Microsoft låter användare ta bort vanliga lösenord

Permalänk
Medlem
Skrivet av evil penguin:

Jag har nu experimenterat så långt att jag lagt in min Yubikey som ett inloggningsalternativ på Microsoftkontot, men om jag klickar på att ta bort lösenordet så får jag meddelandet att jag måste börja använda Microsoft Authenticator-appen. Så det verkar inte så enkelt att ducka den.

Eftersom jag använder deras Authenticator app vet jag inte om man kan köra helt utan den, men med det sagt är deras app toppen, och jag har inte behövt knappa in något lösenord på ettpar år redan (visst, det har hänt då och då, men i de flesta tillfällen sedan jag aktiverade tjänsten för flera år sedan dyker det bara upp en "Approve" / "Reject" ruta på mobilen som jag trycket på för att få tillgång på dator/xbox/azure osv).

Permalänk
Medlem
Skrivet av Fenrisulvfan:

Det är inte fel att ge folk alternativ, lösenord kommer dock finnas kvar länge.
BIO-data är lite för känsligt för att ge ut till stora företag.

Halva idén med passwordless är att bio-datan stannar på enheten, bio-datan används för att låsa upp den privata nyckel som även den aldrig lämnar enheten. Asymmetric auth med pub priv Keys.

Edit: asymmetric inte async 😀

Permalänk
Medlem
Skrivet av swehunter2000:

pin-kod och lösenord är fortfarande bara en faktor. vilket är lika dåligt som bara lösenord.

Problemet är inte att "hackare" byter ens lösenord, utan att dom ens kommer in till att börja med.

Pin räknas som 2fa, man behöver just den enheten det är uppsatt på för att komma in.

Permalänk
Medlem
Skrivet av Hamannoid:

Pin räknas som 2fa, man behöver just den enheten det är uppsatt på för att komma in.

pin och lösenord är båda under faktorn "något du vet" så om du har pin+ lösenord så har du inte 2fa.

https://en.wikipedia.org/wiki/Multi-factor_authentication#Fac...

Permalänk
Medlem

Så länge som ett vanligt hederligt lösenord finns kvar som alternativ, allra minst som backuplösning, så får de påstå och göra vad de vill.

Ett tillräckligt långt och jävligt lösenord som jag aldrig ändrar (för att jag kommer ihåg det) är perfekt för att ta mig in på datorn. Sen har jag ett annat tillräckligt långt och jävligt lösenord som jag heller aldrig ändrar till en lösenordshanterare, för alla andra konton. Behöver inte krångla till det mer än så (för det är precis vad jag tycker att icke-lösenordslösningar är: krångel, ta bara en sån sak som att försöka få en fingeravtrycksläsare att acceptera en fuktig eller lite skitig fingertopp; 5 försök och minst lika många svordomar senare och så måste man ändå fram med backuplösenordet för att fanskapet låst sig).

Men ja, jag kör 2FA med andOTP också (ett mycket gott oberoende alternativ till Googles vad-den-nu-heter), för de tjänster som kräver det. Osmidigt som attan (2FA i allmänhet alltså), men går att leva med.

Tillägg: Ok, en nackdel med långt och jävligt lösenord som man aldrig ändrar för att man kommer ihåg det; om någon gör en rejäl säkerhetsmässig fadäs som i slutändan leder till att alla på hela företaget man jobbar hos måste byta lösenord. Det tog ett halvår att lära mig mitt nya långa och jävliga lösenord utan att skriva fel och behöva tänka efter varje gång.

Permalänk
Medlem
Skrivet av swehunter2000:

pin och lösenord är båda under faktorn "något du vet" så om du har pin+ lösenord så har du inte 2fa.

https://en.wikipedia.org/wiki/Multi-factor_authentication#Fac...

Är helt med dig på det,

dock fungerar inte pin så i hello:
Pin "något du vet"
Enhet som pin är konfigurerad på "något du har"

Pin används inte för authN i denna lösning utan för att låsa upp en privat nyckel som finns på enheten som används för authN. Kommer pin på vift behöver du enheten, kommer enhet på vift behöver du pin.

Permalänk
Medlem
Skrivet av Hamannoid:

Är helt med dig på det,

dock fungerar inte pin så i hello:
Pin "något du vet"
Enhet som pin är konfigurerad på "något du har"

Pin används inte för authN i denna lösning utan för att låsa upp en privat nyckel som finns på enheten som används för authN. Kommer pin på vift behöver du enheten, kommer enhet på vift behöver du pin.

Datorn i sig är inte en del av 2-faktor. Det är som att påstå att en dörr med kodlås har tvåfaktor. Har du tagit dig igenom kodlåset är ju dörren upplåst.

Om någon snor datorn av dig behöver dom bara ta sig igenom pin-koden.

om du har riktig två-faktor så behöver dom datorn, pin-koden och tex din telefon om du kör med TOTP.

Permalänk
Medlem
Skrivet av swehunter2000:

Datorn i sig är inte en del av 2-faktor. Det är som att påstå att en dörr med kodlås har tvåfaktor. Har du tagit dig igenom kodlåset är ju dörren upplåst.

Om någon snor datorn av dig behöver dom bara ta sig igenom pin-koden.

om du har riktig två-faktor så behöver dom datorn, pin-koden och tex din telefon om du kör med TOTP.

Sett till inloggning på datorn håller jag med dig, sett till inloggning på kontot kan man kanske se det på det andra viset.

Men ja, det är ett knepigt resonemang.

Permalänk
Medlem
Skrivet av swehunter2000:

Datorn i sig är inte en del av 2-faktor. Det är som att påstå att en dörr med kodlås har tvåfaktor. Har du tagit dig igenom kodlåset är ju dörren upplåst.

Om någon snor datorn av dig behöver dom bara ta sig igenom pin-koden.

om du har riktig två-faktor så behöver dom datorn, pin-koden och tex din telefon om du kör med TOTP.

Räknas fortfarande som 2fa för inlogg mot Microsoft kontot. Med bara lösen behöver du endast slå in det vart du än befinner dig i världen. Du behöver pin och enhet med hello dvs 2fa.

Men är med på ditt resonemang, ja det blir en faktor för att låsa upp just den enheten som är konfad med enbart pin. Kommer enheten på vift bör man genast stänga access mot kontot från den enheten.

Skall vi säga 1.5fa då? 😀

Kan tillägga med en hyfsad pin och tpm är det osannolikt att någon knäcker pin om de inte har vetskap om den.

Permalänk
Medlem
Skrivet av swehunter2000:

Datorn i sig är inte en del av 2-faktor. Det är som att påstå att en dörr med kodlås har tvåfaktor. Har du tagit dig igenom kodlåset är ju dörren upplåst.

Om någon snor datorn av dig behöver dom bara ta sig igenom pin-koden.

om du har riktig två-faktor så behöver dom datorn, pin-koden och tex din telefon om du kör med TOTP.

Nej, dator + pin är ju två faktorer. Behövs även en telefon börjar vi närma oss tre faktorer, men jag vet väldigt få situationer som både dator och telefon behövs samtidigt.

För att komma åt ett ms-konto brukar det ju gå från andra enheter än just användarens dator, det är då en telefon kan komma in i bilden

Permalänk
Medlem

Fundering kring Microsofts Authenticator-app. Vad om enheten som man har appen på tokdör? Blir man plötsligt utelåst från alla sina tjänster?

Permalänk
Medlem

Jag förstår poängen med två-faktor, men tycker själv att det är en aning omständligt. Dessutom tänker jag på alla äldre som tycker att sådant är krångligt. Själv använder jag PIN-kod, vilket fungerar kanon.

Permalänk
Medlem
Skrivet av medbor:

Nej, dator + pin är ju två faktorer. Behövs även en telefon börjar vi närma oss tre faktorer, men jag vet väldigt få situationer som både dator och telefon behövs samtidigt.

För att komma åt ett ms-konto brukar det ju gå från andra enheter än just användarens dator, det är då en telefon kan komma in i bilden

nej. det är som att säga att facebook konto + lösenord är 2 faktorer.

Skrivet av medbor:

Behövs även en telefon börjar vi närma oss tre faktorer

vilka 3 faktorer har du då?
datorn = konto (dvs det du försöker komma åt/skydda)
pin = Något du vet
telefonen = något du har

Permalänk
Medlem
Skrivet av swehunter2000:

nej. det är som att säga att facebook konto + lösenord är 2 faktorer.

vilka 3 faktorer har du då?
datorn = konto (dvs det du försöker komma åt/skydda)
pin = Något du vet
telefonen = något du har

Nu tror jag vi pratar om olika saker.

Om du menar att åtkomst till datorn är målet så är datorn helt klart en faktor, utan den blir det svårt.

Behövs datorn för att komma åt ett sekundärt system (kanske ett cert finns på den i dess TPM) så kan den vara en andra faktor till något annat

Många tvåfaktorsystem är precis två faktorer, som att komma åt en webb-mail kan kräva telefon med authenticator app och en betrodd enhet (eller valfri annan sekundär faktor). Lägger du till ett cert från en dators TPM blir det två saker du måste ha (telefon och dator) plus en tredje faktor kanske som skulle kunna vara pin eller biometrik eller en tredje betrodd enhet, sms etc...

Permalänk
Medlem
Skrivet av HappySatan:

Fundering kring Microsofts Authenticator-app. Vad om enheten som man har appen på tokdör? Blir man plötsligt utelåst från alla sina tjänster?

Kontot har en "recovery code" som du bör spara på något säkert ställe, den ska väl alltid fungera vad jag förstår.

Bortsett från denna så verkar det normalt bero på vad för verifieringssätt man har registrerade på kontot:
"If you lose access to your Microsoft Authenticator app, you can still access your Microsoft Account using an alternate recovery method like text message or a backup email address. If you have Two Step Verification turned on, you will need to have access to two recovery methods." (från https://support.microsoft.com/en-us/account-billing/strengthe... )
Känns inte jättebra att ha kvar sådana alternativ på sitt konto rent säkerhetsmässigt, men den möjligheten finns ju iaf.

Sedan så verkar det existera något slags generell "account recovery"-process som de hänvisar folk till när ingenting funkar, vilken också verkar rätt obehaglig att den existerar: https://account.live.com/acsr . Den skulle jag ju vilja veta om man kan välja bort, för den verkar ju minst sagt läskig.

Permalänk
Medlem
Skrivet av evil penguin:

Sett till inloggning på datorn håller jag med dig, sett till inloggning på kontot kan man kanske se det på det andra viset.

Men ja, det är ett knepigt resonemang.

Skrivet av swehunter2000:

nej. det är som att säga att facebook konto + lösenord är 2 faktorer.

vilka 3 faktorer har du då?
datorn = konto (dvs det du försöker komma åt/skydda)
pin = Något du vet
telefonen = något du har

Fast "datorn = konto" är ju inte sant. Kontot i detta sammanhang är ju ett konto i Microsofts internettjänster, ett konto som det även går att använda för att logga in i Windows på en dator som är konfigurerad för detta.

Sedan om det du menar är att det du bryr dig om är hur datorn är skyddad så är vi ju tillbaka i det jag noterade i tidigare inlägg (citerat ovan).

Permalänk
Medlem
Skrivet av evil penguin:

Sedan så verkar det existera något slags generell "account recovery"-process som de hänvisar folk till när ingenting funkar, vilken också verkar rätt obehaglig att den existerar: https://account.live.com/acsr . Den skulle jag ju vilja veta om man kan välja bort, för den verkar ju minst sagt läskig.

"Important: The account recovery form can only be used if two-step verification isn't turned on."
enligt https://support.microsoft.com/en-us/account-billing/help-with...

Så det låter ju bra på den punkten. Hade ju gärna sett en separat inställning för detta, men då finns det iaf något slags kontroll över denna bakväg.

Permalänk
Medlem
Skrivet av emigrating12:

Det står "då bra lösenord gärna ska vara komplexa och bytas regelbundet" i artikeln, varifrån kommer detta? Normalt brukar man säga att byta lösenord ofta/regelbundet/överhuvudtaget faktiskt sänker säkerheten.

(Sålänge man använder sig av bra, komplexa, långa lösenord som är specifika för _en_ tjänst vill säga)

Långa lösenord som byts ofta är säkra.

Men människor som behöver byta lösenord ofta kommer inte välja långa komplicerade lösenord.
Dom kommer välja något enkelt som går att komma ihåg. Tex Sommar2021, eller om det ska vara långt, Sommarsommar20212021.

Därav rekommendationen inte tvinga byten eftersom det uppmuntrar människan att välja ett enkelt mönster.

Men det är förståss inget som hindrar att det lösenordet inte heller är så svårgissat....Så därför är 2fa hett.

Permalänk
Medlem

Jag må använda mig utav en lösenordshanterare som skapar nya lösenord för varje sida. Men det blir nog svårare för hackare att ta sig till mitt hus, lyckas låsa upp min telefon, och sedan godkänna inloggningen.
Jag kommer aktivera detta på mitt konto! Hoppas fler företag följer i Microsofts spår

Permalänk
Medlem

Undrar hur mycket det sabbar möjligheten att logga in på äldre maskiner såsom en Xbox 360 till exempel.

Permalänk
Medlem

Kan se att det är användbart på Laptops, men på stationära så känns det värdelöst och irriterande då lösenords hanterar känns säkrare.
Har stängt av inloggning på min stationära, startar den via WoL och har låst in datorn i ett skåp.

Permalänk
Medlem

De gör det hela tiden svårare att undvika microsoft-kontot när man kör Windows.
Syftet är så klart att de vill sälja sina appar, inte att vi ska bli säkrare.

Permalänk
Medlem

"My mothers maiden name" är säkert nog för mig.

Permalänk
Medlem
Skrivet av henkiii:

Långa lösenord som byts ofta är säkra.

Men människor som behöver byta lösenord ofta kommer inte välja långa komplicerade lösenord.
Dom kommer välja något enkelt som går att komma ihåg. Tex Sommar2021, eller om det ska vara långt, Sommarsommar20212021.

Därav rekommendationen inte tvinga byten eftersom det uppmuntrar människan att välja ett enkelt mönster.

Men det är förståss inget som hindrar att det lösenordet inte heller är så svårgissat....Så därför är 2fa hett.

Jag förstår givetvis tankegången bakom lösenordsbyte var Nte dag, men precis som du säger leder det till att de väljer enklare lösenord, såsom abc123 och sommar2020 (jag har sett båda i bruk på stora multinationella företag), som sedan byts ut till 123abc och sommar2021 - vilket i tur leder till, som jag sa, att säkerheten sänks över det hela.

Jag vet inte hur det ser ut i Sverige, men i både England och USA har myndigheter gått ut och rekommenderat EMOT tvungna lösenordsbyten. UK kom med sina guidelines (https://www.ncsc.gov.uk/guidance/password-guidance-simplifyin...) 2015 medans USA hängde på året efter. Själv har jag följt ungefär samma tankegång sedan sent nittiotal och aldrig tvingat mina användare till byte (med mindre de slutar eller har en konsulenttjänst där olika personer kommer och går). Man ska givetvis inte hindra dem från att göra det heller. Därav min undran över att Microsoft skulle rekommenderat tvungna byten - då de också sagt att man inte bör tvunga användare på det sättet de sista ~10 åren.

Jag rekommenderar också LastPass till mina klienter vilket har gjort det hela ännu säkrare.

Med det sagt, så har jag som sagt inte knackat in något MSA lösenord på flera år redan och ju snabbare alla rullar ut liknande lösningar (eller, ännu bättre, vi får en global tjänst som alla kan använda sig av - SQRL kanske?) ju bättre.

Permalänk
Medlem
Skrivet av emigrating12:

Det står "då bra lösenord gärna ska vara komplexa och bytas regelbundet" i artikeln, varifrån kommer detta? Normalt brukar man säga att byta lösenord ofta/regelbundet/överhuvudtaget faktiskt sänker säkerheten.

(Sålänge man använder sig av bra, komplexa, långa lösenord som är specifika för _en_ tjänst vill säga)

Skrivet av emigrating12:

Jag förstår givetvis tankegången bakom lösenordsbyte var Nte dag, men precis som du säger leder det till att de väljer enklare lösenord, såsom abc123 och sommar2020 (jag har sett båda i bruk på stora multinationella företag), som sedan byts ut till 123abc och sommar2021 - vilket i tur leder till, som jag sa, att säkerheten sänks över det hela.

Jag vet inte hur det ser ut i Sverige, men i både England och USA har myndigheter gått ut och rekommenderat EMOT tvungna lösenordsbyten. UK kom med sina guidelines (https://www.ncsc.gov.uk/guidance/password-guidance-simplifyin...) 2015 medans USA hängde på året efter. Själv har jag följt ungefär samma tankegång sedan sent nittiotal och aldrig tvingat mina användare till byte (med mindre de slutar eller har en konsulenttjänst där olika personer kommer och går). Man ska givetvis inte hindra dem från att göra det heller. Därav min undran över att Microsoft skulle rekommenderat tvungna byten - då de också sagt att man inte bör tvunga användare på det sättet de sista ~10 åren.

Jag rekommenderar också LastPass till mina klienter vilket har gjort det hela ännu säkrare.

Med det sagt, så har jag som sagt inte knackat in något MSA lösenord på flera år redan och ju snabbare alla rullar ut liknande lösningar (eller, ännu bättre, vi får en global tjänst som alla kan använda sig av - SQRL kanske?) ju bättre.

Jag är inte alls övertygad att det här "We are expected to create complex and unique passwords, remember them, and change them frequently, but nobody likes doing that either." i den länkade artikeln verkligen ska ses som någon form av rekommendation.
Jag uppfattar det snarare som ett bittert konstaterande angående hur det brukar gå till ute i verkligheten, och dessutom då i kontexten av en artikel som avser att förklara hur förträffligt det är att inte använda lösenord öht.

Om man t.ex. läser https://docs.microsoft.com/en-us/microsoft-365/admin/misc/pas... (visserligen i sammanhanget Microsoft 365, men det var en artikel som var lätt att hitta där Microsoft ger uttryckliga rekommendationer om lösenord) så finner man istället:

"Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them. Check out Time to rethink mandatory password changes for more info."

Permalänk
Medlem
Skrivet av evil penguin:

Direkt från NCSC Password Policy Guidance dokumentet;

Citat:

Don't enforce regular password expiry
Regular password changing harms rather than improves security. Many systems will force users to change their password at regular intervals, typically every 30, 60 or 90 days. This imposes burdens on the user and there are costs associated with recovering accounts.

Forcing password expiry carries no real benefits because:

  • the user is likely to choose new passwords that are only minor variations of the old

  • resetting the password gives you no information about whether a compromise has occurred

  • an attacker with access to the account will probably also receive the request to reset the password

  • if compromised via insecure storage, the attacker will be able to find the new password in the same place

Instead of forcing expiry, you should counter the illicit use of compromised passwords by:

  • ensuring an effective movers/leavers process is in place

  • automatically locking out inactive accounts

  • monitoring logins for suspicious behaviour (such as unusual login times, logins using new devices)

Det är klart det är ju som en effekt av vad du säger, men det tar inte bort det faktum att de helt enkelt under större delen av de sista 10 åren helt enkelt rekommenderar emot tvunget byte.