Az általánosan rosszul használt jelszavak csak növelik a használói fiókok biztonsági kockázatát, ezért célszerűbb belépési módszerek felé terelgetné használóit a szoftveróriás.
A Microsoft szeptember közepén jelentette be: széles körben lehetővé teszi a Microsoft-fiókok használói számára, hogy jelszavak nélkül azonosítsák magukat és lépjenek be a felhasználói fiókjukba. Az alternatív bejelentkezési módszer egyelőre nem elérhető az iskolai vagy a munka céljára használt fiókok esetén. A jelszó helyett a következő azonosítási módszerek állnak a használók rendelkezésére:
- Biztonsági kulcsok
- E-mailben vagy SMS-ben küldött ellenőrzési kód
- A Windows Hello biometrikus rendszer
- A Microsoft Authenticator mobil alkalmazás
A Microsoft már 2021 márciusa teszteli ezt a jelszó-nélküliséget, amikor az Azure vállalati használók számára engedélyezte a jelszavak hanyagolását, és a biztonságosabb azonosítási módszerek felé terelte őket.
Az utóbbi időben rengeteg online adatbázisba törtek be és loptak el használói adatokat, melyekhez bárki, könnyedén hozzáfér az interneten. Mivel a használók általában újrahasznosítják a jelszavakat, és két-három, könnyen megjegyezhetőt használnak, ezért a hackereknek könnyű dolguk van, amikor használói fiókokba akarnak belépni.
Ezeket az adatokat „brute force” jelszókitaláló támadásokban is használják, amikor egy használói fióknál a támadók több jelszó-kombinációt próbálnak ki, többnyire automatizált eszközök segítségével.
A G DATA nem egyszer javasolta: jelszavak helyett használjunk jelmondatokat, illetve, hogy azokat nem kell gyakran cserélni, ha nem vetődött fel támadás gyanúja.
A változásokat bejelentő Vasu Jakkal, a Microsoft biztonságért felelős alelnöke elmondta: adataik szerint másodpercenként jelszavakhoz kapcsolódó 579, azaz évente 18 000 millió támadást támadást észlel a vállalat.
A használók tipikus és könnyen kitalálható jelszóalkotási módszereket alkalmaznak, ha könnyen megjegyezhető jelszót szeretnének. Például rendkívül népszerű az 1234567 jelszó vagy a házikedvenc nevéből álló jelszó – az emberek 15 százaléka ilyet használ a Microsoft felmérése szerint. A születési dátum vagy a család neve sem túl biztonságos jelszóalap.
A változások nem minden használónál jelenik meg, de a tapasztalat alapján Magyarországon már elérhető a jelszómentes Microsoft fiók. Ehhez előbb be kell lépnünk a saját Microsoft fiókunkba. Ott a Biztonság fül alatt a Speciális biztonsági beállítások menüpontban legörgetve a lap aljára a További védelem alatt találjuk azt a lehetőséget, hogy jelszó nélküli belépést használjunk.
Ezt akár most is be tudjuk kapcsolni, feltéve, hogy nem iskolai vagy munkacélú Microsoft-fiókunk van. Szükségünk van például a Microsoft Authenticator ingyenesen letölthető mobilappra, de az SMS-ben, e-mailben küldött kóddal is beléphetünk.
A jelszó eltávolítását a Microsoft akkor sem javasolja, ha a következő régebbi Microsoft eszközöket vagy alkalmazásokat még használjuk:
- Xbox 360
- Office 2010 vagy korábbi
- Office for Mac 2011 vagy korábbi
- Az IMAP vagy POP email szolgáltatásokat használó alkalmazások bármelyike, tipikusa levelező
- Windows 8.1, Windows 7 vagy korábbi
- Egyes Windows-funkciók használata esetén, mint Remote Desktop vagy Credential Manager
- Egyes parancssort igénylő vagy feladatütemező szolgáltatás használatakor