Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft zamierza umożliwienie logowania bez hasła – do Windows 10 oraz 11
Microsoft zamierza pozwolić użytkownikom swoich najnowszych systemów operacyjnych, czyli Windows 10 i Windows 11, na zrezygnowanie z haseł, które do tej pory były podstawowym elementem logowania do różnych usług oferowanych przez to przedsiębiorstwo. Wcześniej taka możliwość była dostępna jedynie dla użytkowników korzystających z kont firmowych. Hasła będą mogły zostać zastąpione np. przez Microsoft Authenticator (generator kodów, odpowiednik Google Authenticator), Windows Hello (uwierzytelnianie za pomocą biometrii), klucze bezpieczeństwa czy kody SMS lub e-mail, które z tych wszystkich opcji są zdecydowanie najbardziej zawodne.
Oczywiście pozostaje kwestia kompatybilności wstecznej, czyli wersje Office sprzed 2010, usługa Xbox 360 czy nawet logowanie do RDP (w tym przypadku problemem jest raczej obsługa innej metody logowania). Za pewien czas również z Azure Active Directory ma zniknąć konieczność stosowania haseł, chociaż wybór należy do administratora AD, który będzie mógł wybrać sposób uzyskania dostępu dla konkretnego użytkownika.
Pomysł Microsoftu zasługuje na poparcie, bo hasła dziś są już przestarzałym sposobem zabezpieczania dostępu. Najlepiej spisują się klucze bezpieczeństwa, ponieważ są „odporne” na phishing. Ich największe wady to wysoka cena i fakt, że utrata takiego klucza oznacza brak możliwości dostępu do konta (dlatego warto posiadać dwa klucze).
–Michał Giza
Zamierza umożliwić ;)
A tak na serio jak to się ma do 2FA czyli – coś wiedzieć i coś mieć. Teraz będzie tylko coś mieć.
Do Windowsa do tej pory w ogóle nie miałeś wsparcia dla 2FA.
A co do AAD to np. logując się aplikacją trzeba najpierw odblokować telefon (coś wiedzieć, czymś być) żeby zatwierdzić logowanie (coś mieć).
Co masz na mysli brak wsparcia?
Pracuje w duzym korpo – od okolo 2012 roku mielismy Windows 7 gdzie logowac sie mozna bylo karta PKI.
W domu prywatnie mam win8.1 pro i logowaniem YubiKeyem tez dziala bez problemu.
Może będzie wymagany pin do klucza: czyli „wiedzieć”
Na całe szczęście pozostaną pewnie do użycia pytania bezpieczeństwa.
Teza, że hasła są przetarzałym sposobem zabezpieczenia jest bardzo odważna. Wyeliminowanie „czegoś co wiem” z wieloskłądnikowego uwierzytelnienia pozostawia jeden czynnik – „coś co mam” (bo „coś czym jestem” nie jest w tej chwili sensowne z punktu widzenia technicznego).
Każda metoda uwierzytelnienia ma plusy i minusy.
Klucze sprzętowe nie są odporne na kradzież, zgubienie. Zniszczenie z punktu widzenia bezpieczeństwa nie jest dużym problemem. Problemem jest sytuacja, w której klucze bezpieczeństwa nie spełniają norm (podatne na atak, posiadające błędy krytpograficzne, etc.) i trzeba tysiące, czy dziesiątki tysięcy urządzeń wymienić, a nie jest się jedyną firmą na rynku, która to w danym momencie robi. Klucz trzeba przygotować oraz dostarczyć do użytkownika w sposób bezpieczny.
Problemów z „kluczami bezpieczeństwa” w kontekście i skali biznesowej jest dużo więcej niż się przedstawia i nie jest to wcale magiczne remedium na wszelkie problemy. Wymagają one też innego podejścia i myślenia.
Najlepszym kompromisem, jest smartcard (w dowolnej formie), z odpowiednim certyfikatem, wymagający PINu do użycia, bo łączy coś co mam z czymś co wiem. Ale użycie tutaj hasła ORAZ smarcard + PIN znacznie zwiększa bezpieczeństwo.
SmartCard tez ma sporo wymagan.
Po pierwsze sprzet – czyli czytnik kart.
Nie kazdy laptop to ma. Mozna po usb ale to znow dodatkowa logistyka. Plus urzadzenia mobilne odpadaja. Druga warstwa to software… tu tez apki/system musi byc dostosowany. Trzecia sprawa to Centrum Certyfikacji, ktora wypada miec i ogarniac ( infra i fachowcy ) do tego dochodzi sprzet typuOCSP ( dosc drogi ) …
Najprostsze i najtansze 2fa do wdrozenia – to hasla plus totp ( kody topt mozna generowac zarowno na PC czy na mobilnym sprzecie ). Ale to nie jest odporne na phising.
Phising protect to z kolei koszty – albo SmartCard albi YubiKeye. Sa rozwniez rozwiazania „tanie” typu zwykly pen-drive i tokeny na nim ale to zadziala z linuxowym PAMem ( windows i srodowisko korporacyjne mozna zapomniec) . Takze tego ;-)