Microsoft slopar lösenordskrav för nya konton

Ta för i helvete inte bort möjligheten att använda lösenord för den som vill. "Ja, jag vet att jag får skylla mig själv och händer det något får ni skratta" skulle jag gärna kryssa i, inga problem.

För min del är det bara osmidigt med MFA, jag kör mycket hellre med genererade besvärliga långa lösenord i lösenordshanterare som matar in knapptrycken åt mig.

Men MS är ju som länge känt en bunt miffon, så jag räknar med att de kommer döda bort lösenord snart. Bara ytterligare ett i raden av deras idiotiska beslut.

Källa på det?

Nu skummade jag iofs rätt snabbt, så jag kan ha missat något viktigt, men av det jag såg underströk artiklarna huvudsakligen det faktum att människan är den svaga länken i alla säkerhetssystem där vi är inblandade.
Multifaktor-autentisering kommer i många varianter, och alla av dem är inte i varje läge knäckta, även om specifika implementationer över tid visat sig ha säkerhetshål i sig. Samma gäller naturligtvis biometrisk autentisering.

Enkelt uttryckt: "MFA" är ett koncept, inte en enstaka teknik. (Vissa av) teknikerna bakom (vissa former av) MFA kan säkert knäckas, men jag skulle bestämt påstå att det är felaktigt att säga att "MFA är knäckt och hackat".
Samtidigt vore det naturligtvis fel att påstå att något system är säkert bara för att man har MFA framför det, men i generella termer kan man åtminstone säga att attackytan är betydligt mer komplex för en angripare om man implementerat det på ett korrekt sätt.
Samma gäller naturligtvis biometrisk autentisering, där en korrekt implementation i allra minsta fall gör det svårare för en tillfällesbrottsling att knäcka systemet - till skillnad från, säg, ett PIN eller en manuellt inskriven lösenkod är det svårt att axelsurfa sig till det.

Vad är MFA2? Hittar inget relevant när jag söker på webben efter termen. Jag ska erkänna att jag inte är spjutspetskompetent inom området, men jag trodde jag hade lite koll..

Men återigen: MFA är inte en teknik, och alla sätt att implementera MFA kan inte rättvist dras över samma kam.
Om jag har en SFTP-server som kräver både användarnamn+lösenord samt en korrekt ssh-nyckel för att släppa in användare, så ser angreppsprofilen på den helt annorlunda ut än om jag har en "vanlig" kombination av användarnamn och lösenord + TOTP-kod på en webbsite, vilken i sin tur har olika angreppsprofiler beroende på hur TOTP-koden lagras hos användaren. Båda dessa uppför sig i sin tur helt annorlunda än Passkeys, men har mycket gemensamt med en webbtjänst som kräver tvåvägsvalidering av server- och klientcertifikat i tillägg till användarnamn och lösenord. I denna representativa men begränsade lista av tillämpningar av MFA, var är MFA och inte människan den svagaste länken?

Packar ihop dessa två i ett svar:
För ett par år sedan var det stor uppståndelse runt ett antal personer i USA som fått sina iCloud-konton knäckta efter att ligor satt i system att "bli kompisar" med ett offer på en fest, en brottsling lånade telefonen för att ta en gruppbild, och vid tillbakalämning låste telefonen för att den skulle kräva manuell inloggning. Under tiden höll sig deras kumpan bakom offret för att se vilken kod de knappade in när de sedan försökte logga in på telefonen igen. Poängen här var att man utnyttjade naivitet och överförfriskning för att underlätta ett arbete som annars hade varit betydligt svårare.

Men om biometrisk säkerhet är "bra" beror ju helt på systemet som används för biometrisk validering. Första generationen av Apples TouchID knäcktes väldigt snabbt, men krävde den sorts motivation du pratar om här: Någon som är beredd att pudra, fotografera och modellera fingeravtryck à la Mission:Impossible. Tittar du på modern FaceID har angriparens arbetsinsats ökat rejält. Oavsett detta skulle jag påstå att en biometrisk faktor vid autentisering ökar de facto-säkerheten för majoriteten användare, därför att den underlättar för dem att ha någon som helst säkerhet, samtidigt som moderna och väldesignade implementationer i praktiken kräver en riktad, personlig attack för att man ska kunna knäcka dem, och då är vi snabbt inne på högre straffskalor; grejer som olaga tvång eller människorov.

Men personer som vet med sig att de lever under hot från statliga aktörer uppmanas att inte använda biometrisk data för att logga in; inte minst för att exempelvis USA gjort tolkningen att det står dig fritt att inte avslöja något som finns i ditt huvud (ett lösenord), men du kan i många fall tvingas ställa ett finger eller ditt ansikte, vilka båda är offentligt synliga, till förfogande. Men om du vet att du har en amerikansk trebokstavsmyndighet efter dig, eller att du blåst maffian på alldeles för mycket stålar, så hoppas jag att du också är bra på att bedöma din operationella säkerhet kontra din hotbild.

Här ser jag inte riktigt kopplingen till vad vi pratade om, men förtydliga gärna.