Nie, Microsoft nie pozbył się jeszcze haseł - to nie tak będzie działało i nie może tak działać

Nasz Czytelnik powołuje się tu na artykuł z 2021 roku - The passwordless future is here for your Microsoft account. Owszem, taka opcja istnieje już na kontach użytkowników Microsoft. Znajdziecie ją po zalogowaniu na konto pod ścieżką: Zabezpieczenia - Opcje zabezpieczeń - Dodatkowe zabezpieczenia.

Jednak to nie jest jeszcze właściwa opcja logowania bez hasła, którą Apple, Google i Microsoft mają udostępnić w najbliższym czasie w ramach FIDO Alliance, a jedynie rozszerzenie funkcjonalności aplikacji Microsoft Authenticator. Odkąd mam to włączone, kilka razy w miesiącu z uwagi na prosty adres e-mail dostaję w tej aplikacji żądania logowania, kiedy sam nie próbuje w tym czasie zalogować się na swoje konto.

Przyznacie, że nie tak to powinno działać? Łatwo sobie wyobrazić nadużycia i ataki w postaci skryptów uruchamianych przez cyberprzestępców na przykład 10-tego każdego miesiąca, kiedy to mnóstwo osób loguje się na konta bankowe. W takim przypadku wystarczyłoby skorzystać tylko z bazy wykradzionych adresów e-mail, bez haseł i nastąpiłby problem na niespotykaną skalę.

Funkcja Microsoftu bez haseł działa w ten sposób, że wystarczy podać swój adres e-mail na jakimkolwiek urządzeniu - nie musi się ono znajdować na liście urządzeń podpiętych pod konto, co automatycznie wysyła takie żądanie do potwierdzenia na aplikację Microsoft Authenticator na naszym smartfonie.

Sprawdziłem to logując się w tym samym czasie tylko adresem e-mail na swoje konto na dwóch różnych urządzeniach - na moim, z którego korzystam codziennie i na innym, na którym nigdy się nie logowałem na konto Microsoft. Co się okazało? Przyszły dwa powiadomienia na smartfona i zgadujcie, które jest moje.

Powiecie, że oba urządzenia znajdowały się w jednej sieci Wi-Fi. Ale co to za zabezpieczenie? Żadne. Poza tym jak wspominałem, żądania logowania do tego konta dostaje kilka razy w miesiącu - jak tylko ktoś, gdzieś próbuje się zalogować na swoje konto, prawdopodobnie błędnie wpisując akurat mój adres e-mail.

Reasumując, pierwsze logowanie na nowym urządzeniu nigdy nie powinno tak wyglądać.

Tak więc jak to powinno wyglądać? Jako obecny przykład zastosowania, który zapewnie wszyscy znacie, podam logowanie do bankowości elektronicznej na stronach naszych banków, gdzie po udanym zalogowaniu się hasłem, kodem i potwierdzeniem na naszym smartfonie biometrią lub innym składnikiem uwierzytelniającym, możemy dane urządzenie dodać do zaufanych.

Jak z kolei będzie wyglądać to w przyszłości, na przykład w przypadku Apple Passkeys? Nieco inaczej, ale również bezpiecznie. Powołam się tu ponownie na artykuł w serwisie Tom's Guide. Przy założeniu, że korzystacie akurat ze smartfona iPhone z weryfikacją Face ID lub Touch ID i będziecie chcieli zalogować się na komputerze z Windowsem, przy pierwszym logowaniu na tym urządzeniu system wygeneruje kod QR, który będziecie musieli zeskanować swoim smartfonem.

Dzięki temu będzie wiadomym, że to Wy jesteście akurat przy danym urządzeniu, na którym chcecie się zalogować na swoje konto. Nie ma tu miejsca na przypadek i przypadkowe kliknięcia, jak w przypadku Microsoft Authenticator. Dopiero później będzie możliwe logowanie na tym urządzeniu poprzez weryfikacją Face ID lub Touch ID.

Dlatego też ważna jest współpraca i ujednolicone rozwiązanie, które muszą zastosować wszyscy duzi gracze systemów desktopowych i mobilnych, czyli Apple, Google i Microsoft.

Musimy się więc jeszcze uzbroić w cierpliwość w oczekiwaniu na docelowe i bezpieczne rozwiązanie bez haseł, oparte na kryptografii klucza publicznego. Wszystko wskazuje na to, że pierwsze z tym będzie jednak Apple, które natywnie Passkeys wdroży w swoich systemach iOS 16, macOS Ventura oraz iPadOS 16 już na jesieni tego roku.

Stock Image from Depositphotos.