегда готов их использовать. |
Идея Authenticator заключается в минимизации усилий со стороны пользователя таким образом, чтобы ему не пришлось самому придумывать безопасные (то есть, весьма сложные) пароли. При установке Authenticator на мобильное устройство под управлением iOS или Android, пользователь получает push-уведомление, и если он его подтверждает командой Approve, производится авторизация.
Приложение не требует никаких биометрических модулей, только прикосновение человека, который в данный момент держит трубку. Это, правда, означает, что при ее краже вор тоже сможет заходить во все доступные с мобильного устройства аккаунты, если пользователь не сможет быстро заблокировать устройство удаленно.
Как отметил Алекс Саймонс (Alex Simons), программный директор подразделения Microsoft по средствам идентификации, Authenticator рассчитан на пользовательский рынок. Бизнес-вариант приложения последует ближайшей осенью.
Microsoft уже не впервые пытается избавиться от пароля: модель реализации Authenticator похожа на Windows Hello, биометрическое приложение для авторизации на компьютерах под Windows 10. Для того, чтобы оно работало, понадобятся аппаратные биометрические модули, а ими оснащены далеко не все персональные компьютеры. Authenticator в биометрических средствах не нуждается.
Интересно, что Microsoft рассматривает метод авторизации с помощью Authenticator как двухфакторный: первая ступень - это сам телефон, а вторая - его собственные средства защиты, такие как PIN или отпечаток пальца. В компании признают, что толковать определение двухфакторной авторизации можно по-разному.
В целом, двухфакторной авторизацией это назвать можно только с натяжкой, - считает Дмитрий Гвоздев. В целом до звания "убийцы паролей" Authenticator еще довольно далеко. |
Примечания
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (33)
Другие (854)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Солар (ранее Ростелеком-Солар) (2)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (473, 231)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Samsung Electronics (1, 1)
Аладдин Р.Д. (Aladdin R.D.) (1, 1)
Konica Minolta (Коника Минолта) (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
RooX Solutions (Рукс Солюшенс) (1, 1)
Другие (2, 2)
Индид, Indeed (ранее Indeed ID) (2, 3)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
Axel Pro (Аксель Про) (1, 1)
RED Security, Прикладная техника (ранее МТС RED, Серенити сайбер секьюрити) (1, 1)
Другие (9, 9)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 274
PayControl - 3
МегаФон Мобильный ID - 2
ОТР.Опора - 1
Shenzhen Chainway C-серия RFID-считывателей - 1
JaCarta Authentication Server (JAS) - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1