Microsoft ускоряет отказ от методов аутентификации, основанных на кодах проверки SMS, и активно продвигает «вход без пароля» в экосистеме Windows 11 для защиты безопасности личных учетных записей Microsoft с помощью ключей доступа, приложений для проверки подлинности и резервных адресов электронной почты. Microsoft подтвердила СМИ, что компания больше не будет отправлять SMS-коды проверки на личные аккаунты. Эта корректировка включает не только процесс двухфакторной проверки, но также процесс восстановления учетной записи. В документе поддержки, который был незаметно обновлен ранее в этом году, четко говорится, что Microsoft «поэтапно отказывается от SMS как метода аутентификации и восстановления учетных записей для личных учетных записей Microsoft».

В своих последних рекомендациях по безопасности Microsoft прямо заявила, что аутентификация на основе SMS «стала одним из основных источников мошенничества» и больше не соответствует ее долгосрочной стратегии по совершенствованию стандартов безопасности. Текстовые сообщения SMS изначально не были предназначены для современных сценариев сетевой безопасности. Их контент передается в виде открытого текста по сотовым сетям и легко перехватывается и подслушивается. Кроме того, все более распространенная «атака с заменой SIM-карты» также обнажает структурную слабость кодов проверки SMS: злоумышленникам нужно только обманом заставить операторов передать номер жертвы на устройство, которое они контролируют, и тогда они могут мгновенно и легко получить все коды проверки SMS и завладеть онлайн-учетной записью жертвы. С точки зрения Microsoft, для борьбы с такими угрозами больше нереально продолжать исправлять систему SMS, и более реальный путь — полностью использовать решение без пароля.

В соответствии с новой стратегией Microsoft заменит коды проверки SMS ключами доступа в качестве ядра. Этот стандарт считается современным методом входа в систему, устойчивым к фишингу. В отличие от традиционных паролей и шестизначных номеров, которые можно перехватить или использовать повторно, ключи доступа полагаются на биометрическое оборудование и локальный PIN-код, встроенный в устройство для аутентификации. Когда пользователи входят в учетную запись Microsoft, они могут завершить проверку с помощью распознавания лиц Windows Hello, распознавания отпечатков пальцев или PIN-кода локального устройства. Система в фоновом режиме сгенерирует пару открытого и закрытого ключей. Закрытый ключ всегда сохраняется в аппаратном обеспечении, таком как чип безопасности локального устройства, и не будет передаваться по сети, что практически исключает возможность удаленных фишинговых атак.

Конкретная реализация ключа доступа может либо использовать режим «привязки устройства», либо использовать облачные сервисы для синхронизации между несколькими устройствами. Первое означает, что закрытый ключ никогда не покидает определенное оборудование, например микросхему безопасности TPM ноутбука; последний использует такие сервисы, как Apple iCloud Keychain или Google Password Manager, для безопасной синхронизации ключа с несколькими терминалами пользователя. Microsoft отметила, что даже если пользователь потеряет свой телефон, если предварительно настроены доверенный резервный адрес электронной почты и ключ доступа, синхронизированный между устройствами, доступ к учетной записи все равно можно восстановить относительно безопасно.

С точки зрения теории безопасности, решение Microsoft отказаться от хрупких кодов проверки SMS и перейти к биометрическим зашифрованным ключам доступа является шагом в правильном направлении, а также соответствует общей тенденции «расшифровки» во всей отрасли. В своем заявлении Microsoft подчеркнула, что компания «стремится повысить стандарты безопасности» и считает, что в будущем аутентификация должна быть «беспарольной, безопасной и удобной для пользователя». Автор статьи также упомянул, что при ежедневном использовании приложений Microsoft Edge, Microsoft Password Manager и Microsoft Authenticator в сочетании с системой распознавания лиц Windows Hello, оснащенной инфракрасной камерой, вход в личные учетные записи без пароля «действительно превосходен», а работа происходит более плавно.

Однако это, казалось бы, идеальное будущее без паролей может оказаться непростым для активных пользователей и некоторых технических сценариев. Автор приводит в качестве примера собственный процесс работы в качестве инсайдера Windows и указывает, что ему часто приходится создавать, настраивать и управлять большим количеством виртуальных машин для тестирования различных версий системы и программных сред. В этих изолированных средах виртуальных машин физическое биометрическое оборудование часто недоступно, а ключи безопасности не всегда доступны, что приводит к значительному ухудшению процесса входа в систему с помощью пароля. При попытке войти в учетную запись Microsoft с помощью ключа доступа через PIN-код на виртуальной машине он неоднократно сталкивался с сообщениями об ошибках и не смог успешно завершить процесс входа.

В этом высокотехнологичном, но относительно распространенном пограничном сценарии запрос на получение кода подтверждения текстового сообщения когда-то был простым и надежным «последним средством». Комбинация пароля и кода подтверждения по SMS глубоко укоренилась в сердцах людей, а строка из шести цифр стала практически одним из самых естественных шагов безопасности в повседневной деятельности пользователей по всему миру. Автор считает, что для того, чтобы по-настоящему изменить эту формировавшуюся за многие годы привычку, новые технологии должны быть не только более безопасными, но и уметь работать «бессмысленно» практически во всех сценариях, иначе в критические моменты они легко доставят пользователям неприятности.

Microsoft недавно внесла другие изменения в процесс установки и политики учетных записей, чтобы согласовать это изменение в направлении безопасности. Например, есть признаки того, что Microsoft может отменить требование входа в учетную запись Microsoft в будущих процессах установки Windows 11, тем самым уменьшая необходимость входа пользователей в Интернет на определенных этапах установки. С другой стороны, компания также будет активно предлагать всем пользователям личных учетных записей через системные всплывающие окна, побуждая их как можно скорее настроить ключи доступа и проверить резервные адреса электронной почты. Общие запросы включают «войдите быстрее, используя лицо, отпечаток пальца или PIN-код».

Можно предвидеть, что потеря «удобного, но хрупкого» инструмента SMS-кода проверки в краткосрочной перспективе вызовет дискомфорт и жалобы у некоторых пользователей. Однако в заявлении Microsoft это рассматривается как цена, которую необходимо заплатить за борьбу с современными угрозами безопасности, а также это ключевой шаг для укрепления общей линии защиты экосистемы Windows 11. С дальнейшей популяризацией ключей доступа и беспарольных решений основная логика безопасности учетной записи смещается от «запоминания пароля» к «доказательству того, что вы тот, кто вы есть», и этот переход уже полностью запущен в системе Microsoft.