По данным Windows Latest, Microsoft планирует отказаться от SMS-аутентификации для входа в локальные учётные записи, ссылаясь на её уязвимость для эксплуатации и мошенничества. Вместо этого Microsoft предлагает использовать ключи доступа (Passkeys), то есть встроенные средства защиты устройства: Face ID, отпечаток пальца или PIN-код и в конечном итоге отказаться от обычных паролей.

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

Больше кадров — больше лага: тестирование латентности с генерацией кадров DLSS и FSR

Компьютер месяца — май 2026 года

Источник изображения: unsplash.com

Текстовые сообщения оказались полезным способом добавить дополнительный уровень безопасности к входам в учётные записи, но они никогда не предназначались для этой цели. SMS-сообщения отправляются в открытом виде, что делает их уязвимым вектором для атак типа «человек посередине» и подмены номера.

«Microsoft стремится к повышению стандартов безопасности, и поэтому мы начнём постепенно отказываться от SMS как метода аутентификации и восстановления учётных записей для личных записей Microsoft, — говорится в официальном сообщении Microsoft. — SMS-аутентификация в настоящее время является одним из основных источников мошенничества, и, переходя на беспарольные учётные записи […] мы помогаем вам опережать развивающиеся угрозы, делая доступ к учётным записям проще и удобнее».

Passkeys — это более чистый и безопасный способ аутентификации, использующий локальную защиту дополнительного устройства или биометрические данные для подтверждения личности. При настройке пользователь можете использовать своё лицо, отпечаток пальца или локальный пароль/PIN-код. Эта информация никогда не покидает конкретное устройство, что делает практически невозможным её подделку третьей стороной.

Хотя метод аутентификации при помощи Passkeys более безопасен, при настройке новых ПК с Windows или временных виртуальных машин могут возникать сложности с вводом биометрических данных. В таких случаях SMS-сообщения кажутся пользователю более удобными, однако это удобство достигается ценой безопасности. В таких случаях предпочтительным методом является использование верифицированной записи электронной почты.

В Microsoft предупредили, что хакеры стали в массовом порядке использовать фишинговый комплект EvilTokens, позволяющий злоумышленникам осуществлять вход с использованием двухфакторной авторизации от имени своих жертв.

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

Больше кадров — больше лага: тестирование латентности с генерацией кадров DLSS и FSR

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

Компьютер месяца — май 2026 года

Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

Источник изображения: microsoft.com

«Мы продолжаем наблюдать высокую активность, ежедневно в затронутых окружениях происходят сотни взломов», — сообщили в компании. В огромных масштабах компрометируются принадлежащие организациям учётные записи — атака охватывает сотни обслуживаемых Microsoft организаций ежедневно. Виной всему фишинговый комплект EvilTokens, с февраля активно предлагаемый киберпреступниками как средство для доступа к системам Microsoft; в обозримом будущем, заявили его разработчики, он сможет также работать с сервисами Gmail и Okta.

Фишинговый сервис EvilTokens постоянно совершенствуется. Дошло до того, что вредоносная платформа отказалась от статических скриптов и перешла на инфраструктуру, управляемую искусственным интеллектом и включающую множество сквозных автоматических процессов. Эти меры позволяют обойти стандартный 15-минутный срок, в течение которого действуют коды авторизации. Надёжного средства защититься от фишинговой атаки нового поколения не существует, но в Microsoft перечислили меры, которые помогут сократить вероятность успешной атаки до минимума:

• разрешать ввод кодов авторизации только там, где это необходимо;
• обучать пользователей распространенным схемам фишинга;
• объяснить пользователям, что в запросах на вход должно чётко указываться приложение на аутентификацию;
• настроить политики защиты от фишинга;
• настроить средство Safelinks в Defender для Office 365;
• рассмотреть возможность повторной авторизации при подозрительных действиях;
• развернуть политику оценки рисков при входе в систему с использованием средств автоматизации;
• ужесточить политику входа с использованием Microsoft Entra ID.

Приложения для Android уже давно способны автоматически определять приходящие по SMS коды двухфакторной аутентификации и подставлять их в соответствующие поля при прохождении пользователем процесса авторизации. Однако при использовании Android-версии браузера Chrome проверочные коды всё ещё приходится вводить вручную, но в скором времени это изменится.

Больше кадров — больше лага: тестирование латентности с генерацией кадров DLSS и FSR

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

Компьютер месяца — май 2026 года

Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

Источник изображения: Jonas Leupe / Unsplash

По сообщениям сетевых источников, Google работает над реализацией функции распознавания одноразовых кодов из SMS и их последующего копирования в нужные формы на веб-сайтах. В подтверждение этого приводится скрин экрана, на котором данная опция может быть активирована.

Источник изображения: Leopeva64 / Reddit

Автоматическое обнаружение и заполнение одноразовых PIN-кодов (OTP) — полезная функция для Android-приложений, которая позволяет экономить время при авторизации. Вероятно, в случае с авторизацией на веб-сайтах она окажется столь же полезной и востребованной среди пользователей. Это будет особенно полезно для веб-ресурсов, у которых нет отдельного мобильного приложения, а также для людей, которые предпочитают использовать сайт какого-либо сервиса вместо того, чтобы устанавливать очередное приложение на свой смартфон.

Отмечается, что двухфакторная аутентификация с помощью кодов из SMS-сообщений считается менее безопасной, чем другие варианты, такие как использование специального приложения для генерации проверочных кодов. Тем не менее эта функция должна оказаться полезной для сайтов, на которых реализована поддержка двухфакторной аутентификации.

Всё больше россиян переходит на авторизацию в интернет-сервисах без паролей, отметил ресурс Forbes. По данным VK, в 2024 году число пользователей сервисов компании, предпочитающих беспарольные способы авторизации, включая вход по одноразовому коду, QR-коду, по лицу или же отпечатку пальца, выросло год к году на 30 % до 50 млн. Это составляет порядка 40 % всей аудитории VK ID, увеличившейся за год на 10 % до 126 млн человек.

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

Обзор Intel Core Ultra 7 270K Plus — лучший Arrow Lake за полцены

Компьютер месяца — май 2026 года

Больше кадров — больше лага: тестирование латентности с генерацией кадров DLSS и FSR

Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой

Источник изображения: Towfiqu barbhuiya/unsplash.com

Также выросло число пользователей VK ID, применяющих второй фактор авторизации — на 22 % за год, превысив 21 млн человек. Кроме того, более 20 тыс. партнёров компании интегрировали VK ID в качестве способа авторизации на сайтах и в приложениях.

Аналогичная тенденция наблюдается у «Яндекса», сообщившего, что количество пользователей, предпочитающих беспарольные способы входа через «Яндекс ID», выросло в 2024 году в 1,5 раза.

В МТС ID по умолчанию используется для входа одноразовый код из SMS, сообщили в компании. Количество зарегистрированных аккаунтов в МТС ID в 2024 году увеличилось на 20 %, превысив 120,6 млн.

Как сообщил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, несмотря на тренд по переходу на беспарольные способы идентификации, говорить о полном отказе от паролей не приходится, поскольку имеется немало устаревших устройств (например, банкоматы) или технологий (Wi-Fi или Bluetooth), в которых заложена возможность входа только по паролю/PIN-коду. Он также отметил, что вход по биометрии (отпечатку пальца или лицу) нельзя назвать безопасным в долгосрочной перспективе из-за риска утечки баз данных.

Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров считает более безопасным способом для входа двухфакторную аутентификацию. А наиболее защищённым на сегодняшний день способом он назвал приложение для аутентификации (генерирует код, который используется в дополнение к электронной почте и паролю для подтверждения личности). «Если использовать специальное приложение, то при перевыпуске SIM-карты злоумышленник не сможет получить личные данные пользователя. А взломать мобильное приложение достаточно сложно. Как раз такие приложения-аутентификаторы и должны в конечном итоге заменить классические методы, приемы двухфакторной аутентификации и подтверждения входа как наиболее надёжные», — считает эксперт.