Proponha uma correção, faça uma sugestão
Microsoft quer que deixemos de usar passwords já em 2021
Para protegermos as nossas contas e, consequentemente, os nossos dados, o métodos mais tradicional e utilizado é através de uma password. E praticamente todos os utilizadores do mundo utilizam uma password para barrar o acesso a terceiros às suas contas.
No entanto esta forma de proteção tem caído em desuso, à medida que outros métodos mais sofisticados e fortes são criados. Deste modo, num recente comunicado, a Microsoft adianta que pretende que os utilizadores deixem de usar passwords já a partir de 2021.
Apesar de serem formas rápidas e mais convencionais de proteger as nossas informações, as passwords estão cada vez mais a ser substituídas por outros métodos mais modernos, fortes e seguros.
Volta e meia trazemos notícias e informações sobre roubo e exposição de passwords que, por conseguinte, comprometem a nossa segurança digital. Para além disso, muitos utilizadores, devido também a algum desconhecimento, facilitam e escolhem palavras pouco seguras para barrar o acesso aos seus dados importantes.
Recentemente, até o ainda atual presidente dos EUA, Donald Trump, não escapou e viu a sua palavra-passe divulgada pela Internet: "maga2020". Curiosamente, ao nível da sua construção, a palavra não era lá muito forte nem segura, nada do que se deve esperar do presidente dos Estados Unidos.
De acordo com dados recentes, 80% dos ataques informáticos são direcionados a palavras-passe que, por sua vez, são no geral fracas. E estes ataques custam à economia global 2,9 milhões de dólares (~2,37 milhões de euros) a cada minuto que passa.
Microsoft quer acabar com as passwords em 2021
À semelhança de outras empresas tecnológicas, também a gigante Microsoft quer acabar com a utilização das passwords em breve. Desta forma, a empresa tem promovido entusiasticamente as tecnologias e métodos alternativos de autenticação.
Mas para o próximo ano, a Microsoft pretende "tornar o acesso sem passwords numa realidade para todos os nossos clientes em 2021", de forma a tornar os métodos de autenticação alternativos mais acessíveis a todas as pessoas.
Num comunicado partilhado no site oficial, Alex Simons, vice-presidente corporativo do programa Microsoft Identify, referiu que:
As passwords são incómodas de se usar e apresentam riscos de segurança para os utilizadores e organizações de várias dimensões, com uma média de uma em cada 250 contas empresariais a ser comprometida todos os meses. Segundo a Gartner, 20% a 50% de todas as chamadas ao help desk são para redefinições de palavras-passe.
Na publicação, é mostrada uma imagem com as conquistas conseguidas em 2020 no sentido de acabar com as passwords.
Para além disso, o executivo adianta ainda que:
A nossa equipa tem trabalhado muito este ano para se juntar aos parceiros e transformar as passwords em algo do passado. Junto com a nova UX e APIs para gerir chaves de segurança FIDO2, permitindo que os clientes desenvolvam soluções e ferramentas personalizadas, pretendemos lançar um portal de registo em 2021, onde todos os utilizadores gerem as suas credenciais sem password, através do portal My Apps.
Pode ler o comunicado na íntegra, aqui.
Poderão as passwords ter os dias contados?
Este artigo tem mais de um ano
Loading ...
Microsoft com as suas GRANDES ideias…
E como acedo ao portal my apps, nao vai ter password? E so o portal for hackeado, acedem a todas as minhas conras?
Foi por pouco, se não tens escrito o “r”…
LOL, bem visto!
Somente se o hacker se tornar voce. Pra acessar pode ser configurado o acesso atraves do FIDO-2 que so voce possui ou Biometria ou face id que é esperado que somente você tenha seu rosto, seu dedo com sua digital ou um app gerando digitos de autenticaçao ou avisos aprovando o acesso ou não ao seu device.
“Poderão as passwords ter os dias contados?” só com a Microsoft e ainda bem que uso Linux 🙂
O pessoal que veio aqui criticar a Micro$oft terá noção que as invasões de sistemas informáticos protegidos com passwords são cerca de 70% e só 30% nos sistemas de segurança alternativos?
E terão noção que há sistemas de segurança alternativos às passwords que até à data não foram violados?
Claro que não foram, quantos sistema sem password é que conheces ???
Deixa começar a ser massificada a utilização de sistemas sem password que vais ver … caem como tordos …
Também se dizia que os carros sem chaves tradicionais eram mais seguros depois alguém lembrou-se de ler os códigos das chaves emitidos pelas chaves e pronto acabou a segurança …
Não existem sistemas seguros, não houve nem vai haver, vai sempre haver falhas ou forma de contornar é tudo questão de tempo …
Conheço muitos.
E não venho aqui dar uma opinião baseada apenas num feeling…
Mas se achas que os sistemas protegidos por passwords são melhores, então podes continuar a usar esses sistemas.
Sai do buraco. Há um mundo novo cá fora.
Vamos voltar ao cartão matriz da Caixa?
Em teoria as chaves FIDO2 são muito melhores que as passwords… até as poderiam publicar que não ajudaria os atacantes a entrar com mais facilidade por isso.
O problema está sempre nos detalhes:
– As chaves FIDO2 custam dinheiro, e não estão há venda nas lojas para qualquer um levar (pelo menos não as encontro, as minhas tiveram de vir directamente da fábrica no estrangeiro);
– Nenhum web site que eu conheça usa o FIDO2 como único factor de autenticação… na melhor das hipóteses é um segundo factor de autenticação;
– Nenhum web site que eu conheça permite usar o FIDO2 como dispositivo obrigatório que não pode ser contornado, existe SEMPRE em todos os web sites formas de entrar na conta sem ser necessário o FIDO2, mesmo que possam demorar mais um pouco via recuperação de senha e por aí em diante;
– Tem uma limitação óbvia o FIDO2 que é estar agarrado ao domínio, se a empresa quiser mudar o domínio, ou quem quer que tenha o domínio o perder (expirou sem ter pago, alguma entidade confiscou o domínio, etc.) torna-se impossível aceder com o FIDO2… têm de ter algum sistema alternativo inseguro (e-mail, sms, etc.);
– Nos sistemas operativos necessitam de Internet para funcionar, se a Internet falhar e em muitos lados não existe de todo, lá se vai a autenticação… sem falar que se a empresa decidir bloquear a conta por algum motivo ficam instantaneamente bloqueados de ter acesso aos dados (pode acontecer por exemplo quando o Governo dos EUA manda a Microsoft bloquear a prestação de serviços a determinados países de quem não gosta naquele momento);
– Se o dispositivo onde se utiliza o FIDO2 estiver comprometido, nem mesmo o FIDO2 faz milagres, porque por exemplo a esmagadora maioria dos autenticadores FIDO2 não mostra qualquer dado referente ao que a pessoa supostamente está a autenticar no próprio dispositivo e a pessoa baseia-se supostamente no que o sistema operativo/ aplicação lhe indica… logo malware pode aproveitar-se de tal falha.
Metade dos teus argumentos são baseados no que os sites de hoje aceitam ou obrigam… Qual a validade disso?
E seguindo a mesma linha de raciocínio, já que muitos sites hoje continuam a guardar as passwords em texto, não encriptadas, posso assumir que então está correcto assim e é seguro, certo?
O problema da evolução neste campo é precisamente esse.
As pessoas falam do que não conhecem e que poderá vir a ser o futuro com base nos conhecimentos que têm daquilo que faz parte do passado…
Tendo em conta os argumentos expostos, claramente muitos irão manter-se válidos no futuro, se o passado ensina alguma coisa.
O FIDO2 é um sonho, que está no mundo real, mas como se vê a adopção anda pelas horas da morte apesar de estar a ser promovido/ utilizado por muitas das grandes empresas tecnológicas.
Devido à falta de flexibilidade no que diz respeito ao estar agarrado aos domínios, que é simultaneamente a sua grande vantagem e argumento de segurança e desvantagem porque as empresas estão constantemente a mudar as coisas e até de nome através de aquisições e vendas e o FIDO2 neste momento é uma complicação para se utilizar como factor único de identificação & autenticação para “esquecer” as senhas. O lugar de segundo-factor de autenticação parece ser o que melhor se adequa ao mesmo na maioria das situações.
Já no SQRL (Secure Quick Reliable Login), vejo a parte da segurança do FIDO/ FIDO2/ Webauthn, porque também usa chaves públicas mas a Ed25519 que é considerada um pouco mais segura, mas sem a inflexibilidade de estar agarrado aos domínios, que permite que as pessoas possam ser mais facilmente convertidas de um domínio antigo para o novo mesmo em caso de perda total de acesso ao antigo domínio repentinamente, ou sem ter de manter o antigo quase para sempre.
Não se preocupem a MShit vai tomar bem conta das vossas contas e da vossa vidinha, mais uma do Bill para controlar o mundo
Lol… sim e como é que ele vai fazer isso, podes-me explicar?
Eu sei bem como!
Eles tem fábricas de partículas nano-eléctricas que libertam para o ar e entram em nós pela respiração.
Depois lêem os nossos pensamentos e essa informação é enviada para a Microsoft. Para isso é que inventaram o 5G.
E depois controlam-nos porque essas partículas dão choques aos músculos e fazemos o que eles querem!
Vai ser o fim do mundo como o conhecemos…
Só não fico triste porque passamos a estar sempre ligados à internet e torna-se mais fácil ler todas as fake news que andam por aí…
ehehehehe Ao menos serve para animar 😛
é por isso que a china inventou o corona, para por todo o mundo de mascaras e impedir o controlo do mundo por parte da microsoft e consequentemente dos USA
Primeiro quem é a Microsoft para querer seja o que for? Depois “No entanto esta forma de proteção tem caído em desuso, à medida que outros métodos mais sofisticados e fortes são criados”, tem caido em desuso. Como assim?
A primeira pergunta, posso responder que a Microsoft é uma empresa que detém cerca de 70% do mercado de SO e são eles que dão aos utilizadores a ferramenta que lhes permitem usar os programas que precisam. Por isso, se eles assim o entenderem, a utilização de passwords pode ter os dias contados assim como o controlo dos updates do windows 10 teve…
Quanto ao facto de as passwords terem caído em desuso, será que não te apercebeste que há novas formas de autenticação? Não me digas que desconheces o faceid, a impressão digital, o fido2, fido u2f, os OTPs, os 2FAs, etc…
Hoje estou sem tempo mas aqui vai so uma explicação curta para quem tenha interesse.
1. Não é apenas a Microsoft a querer ir neste caminho, várias outras empresas de relevo na indústria estão a ir pelo mesmo caminho.
2. Parcialmente já usamos partes deste conceito. Como fazem para autenticar no vosso smartphone? Usam a vossa cara, impressão digital? Se tiverem um Surface/iPhone/Android(alguns) podem usar a cara para fazer a autenticação, em vários computadores temos leitor de impressões digitais que pode ser usado em vez de uma password, etc, etc, etc.
Agora tudo isto e com FIDO2 ainda podemos chegar a outros patamares. Vejam lá quem faz parte da aliança – https://fidoalliance.org/members/ e depois digam se isto não tem pernas para andar, alias, no mercado enterprise/corporate já há vários exemplos de implementação disto.
Espero ter contribuído para desmistificar o tema.
1. Deixem nas ir por esse caminho que depois vão voltar atrás.
2. Uso password nada de usar a cara ou impressão digital pois têm muitos riscos basta puxar pela cabeça para os ver.