Odebíráme hesla z účtů Microsoft

Blog

 
 Jan Žák

O možnostech, výhodách i omezeních přihlašování bez hesel (passwordless) jsme toho na našem blogu publikovali už mnohé. Dnes volně navážeme na článek Na jaře 2021 bez hesel, ve kterém jsme popisovali mimo jiné čtvrtou fázi procesu vedoucímu ke konečnému odebírání hesel uživatelských účtů.

Sice se zpožděním, ale přece. Tato funkce je již pro účty Microsoft dostupná (tedy, abychom byli přesnější, prozatím jen pro účty osobní).

Něco takového chce jistou dávku odvahy, která nám v KPCS naštěstí nechybí. Takže já už mám samozřejmě nastaveno. O své zkušenosti se s Vámi samozřejmě podělím.

Aktivujeme

Hned po přihlášení do příslušné sekce nastavení zabezpečení se zastydím. Poslední změna hesla v roce 2009? Nejvyšší čas kliknout na odkaz pro aktivaci passwordless.

img

Další krok ověří, zda máte aktivní a funkční Microsoft Authenticator.

Obsah obrázku text Popis byl vytvořen automatickyObsah obrázku text Popis byl vytvořen automaticky

Pokud ověření proběhne, vše je vlastně hotovo a okamžitě obdržíte potvrzení o úspěšném odebrání hesla z vašeho účtu (SMS zprávou, emailem i přímo na obrazovce počítače).

Obsah obrázku text Popis byl vytvořen automaticky

Stav passwordless se změnil na zapnuto, a ta kompromitující informace o aktivním heslu zmizela.

Obsah obrázku text Popis byl vytvořen automaticky

img

Od tohoto okamžiku už by většina přihlašovacích dialogů měla vypadat nějak takto.

Obsah obrázku text Popis byl vytvořen automaticky

To samozřejmě vylučuje přihlašování z aplikací, které nepodporují moderní přihlašování.

V nápovědě se dozvídáme, že takový způsob přihlašování nebude fungovat například na Xbox 360, Office 2010 nebo starší, Office pro Mac 2011 nebo starší, IMAP a POP, Windows 8.1 nebo starší a v dalších službách jako je vzdálená plocha, správce přihlašovacích údajů, plánovače úloh a příkazový řádek.

Obnovujeme

Nápověda není nic pro odvážné pionýry, my se rovnou vrhneme na simulaci operace „utopený telefon“. A také chceme vědět, co případně musí získat útočník pokoušející se přihlásit cizím účtem.

U nového přihlášení tedy použijeme odkaz pro získání přístupu bez aplikace Microsoft Authenticator.

Zde se potenciální útočník dozví, že mám registrované doplňující emaily (včetně poskytovatele).

Obsah obrázku text Popis byl vytvořen automaticky

Nedozví se ale kompletní emailovou adresu, prvním krokem je tedy doplnění úplné emailové adresy před odesláním potvrzovacího kódu.

Obsah obrázku text Popis byl vytvořen automatickyimg

Dvoufaktorové ověřování je stále aktivní, po úspěšném odeslání prvního kódu je potřeba odeslat ještě jeden. Buď z druhého emailu, nebo z SMS zprávy (zde je potřeba pro změnu zadat poslední čtyři číslice telefonního čísla mobilního telefonu).

Obsah obrázku text Popis byl vytvořen automaticky

A tady se zastavím. Odemknutý telefon s nakonfigurovaným poštovním klientem bude to typické slabé místo. Chvilka nepozornosti v restauraci se pak pro uživatele může změnit v opravdu vážný problém.

Další zajímavé otázky ke zvážení jsou například

  • Když nemám aktivní vícefaktorové přihlašování do alternativních emailů, je můj Microsoft účet stále dostatečně bezpečný?
  • Když mám aktivní vícefaktorové přihlašování do alternativních emailů, jak se k nim mohu přihlásit pro opětovné získání přístupu k účtu Microsoft?
  • Je dobrý nápad mít jako telefonní číslo pro obnovení přístupu k účtu to, které používám ve svém hlavním mobilním telefonu?
  • … toto měl být pozitivně laděný článek, takže dál pokračujte prosím sami. Bezpečnost vašich dat si to zaslouží.

Po úspěšném dokončení procesu obnovy přístupu k účtu může být trochu zarážející nutnost nastavení nového hesla. Nakonec je to ale logické – měli jsme problém, a abychom mohli účet využívat dříve, než si vybereme a pořídíme výkonnější a blýskavější chytrý telefon, budeme mít k dispozici staré dobré heslo. Už víme, že jeho odebrání z účtu je otázkou několika málo minut.

Obsah obrázku text Popis byl vytvořen automatickyObsah obrázku text Popis byl vytvořen automaticky

Než se vrhnete do nastavování, respektive odebírání, seznam ověřovacích metod vašeho účtu by měl být delší než dvoupoložkový. Mohl (a měl) by vypadat například takto:

Obsah obrázku text Popis byl vytvořen automaticky

To je pro dnešek vše, už se samozřejmě nemůžeme dočkat na další vlnu passwordless zahrnující také pracovní a školní účty.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu