A partir del 15 de setembre de 2021, Microsoft ha anunciat que qualsevol persona que utilitzi un compte de consumidor de Microsoft ja podrà accedir-hi sense contrasenya. ¿Si!?, ¡Sense contrasenya! ... ¿és que s'han tornat bojos els de Microsoft? 😉.
Que no s'estengui el pànic, primer us expliquem els motius d'aquesta decisió i a la fi del post us indiquem com ho podreu fer.
MOTIUS PER ELIMINAR LES CONTRASENYES
Segons Vasu Jakkal, vicepresident corporatiu de seguretat de Microsoft, ja fa uns anys que pensen en un futur sense contrasenyes.
Certament a ningú li agraden les contrasenyes. Són difícils de recordar i més són l'objectiu principal per als ciberdelinqüents. En el SOC de Infordisa ja parlem en l'apartat de bones pràctiques de com els gestors de contrasenyes ens poden fer la vida més fàcil o segura.
Durant anys, les contrasenyes han estat la capa de seguretat més important per a tot en la nostra vida digital, des del correu electrònic fins als comptes bancaris, els carrets de la compra i els videojocs.
S'espera que creem contrasenyes complexes (nombre, lletres, símbols, majúscules ...) i úniques, les recordem i les canviem sovint, però a ningú li agrada fer-ho tampoc. A l'oblit de les contrasenyes, la funció de restablir una contrasenya és inevitable, fent el problema més gran.
A més que la majoria dels mortals apuntem les nostres contrasenyes en documents digitals o en paper. Tot això, amb el temps és un problema exponencial.
El problema amb les contrasenyes
Bret Arsenault, director de seguretat de la informació (CISO) de Microsoft, diu:
«Els pirates informàtics no entren, inicien sessió».
Això indica que el problema de seguretat resideix bàsicament en el procés de autenticació.
Les contrasenyes febles són el punt d'entrada per a la majoria dels atacs en comptes empresarials i de consumidors. Algunes dades per posar-se en context:
579 atacs de contrasenyes per segon, És a dir, 18 milions anualment any.
Per què les contrasenyes són tan vulnerables? Hi ha dues grans raons.
La naturalesa humana
A excepció de les contrasenyes generades automàticament que són gairebé impossibles de recordar, creem en gran mesura les nostres pròpies contrasenyes. Però, atesa la vulnerabilitat de les contrasenyes, els seus requisits s'han tornat cada cop més complexos en els darrers anys, inclosos diversos símbols, números, distinció entre majúscules i minúscules i no permetre contrasenyes anteriors. Sovint es requereixen actualitzacions de forma regular, però crear contrasenyes que siguin prou segures i memorables és un desafiament. Les contrasenyes són increïblement inconvenients per crear, recordar i administrar a tots els comptes de les nostres vides.
Oblidar una contrasenya és un problema per a l'usuari i també per a les empreses que perden clients.
Naturalesa hacker
Malauradament, encara que aquestes contrasenyes poden ser més fàcils de recordar, també són més fàcils d'endevinar per a un pirata informàtic. Un cop d'ull ràpid a les xarxes socials d'algú pot donar a qualsevol pirata informàtic un avantatge per iniciar sessió en els seus comptes personals. Una vegada que aquesta combinació de contrasenya i correu electrònic s'ha vist compromesa, sovint es ven a la «dark web» per al seu ús en qualsevol nombre d'atacs.
Els pirates informàtics també tenen moltes eines i tècniques. Poden utilitzar l'aplicació automàtica de contrasenyes per provar moltes possibilitats ràpidament. Poden fer servir el phishing per enganyar perquè ingressi les seves credencials en un lloc web fals. A les bones pràctiques de l'SOC ja vam parlar de com verificar l'autenticitat d'un correu electrònic. Aquestes tàctiques són relativament senzilles i han estat en joc durant dècades, però continuen funcionant perquè les contrasenyes continuen sent creades per humans.
Sorgirà una pregunta inevitable, com es podrà iniciar sessió sense contrasenya? Doncs una vegada que s'elimini la contrasenya del compte de Windows, s'haurà d'iniciar la sessió utilitzant l'aplicació Microsoft Authenticator, Windows Hello, claus de seguretat físiques o codis SMS.
Lús de mètodes dinici de sessió alternatius com laplicació Microsoft Authenticator, les claus de seguretat físiques i la biometria seran més segurs que les contrasenyes tradicionals que poden ser robades, piratejades o endevinades.
Segons els plans de Microsoft, aquest és l'enfocament dels quatre passos per posar fi a l'era de les contrasenyes per a les organitzacions:
El dia mundial de la contrasenya és el primer dimarts de maig. Potser per al proper 2022 sigui l'últim?
COM ELIMINAR LA MEVA CONTRASENYA DEL MEU COMPTE MICROSOFT?
Primer, assegureu-vos de tenir l'aplicació Microsoft Authenticator instal·lada i vinculada al vostre compte personal de Microsoft.
A continuació, visiteu el compte de Microsoft, entreu i aneu a Opcions de seguretat avançades. A Opcions de seguretat addicionals, veurà Compte sense contrasenya. Seleccioneu Activa.
De moment, aquesta actualització només afecta als comptes personals de Microsoft però estem segurs que aviat arribarà a les professionals.
Amb els nous sistemes d'autenticació, ja ens podrem oblidar de les contrasenyes i acomiadar-nos d'elles. Existeix per ara la solució de Azure Active Directory per organitzacions.
