Microsoft отказывается от SMS-кодов для аутентификации из-за роста мошенничества

2 часа назад / Технологии → Новости / Технологии

Корпорация Microsoft продолжает движение к «беспарольному» будущему, отказываясь от метода аутентификации, который, по её словам, стал «основным источником мошенничества». Речь идёт о кодах подтверждения, отправляемых по SMS.

Традиционно коды, отправляемые в текстовых сообщениях на телефон, использовались в качестве метода аутентификации при входе в систему или как способ восстановления учётной записи Microsoft в случае, если вы забыли свой пароль. К сожалению для забывчивых пользователей, Microsoft решила поэтапно отказаться от SMS-кодов в обоих случаях.

По заявлению Microsoft,

«SMS-аутентификация теперь является основным источником мошенничества, и, переходя на беспарольные учётные записи, ключи доступа (passkeys) и подтверждённую электронную почту, мы помогаем вам оставаться на шаг впереди развивающихся угроз, делая доступ к учётной записи более простым и бесшовным».

Итак, если SMS-коды уходят в прошлое, и Microsoft действительно считает, что «будущее аутентификации — без паролей», что же остаётся? Прежде всего, ключи доступа (Passkeys). Они могут быть в виде PIN-кода, но биометрические ключи, такие как сканирование лица или отпечатка пальца, полностью решают проблему «последовательности символов, которую можно забыть». Однако это требует передачи ещё большего количества данных, которые многие не готовы доверить крупным технологическим компаниям.

Это не первый раз, когда компания заявляет о желании полностью отказаться от традиционных паролей. Microsoft продвигает ключи доступа как более быстрый и «устойчивый к фишингу» способ входа, поскольку этот метод использует локальные «встроенные средства аутентификации вашего устройства (например, Face ID, отпечаток пальца или PIN-код)».

Это имеет смысл. Прежде всего, SMS-коды отображаются в виде обычного текста и передаются по мобильным сетям, которые злоумышленники могут достаточно легко взломать на расстоянии. Аутентификация на устройстве исключает эту уязвимую сеть, хотя исследователи безопасности уже показали, как Windows Recall может быть использован злоумышленниками для обхода лучших намерений Microsoft в области безопасности, поэтому, как всегда, важно помнить, что безопасность устройства должна поддерживаться на всех уровнях.

Ни один метод аутентификации не является на 100% безопасным, но ограничение вариантов входа для забывчивого пользователя — это головная боль. Кто-то использует менеджеры паролей, но исследователи безопасности утверждают, что такие сервисы уязвимы для «множества практических атак», хотя некоторые коллеги их активно рекомендуют.

В любом случае, вы не сможете получить автозаполнение из менеджера паролей до входа в операционную систему. По крайней мере, если я забуду пароль, никто, кроме меня, не сможет извлечь его из моей памяти.