Microsoft официально объявила, что новые учётные записи Microsoft будут создаваться без паролей. Это продолжение курса, начатого в Windows 11, на отказ от традиционных паролей в пользу более защищённых и «удобных» способов входа — PIN-кодов, биометрии и passkey. На первый взгляд — это шаг в сторону безопасности. Но в длительной перспективе изменения могут оказаться серьёзнее, чем кажутся на первый взгляд.

Немного истории

До появления Windows 8 единственным способом входа в систему была локальная учётная запись с традиционной парой логин-пароль. С появлением Microsoft Account пользователи получили возможность входа в систему через облачную учётную запись, к которой также привязаны другие сервисы компании. Впоследствии Microsoft стала активно продвигать использование облачных аккаунтов, ограничивая установку системы без них и постепенно вытесняя локальные учётные записи. Однако такой подход породил серьёзные риски: хэш пароля от Microsoft Account кэшировался на устройстве, что позволяло извлекать его и восстанавливать оригинальный пароль через офлайновую атаку. Это открывало доступ не только к содержимому конкретного компьютера, но и ко всем связанным с аккаунтом онлайновым сервисам, включая переписку, файлы и даже ключи восстановления BitLocker (напомним, они сохраняются в облачном хранилище по умолчанию).

В Windows 11 Microsoft изменила (точнее — добавила ещё одну) модель аутентификации. В ней появился новый тип учетных записей без пароля, в которых использовался PIN-код, защищённый TPM, или биометрические данные через Windows Hello. Также появилась возможность отключить возможность ввода пароля вообще, делая восстановление учётных данных с помощью офлайновой атаки невозможным. Такой режим включается по умолчанию при установке или переустановке Windows 11, но до сего момента для учётных записей Microsoft Account сохранялась возможность входа в аккаунт посредством логина и пароля. Вы находитесь здесь: нововведение в системе безопасности Microsoft отключает эту возможность для вновь создаваемых учётных записей и позволяет существующим пользователям вручную удалить пароль, что полностью исключает возможность входа в учётную запись по паре логин-пароль.

«По умолчанию» — не значит «для всех»

Ситуация с беспарольными учётными записями напоминает ситуацию с шифрованием системного диска BitLocker, о которой мы рассказали в статье Windows 11 24H2: шифрование BitLocker по умолчанию; нововведение актуально только для новых пользователей, которые создают учётную запись Microsoft Account. Уже существующие учётные записи остаются без изменений (хотя пользователи могут добровольно отказаться от пароля, удалив его вручную). Поэтому сейчас мы имеем дело с двумя параллельными реальностями:

• Старые учётные записи — по-прежнему используют пароль, а значит, следы его использования можно искать в системе. При этом вход в Windows может осуществляться как по паролю, так и без него (уже более трёх лет как пользователь может отключить в настройках возможность входа в систему по паролю), а для входа в учётную запись Microsoft через браузер можно воспользоваться как беспарольным способом (через приложение-аутентификатор; этот способ используется по умолчанию), так и по паролю.
• Новые учётные записи — по умолчанию не имеют пароля вообще, если пользователь не добавит его в процессе создания аккаунта вручную. Логин в Windows осуществляется через Windows Hello (PIN/биометрия), а зайти в учётную запись через браузер можно при помощи ключа доступа (Passkey).

Что используется вместо пароля?

На смену паролям приходят так называемые «ключи доступа» (Passkey). Ключ доступа — это цифровой сертификат, заменяющий пару из логина и пароля для удостоверения пользователя. Ключ доступа может храниться как в самой системе, так и на доверенном устройстве (например, на смартфоне) и/или в облаке (например, в iCloud Keychain). Таким образом, новый механизм аутентификации заменяет как концепцию «something you know» (то есть, пароль, известный только самому пользователю), так и концепцию двухфакторной аутентификации, комбинирующей факторы «something you know» и «something you have» (то есть, известный пользователю пароль, который нужно подтвердить при помощи доверенного устройства).

В этой связи возникает ряд вопросов. Насколько в действительности будет безопасна новая схема по сравнению с двухфакторной аутентификацией, если злоумышленнику для входа достаточно украсть только к ключ доступа (и не нужно знать пароля)? Насколько эта схема будет удобна пользователям, которым придётся изучать новую сложную концепцию? Наконец, что произойдёт, если пользователь утратит доступ к ключу? Пока мы не знаем ответов на эти вопросы.

Что изменится в плане цифровой криминалистики?

Последствия для цифровой криминалистики пока не ясны. С одной стороны, работать с учётными записями без паролей мы уже умеем: см. раздел «Разблокировка и конвертация учётных записей Windows 11 с авторизацией без пароля» в уже упомянутой выше статье. С другой — описанная технология не будет работать, если системный накопитель зашифрован BitLocker (именно такое поведение для новых установок Windows будет использоваться по умолчанию). С одной стороны — невозможно угадать или восстановить пароль, с другой — ключ доступа можно извлечь из доверенных устройств (например, из смартфона или другого компьютера, привязанного к той же учётной записи), после чего ни пароль, ни второй фактор аутентификации уже не понадобятся. Понятно одно: изменения будут накапливаться, и в скором времени экспертам придётся иметь дело с двумя разными типами учётных записей — с паролями и без них.