Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Microsoft zamierza umożliwienie logowania bez hasła – do Windows 10 oraz 11

20 września 2021, 10:50 | W biegu | komentarzy 7
Tagi:

Microsoft zamierza pozwolić użytkownikom swoich najnowszych systemów operacyjnych, czyli Windows 10 i Windows 11, na zrezygnowanie z haseł, które do tej pory były podstawowym elementem logowania do różnych usług oferowanych przez to przedsiębiorstwo. Wcześniej taka możliwość była dostępna jedynie dla użytkowników korzystających z kont firmowych. Hasła będą mogły zostać zastąpione np. przez Microsoft Authenticator (generator kodów, odpowiednik Google Authenticator), Windows Hello (uwierzytelnianie za pomocą biometrii), klucze bezpieczeństwa czy kody SMS lub e-mail, które z tych wszystkich opcji są zdecydowanie najbardziej zawodne.

Oczywiście pozostaje kwestia kompatybilności wstecznej, czyli wersje Office sprzed 2010, usługa Xbox 360 czy nawet logowanie do RDP (w tym przypadku problemem jest raczej obsługa innej metody logowania). Za pewien czas również z Azure Active Directory ma zniknąć konieczność stosowania haseł, chociaż wybór należy do administratora AD, który będzie mógł wybrać sposób uzyskania dostępu dla konkretnego użytkownika.

Pomysł Microsoftu zasługuje na poparcie, bo hasła dziś są już przestarzałym sposobem zabezpieczania dostępu. Najlepiej spisują się klucze bezpieczeństwa, ponieważ są „odporne” na phishing. Ich największe wady to wysoka cena i fakt, że utrata takiego klucza oznacza brak możliwości dostępu do konta (dlatego warto posiadać dwa klucze).

–Michał Giza

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Zamierza umożliwić ;)

    A tak na serio jak to się ma do 2FA czyli – coś wiedzieć i coś mieć. Teraz będzie tylko coś mieć.

    Odpowiedz
    • Norbert

      Do Windowsa do tej pory w ogóle nie miałeś wsparcia dla 2FA.

      A co do AAD to np. logując się aplikacją trzeba najpierw odblokować telefon (coś wiedzieć, czymś być) żeby zatwierdzić logowanie (coś mieć).

      Odpowiedz
      • Batrek

        Co masz na mysli brak wsparcia?
        Pracuje w duzym korpo – od okolo 2012 roku mielismy Windows 7 gdzie logowac sie mozna bylo karta PKI.
        W domu prywatnie mam win8.1 pro i logowaniem YubiKeyem tez dziala bez problemu.

        Odpowiedz
    • Karol

      Może będzie wymagany pin do klucza: czyli „wiedzieć”

      Odpowiedz
  2. Mike Rosoft

    Na całe szczęście pozostaną pewnie do użycia pytania bezpieczeństwa.

    Odpowiedz
  3. TommyLeeJonsWŚciganym

    Teza, że hasła są przetarzałym sposobem zabezpieczenia jest bardzo odważna. Wyeliminowanie „czegoś co wiem” z wieloskłądnikowego uwierzytelnienia pozostawia jeden czynnik – „coś co mam” (bo „coś czym jestem” nie jest w tej chwili sensowne z punktu widzenia technicznego).

    Każda metoda uwierzytelnienia ma plusy i minusy.
    Klucze sprzętowe nie są odporne na kradzież, zgubienie. Zniszczenie z punktu widzenia bezpieczeństwa nie jest dużym problemem. Problemem jest sytuacja, w której klucze bezpieczeństwa nie spełniają norm (podatne na atak, posiadające błędy krytpograficzne, etc.) i trzeba tysiące, czy dziesiątki tysięcy urządzeń wymienić, a nie jest się jedyną firmą na rynku, która to w danym momencie robi. Klucz trzeba przygotować oraz dostarczyć do użytkownika w sposób bezpieczny.
    Problemów z „kluczami bezpieczeństwa” w kontekście i skali biznesowej jest dużo więcej niż się przedstawia i nie jest to wcale magiczne remedium na wszelkie problemy. Wymagają one też innego podejścia i myślenia.
    Najlepszym kompromisem, jest smartcard (w dowolnej formie), z odpowiednim certyfikatem, wymagający PINu do użycia, bo łączy coś co mam z czymś co wiem. Ale użycie tutaj hasła ORAZ smarcard + PIN znacznie zwiększa bezpieczeństwo.

    Odpowiedz
    • Batrek

      SmartCard tez ma sporo wymagan.
      Po pierwsze sprzet – czyli czytnik kart.
      Nie kazdy laptop to ma. Mozna po usb ale to znow dodatkowa logistyka. Plus urzadzenia mobilne odpadaja. Druga warstwa to software… tu tez apki/system musi byc dostosowany. Trzecia sprawa to Centrum Certyfikacji, ktora wypada miec i ogarniac ( infra i fachowcy ) do tego dochodzi sprzet typuOCSP ( dosc drogi ) …

      Najprostsze i najtansze 2fa do wdrozenia – to hasla plus totp ( kody topt mozna generowac zarowno na PC czy na mobilnym sprzecie ). Ale to nie jest odporne na phising.
      Phising protect to z kolei koszty – albo SmartCard albi YubiKeye. Sa rozwniez rozwiazania „tanie” typu zwykly pen-drive i tokeny na nim ale to zadziala z linuxowym PAMem ( windows i srodowisko korporacyjne mozna zapomniec) . Takze tego ;-)

      Odpowiedz

Odpowiedz