O možnostech, výhodách i omezeních přihlašování bez hesel (passwordless) jsme toho na našem blogu publikovali už mnohé.
Dnes volně navážeme na článek Na jaře 2021 bez hesel, ve kterém jsme popisovali mimo jiné čtvrtou fázi procesu vedoucímu ke konečnému odebírání hesel uživatelských účtů.
Sice se zpožděním, ale přece. Tato funkce je již pro účty Microsoft dostupná (tedy, abychom byli přesnější, prozatím jen pro účty osobní).
Něco takového chce jistou dávku odvahy, která nám v KPCS naštěstí nechybí. Takže já už mám samozřejmě nastaveno. O své zkušenosti se s Vámi samozřejmě podělím.
Aktivujeme
Hned po přihlášení do příslušné sekce nastavení zabezpečení se zastydím. Poslední změna hesla v roce 2009? Nejvyšší čas kliknout na odkaz pro aktivaci passwordless.
Další krok ověří, zda máte aktivní a funkční Microsoft Authenticator.
Pokud ověření proběhne, vše je vlastně hotovo a okamžitě obdržíte potvrzení o úspěšném odebrání hesla z vašeho účtu (SMS zprávou, emailem i přímo na obrazovce počítače).
Stav passwordless se změnil na zapnuto, a ta kompromitující informace o aktivním heslu zmizela.
Od tohoto okamžiku už by většina přihlašovacích dialogů měla vypadat nějak takto.
To samozřejmě vylučuje přihlašování z aplikací, které nepodporují moderní přihlašování.
V nápovědě se dozvídáme, že takový způsob přihlašování nebude fungovat například na Xbox 360, Office 2010 nebo starší, Office pro Mac 2011 nebo starší, IMAP a POP, Windows 8.1 nebo starší a v dalších službách jako je vzdálená plocha, správce přihlašovacích údajů, plánovače úloh a příkazový řádek.
Obnovujeme
Nápověda není nic pro odvážné pionýry, my se rovnou vrhneme na simulaci operace „utopený telefon“. A také chceme vědět, co případně musí získat útočník pokoušející se přihlásit cizím účtem.
U nového přihlášení tedy použijeme odkaz pro získání přístupu bez aplikace Microsoft Authenticator.
Zde se potenciální útočník dozví, že mám registrované doplňující emaily (včetně poskytovatele).
Nedozví se ale kompletní emailovou adresu, prvním krokem je tedy doplnění úplné emailové adresy před odesláním potvrzovacího kódu.
Dvoufaktorové ověřování je stále aktivní, po úspěšném odeslání prvního kódu je potřeba odeslat ještě jeden. Buď z druhého emailu, nebo z SMS zprávy (zde je potřeba pro změnu zadat poslední čtyři číslice telefonního čísla mobilního telefonu).
A tady se zastavím. Odemknutý telefon s nakonfigurovaným poštovním klientem bude to typické slabé místo. Chvilka nepozornosti v restauraci se pak pro uživatele může změnit v opravdu vážný problém.
Další zajímavé otázky ke zvážení jsou například
- Když nemám aktivní vícefaktorové přihlašování do alternativních emailů, je můj Microsoft účet stále dostatečně bezpečný?
- Když mám aktivní vícefaktorové přihlašování do alternativních emailů, jak se k nim mohu přihlásit pro opětovné získání přístupu k účtu Microsoft?
- Je dobrý nápad mít jako telefonní číslo pro obnovení přístupu k účtu to, které používám ve svém hlavním mobilním telefonu?
- … toto měl být pozitivně laděný článek, takže dál pokračujte prosím sami. Bezpečnost vašich dat si to zaslouží.
Po úspěšném dokončení procesu obnovy přístupu k účtu může být trochu zarážející nutnost nastavení nového hesla. Nakonec je to ale logické – měli jsme problém, a abychom mohli účet využívat dříve, než si vybereme a pořídíme výkonnější a blýskavější chytrý telefon, budeme mít k dispozici staré dobré heslo. Už víme, že jeho odebrání z účtu je otázkou několika málo minut.
Než se vrhnete do nastavování, respektive odebírání, seznam ověřovacích metod vašeho účtu by měl být delší než dvoupoložkový. Mohl (a měl) by vypadat například takto:
To je pro dnešek vše, už se samozřejmě nemůžeme dočkat na další vlnu passwordless zahrnující také pracovní a školní účty.
