Η Microsoft έχει ξεκινήσει αποστολή για να σταματήσει τη χρήση κωδικών πρόσβασης. Σε μόλις τρεις εβδομάδες, η εταιρεία θα διαγράψει τους κωδικούς που είναι αποθηκευμένοι στην εφαρμογή Authenticator, η οποία στο εξής θα χρησιμοποιείται μόνο για passkeys. Ωστόσο, προειδοποιεί τους χρήστες να διαγράψουν τους κωδικούς τους και από άλλα σημεία.
Οι κωδικοί δεν είναι αρκετοί για ασφάλεια
Ενώ η Microsoft προωθεί τη χρήση passkeys, αυτό δεν είναι αρκετό.
«Ακόμη κι αν καταφέρουμε να εγγράψουμε και να χρησιμοποιούν passkeys πάνω από ένα δισεκατομμύριο χρήστες, αν κάποιος έχει και passkey και κωδικό πρόσβασης και τα δύο παρέχουν πρόσβαση σε έναν λογαριασμό, τότε ο λογαριασμός εξακολουθεί να κινδυνεύει από phishing».
Οι αδύναμοι κωδικοί είναι εύκολο να παραβιαστούν
Οι κωδικοί πρόσβασης είναι αδύναμοι – παραβιάζονται, κλέβονται και συχνά είναι εύκολα μαντεύσιμοι. Η είδηση αυτής της εβδομάδας ότι ευαίσθητα δεδομένα εργαζομένων των McDonald’s αποκτήθηκαν από «χάκερ που χρησιμοποίησαν τον κωδικό 123456» σε ένα σύστημα τεχνητής νοημοσύνης λέει όλα όσα πρέπει να γνωρίζετε.
Όπως ήταν αναμενόμενο, το «123456» βρίσκεται στην κορυφή της ετήσιας λίστας της Nordpass με τους χειρότερους κωδικούς πρόσβασης που χρησιμοποιούνται παγκοσμίως. Ακολουθούν κατά σειρά τα «123456789», «12345678» και «password».
Το όραμα της Microsoft για μέλλον χωρίς phishing
Η Microsoft δηλώνει πως με τα passkeys, «μπορούμε πραγματικά να αντικαταστήσουμε τους κωδικούς με κάτι ταχύτερο, ασφαλέστερο και ευκολότερο στη χρήση. Είναι ένα φιλόδοξο όραμα, αλλά πιστεύουμε ακράδαντα σε ένα μέλλον χωρίς phishing, σε όλα τα σενάρια, συμπεριλαμβανομένης της ανάκτησης λογαριασμών και της αρχικής ρύθμισης».
Παράδειγμα παραβίασης από απλό κωδικό
Σύμφωνα με το PC World, «ο ερευνητής ασφαλείας Ian Carroll απέκτησε πρόσβαση συνδεόμενος στον λογαριασμό διαχειριστή της Olivia [AI chatbot] χρησιμοποιώντας το ‘123456’ ως όνομα χρήστη και κωδικό. Αυτό έδωσε στον Carroll πρόσβαση σε ευαίσθητες πληροφορίες, όπως ονόματα, διευθύνσεις, αριθμούς τηλεφώνου και email υποψηφίων για εργασία στα [McDonald’s], μεταξύ άλλων δεδομένων».
Γιατί τα passkeys είναι καλύτερα από τους κωδικούς
Σε αντίθεση με τα ονόματα χρηστών και τους κωδικούς πρόσβασης, τα passkeys συνδέουν τα διαπιστευτήρια ενός λογαριασμού με τη συσκευή στην οποία έχετε συνδεθεί, απαιτώντας έλεγχο ασφαλείας της συσκευής (ιδανικά βιομετρικό) κάθε φορά που πραγματοποιείτε είσοδο. Αυτό καθιστά αδύνατη την κλοπή, την παράκαμψη ή ακόμα και την κοινή χρήση της ταυτοποίησης.
Ακόμα καλύτερα από το 2FA
Αυτό είναι ακόμη καλύτερο από τη διπλή ταυτοποίηση (2FA), η οποία – σε αντίθεση με τα passkeys – παρέχει κωδικούς που μπορούν να υποκλαπούν ή να κοινοποιηθούν, και το 2FA ολοένα και περισσότερο παρακάμπτεται. Φέτος υπήρξε τεράστια ώθηση από τη Microsoft, την Google και άλλους για τη χρήση passkeys, όμως η πλειονότητα των λογαριασμών εξακολουθεί να βασίζεται σε παλαιότερη και πιο αδύναμη ασφάλεια.
Η Microsoft πηγαίνει ένα βήμα παραπέρα
Η Microsoft έχει προχωρήσει περισσότερο από όλους, με την προειδοποίηση να διαγράψετε τους κωδικούς πρόσβασης. Όπως μου ανέφερε η συμμαχία FIDO, «αυτό είναι ένα συναρπαστικό και καθοριστικό ορόσημο, καθώς η Microsoft αφαιρεί τους κωδικούς από το παιχνίδι για πάνω από ένα δισεκατομμύριο λογαριασμούς χρηστών».
