Ушла эпоха: киберэксперт о рисках и преимуществах беспарольных аккаунтов Microsoft

Microsoft объявила, что все новые учётные записи Microsoft по умолчанию станут беспарольными: при регистрации пользователи сразу смогут выбрать более безопасные методы входа — passkey, push-уведомления или аппаратный ключ, — и им не потребуется придумывать пароль.

Существующие учётные записи при желании можно перевести на беспарольный режим через настройки аккаунта. Киберэксперт лаборатории стратегического развития продуктов кибербезопасности компании «Газинформсервис» Михаил Спицын пояснил, что для каждого пользователя будет автоматически включён наилучший доступный метод беспарольной аутентификации;, а Microsoft активно продвигает использование passkey с биометрией (Face ID, отпечаток пальца) как более надёжной надёжную альтернативы альтернативу паролям. В результате проведённых экспериментов компании выяснилось, что упрощённый UX сократил использование паролей более чем на 20%. После первого входа новым пользователям предложат создать passkey, и при последующих попытках входа система будет сразу запрашивать этот ключ, ускоряя процесс.

«Переход к беспарольной аутентификации — это один из самых эффективных способов защитить пользователей от фишинга, брутфорс-атак и подстановки учётных данных. Однако важно учесть и потенциальные риски, связанные с централизованными механизмами восстановления доступа.   Даже с passkey важно нужно сохранять бдительность: защищать учётные записи в облачных хранилищах, использовать многофакторную аутентификацию для критических сервисов и своевременно обновлять ПО.   В целом, переход к беспарольным учётным записям — важный шаг вперёд в борьбе с атаками на учётные данные, но он требует продуманной стратегии внедрения, надёжных механизмов резервного восстановления, а также организации дополнительных мер защиты. Организациям рекомендую подключать услуги центра мониторинга, : это комплексная услуга, включающая в себя обеспечение отслеживания вредоносной активности и своевременного информирования о новых формах фишинга и атак с использованием социальной инженерии. Специалисты GSOC обладают такими компетенциями, и разрывают цепочку атаки, предотвращая потенциальную утечку данных», — объясняет эксперт.