Da Windows 10 først dukket opp på scenen, tillot det allerede brukere å sette opp PIN-koder i stedet for passord. Den påloggingsmetoden pleide å være valgfri, men nå Microsoft har bestemt seg for å erstatte passord med PIN-koder.
Selskapet ønsker å riste opp med den neste versjonen av Windows 10, for tiden kjent som 20H1. Den siste oppdateringen er satt til å ankomme en gang i løpet av den neste måneden eller to, og har mange overraskende endringer på lager.
Det mest bemerkelsesverdige er Microsofts beslutning om å slutte med passord til fordel for PIN-koder. Men hva betyr det for Microsoft 10-brukere og sikkerhet generelt?
Hvorfor bytter Microsoft til PIN-koder?
Passord er en universell autentiseringsmetode. Du kan bruke passord for de fleste enheter, apper, nettsteder og programvare som Windows. Og likevel er ikke passord den sikreste metoden for autentisering. Noen ganger er de så enkle at man kan gjette dem. Hvis ikke, er det mange forskjellige måter å knekke passord på.
Hvis et passord blir kompromittert (noe som ofte er tilfellet takket være datainnbrudd), er flere enheter og kontoer i fare. Når det gjelder en Microsoft-konto, betyr det at angriperen har tilgang til alt som er knyttet til den kontoen. Som blant annet kan inneholde konfidensielle dokumenter, notater, apper, e-poster og kredittkortinformasjon.
I mellomtiden sikrer en PIN-kode kun enheten du bruker den på. Microsoft synkroniserer ikke PIN-koder på tvers av enheter, lagrer den ikke på serverne deres og sender den aldri over nettverkstilkoblingen. Dette er grunnen til at Microsoft valgte å gå med dette alternativet. Diana Huang, direktør for engineering for Windows-sikkerhet, forklarte det videre i dette innlegget.
Hun sa at passord er symmetriske nøkler, og "det er alltid en server som holder styr på passordet ditt eller den symmetriske nøkkelen." PIN-koder gir entropikryptering og forblir ikke på en server, men enheten i stedet.
Microsoft lagrer påloggings-PIN-koden lokalt på atamperebestandig TPM-brikke. De bruker robust kryptering for å sikre at den forblir stempelsikker. Hver gang du taster inn PIN-koden, salter TPM den for å lage en hash. Den kontrolleres deretter mot verdien som er lagret på enheten.
Foreløpig hashes også passord, men de er også enkle å knekke. Situasjonen er annerledes med PIN-koder, som dette Microsoft innlegg forklarer også i detalj.
Les mer: Microsoft er klar for en ny æra av Windows
Fordeler og ulemper ved å bruke en PIN-kode
PIN-koder er enkle, og de er ikke en ny form for autentisering. Selv måten Microsoft nå sikter på å bruke dem på er ikke en ny form for sikkerhet.
Mange hadde brukt PIN-koder før internett ble en daglig nødvendighet, og også etter det. Og etter all denne tiden er de fortsatt en sikker form for autentisering fordi:
- De lagres lokalt på enheten og overføres ikke online.
- PIN-koden støttes av maskinvarekryptering på enheter som har en TPM (Trusted Platform Module) chip installert.
Den viktigste fordelen med en PIN-kode er at ingen kan stjele den i et datainnbrudd. Skadelig programvare eller sprayangrep kan heller ikke skade dem. Selv om pinnen blir kompromittert, vil angriperen fortsatt ikke kunne gjøre noe med den med mindre de har tilgang til den enheten.
En av de eneste måtene noen kan få tilgang til en Windows-konto med en PIN-kode på, er hvis de ser noen skrive inn den og deretter stjele enheten.
I mellomtiden er det mulig og enkelt å stjele passord. Bedrifter lagrer dem på separate servere og sender dem over Internett. PIN-koder har ikke det problemet.
Når det er sagt, er det fortsatt ett stort forbehold til dette. Noen virus og skadelig programvare gi angriperne full tilgang til enheten. Så en hacker trenger ikke engang direkte tilgang til datamaskinen for å kompromittere den. Så selv om det nye Windows PIN-systemet er mye tryggere enn passord, ikke gjør feilen å tro at det er ufeilbarlig. En falsk følelse av sikkerhet skaper selvtilfredshet.
Selv om PIN-koder er sikrere, må Windows 10-brukere fortsatt være på vakt og beskytte enhetene sine mot angrep eller tyveri utenfor.
Les mer: Office 365 er nå Microsoft 365, med nye familie- og personlige planer
Ser fremtiden for passord dyster ut?
Ikke helt. Til tross for Microsofts innsats for å slippe passord, er de fortsatt den mest vanlige formen for autentisering. I hvert fall for nå. Andre autentiseringsmetoder som fingeravtrykk og ansiktsgjenkjenning kryper opp. Men de er fortsatt langt fra mainstream.
Så foreløpig, usikre eller ikke, forblir passord den øverste hunden for autentisering. Men det betyr ikke at folk ikke kan være trygge mens de bruker passord.
Bortsett fra massive datainnbrudd, kan mange klandre seg selv for å ha blitt hacket. Flertallet har forferdelige passordvaner, inkludert å bruke vanlige og enkle passord. Og selvfølgelig gjenbruker mange det samme passordet på alle kontoene sine.
Noen verktøy finnes og kan bidra til å lindre dette problemet. For eksempel, passordbehandlere la folk lage mange kompliserte passord uten å måtte huske noen av dem. De trenger bare å huske ett hovedpassord. Det løser allerede mange av problemene knyttet til passord.
Passordadministratorer til side, er det også viktig å følge grunnleggende cybersikkerhet praksis. Det er viktig å unngå trusler som phishing-angrep. Det er en annen populær metode som hackere bruker for å stjele passord.
Dessuten blir 2FA mer mainstream. Noen plattformer, for eksempel Yahoo, bruker allerede midlertidige passord i stedet for passord. Det garanterer at et kompromittert passord alene ikke gir nettkriminalitet enkel tilgang til kontoene.
PIN-koder kan være den nye fremtiden for Microsoft, men resten av verden er fortsatt veldig mye i "passord" leir. Så selv om overgangen til PIN-koder er uunngåelig på Windows, er passord fortsatt relevante, og det samme er de trygge passordvanene.
Konklusjon
Microsoft går snart over til obligatoriske PIN-koder for Windows, og det er en god ting. Å bruke en PIN-kode er en mye tryggere måte å sikre enheter og Microsoft-kontoer på. Når det er sagt, vil passord ikke forsvinne helt for resten av verden, selv om Windows-økosystemet bestemte seg for å gå videre uten dem.