Zmiana w logowaniu Microsoftu. Koniec kodów SMS
Microsoft przestanie wysyłać kody SMS do logowania i odzyskiwania dostępu w przypadku osobistych kont. Jak opisuje Windows Latest, firma chce w zamian przejść na rozwiązania bezhasłowe, takie jak klucze dostępu, aplikacje uwierzytelniające i zweryfikowany zapasowy e-mail.
Microsoft potwierdził, że w Windowsie będzie stopniowo odchodzić od kodów SMS jako metody weryfikacji dla osobistych kont. Windows Latest zwraca uwagę, że wynika to z dokumentacji wsparcia opublikowanej wcześniej w tym roku oraz z komunikatów dotyczących bezpieczeństwa.
Koniec SMS-ów w 2FA i przy odzyskiwaniu konta
Wiadomości tekstowe mają być wygaszane zarówno jako element uwierzytelniania dwuskładnikowego, jak i jako opcja odzyskiwania konta. W praktyce oznacza to, że użytkownicy osobistych kont będą zachęcani do ustawienia innych zabezpieczeń.
Według Windows Latest firma wcześniej sygnalizowała zmianę w poradniku dotyczącym bezpieczeństwa, a teraz wprost opisuje kierunek: odejście od SMS i przejście na logowanie bez hasła. Microsoft argumentuje, że SMS nie zapewniają już odpowiedniego poziomu ochrony tożsamości w internecie. W oficjalnym ostrzeżeniu firma wskazała, że "uwierzytelnianie oparte na SMS jest dziś jednym z głównych źródeł oszustw".
SMS-y są przesyłane w formie niezaszyfrowanej przez sieci komórkowe, co zwiększa ryzyko przechwycenia. Dodatkowym problemem mają być ataki typu SIM-swap, kiedy napastnik doprowadza do przeniesienia numeru telefonu ofiary na kartę SIM lub urządzenie, które kontroluje. W takim scenariuszu kody 2FA trafiają bezpośrednio do osoby atakującej.
Windows Hello, PIN i klucze kryptograficzne
Zamiast SMS-ów Microsoft ma mocniej promować klucze dostępu, czyli nowocześniejszy standard odporny na phishing. Jak opisuje Windows Latest, klucze wykorzystują zabezpieczenia urządzenia użytkownika, w tym biometrię.
Logowanie z kluczami ma działać m.in. przez Windows Hello (rozpoznawanie twarzy), czytnik linii papilarnych albo lokalny PIN urządzenia. Mechanizm opiera się na parze kluczy kryptograficznych, przy czym klucz prywatny ma nie opuszczać sprzętu, co ma ograniczać możliwość zdalnego przejęcia danych logowania.
Jak ma wyglądać przejście na logowanie bez hasła?
Według opisu Windows Latest Microsoft zacznie wyświetlać posiadaczom osobistych kont ekran zachęcający do szybszego logowania twarzą, odciskiem palca lub PIN-em. W tym samym procesie użytkownicy mają być proszeni o skonfigurowanie kluczy dostępu oraz potwierdzenie zapasowego adresu e-mail.
