Microsoft låter användare ta bort vanliga lösenord

pin och lösenord är båda under faktorn "något du vet" så om du har pin+ lösenord så har du inte 2fa.

https://en.wikipedia.org/wiki/Multi-factor_authentication#Fac...

Så länge som ett vanligt hederligt lösenord finns kvar som alternativ, allra minst som backuplösning, så får de påstå och göra vad de vill.

Ett tillräckligt långt och jävligt lösenord som jag aldrig ändrar (för att jag kommer ihåg det) är perfekt för att ta mig in på datorn. Sen har jag ett annat tillräckligt långt och jävligt lösenord som jag heller aldrig ändrar till en lösenordshanterare, för alla andra konton. Behöver inte krångla till det mer än så (för det är precis vad jag tycker att icke-lösenordslösningar är: krångel, ta bara en sån sak som att försöka få en fingeravtrycksläsare att acceptera en fuktig eller lite skitig fingertopp; 5 försök och minst lika många svordomar senare och så måste man ändå fram med backuplösenordet för att fanskapet låst sig).

Men ja, jag kör 2FA med andOTP också (ett mycket gott oberoende alternativ till Googles vad-den-nu-heter), för de tjänster som kräver det. Osmidigt som attan (2FA i allmänhet alltså), men går att leva med.

Tillägg: Ok, en nackdel med långt och jävligt lösenord som man aldrig ändrar för att man kommer ihåg det; om någon gör en rejäl säkerhetsmässig fadäs som i slutändan leder till att alla på hela företaget man jobbar hos måste byta lösenord. Det tog ett halvår att lära mig mitt nya långa och jävliga lösenord utan att skriva fel och behöva tänka efter varje gång.

Datorn i sig är inte en del av 2-faktor. Det är som att påstå att en dörr med kodlås har tvåfaktor. Har du tagit dig igenom kodlåset är ju dörren upplåst.

Om någon snor datorn av dig behöver dom bara ta sig igenom pin-koden.

om du har riktig två-faktor så behöver dom datorn, pin-koden och tex din telefon om du kör med TOTP.

Sett till inloggning på datorn håller jag med dig, sett till inloggning på kontot kan man kanske se det på det andra viset.

Men ja, det är ett knepigt resonemang.

Nej, dator + pin är ju två faktorer. Behövs även en telefon börjar vi närma oss tre faktorer, men jag vet väldigt få situationer som både dator och telefon behövs samtidigt.

För att komma åt ett ms-konto brukar det ju gå från andra enheter än just användarens dator, det är då en telefon kan komma in i bilden

Fundering kring Microsofts Authenticator-app. Vad om enheten som man har appen på tokdör? Blir man plötsligt utelåst från alla sina tjänster?

Jag förstår poängen med två-faktor, men tycker själv att det är en aning omständligt. Dessutom tänker jag på alla äldre som tycker att sådant är krångligt. Själv använder jag PIN-kod, vilket fungerar kanon.

nej. det är som att säga att facebook konto + lösenord är 2 faktorer.

vilka 3 faktorer har du då?
datorn = konto (dvs det du försöker komma åt/skydda)
pin = Något du vet
telefonen = något du har

Nu tror jag vi pratar om olika saker.

Om du menar att åtkomst till datorn är målet så är datorn helt klart en faktor, utan den blir det svårt.

Behövs datorn för att komma åt ett sekundärt system (kanske ett cert finns på den i dess TPM) så kan den vara en andra faktor till något annat

Många tvåfaktorsystem är precis två faktorer, som att komma åt en webb-mail kan kräva telefon med authenticator app och en betrodd enhet (eller valfri annan sekundär faktor). Lägger du till ett cert från en dators TPM blir det två saker du måste ha (telefon och dator) plus en tredje faktor kanske som skulle kunna vara pin eller biometrik eller en tredje betrodd enhet, sms etc...

Kontot har en "recovery code" som du bör spara på något säkert ställe, den ska väl alltid fungera vad jag förstår.

Bortsett från denna så verkar det normalt bero på vad för verifieringssätt man har registrerade på kontot:
"If you lose access to your Microsoft Authenticator app, you can still access your Microsoft Account using an alternate recovery method like text message or a backup email address. If you have Two Step Verification turned on, you will need to have access to two recovery methods." (från https://support.microsoft.com/en-us/account-billing/strengthe... )
Känns inte jättebra att ha kvar sådana alternativ på sitt konto rent säkerhetsmässigt, men den möjligheten finns ju iaf.

Sedan så verkar det existera något slags generell "account recovery"-process som de hänvisar folk till när ingenting funkar, vilken också verkar rätt obehaglig att den existerar: https://account.live.com/acsr . Den skulle jag ju vilja veta om man kan välja bort, för den verkar ju minst sagt läskig.

Fast "datorn = konto" är ju inte sant. Kontot i detta sammanhang är ju ett konto i Microsofts internettjänster, ett konto som det även går att använda för att logga in i Windows på en dator som är konfigurerad för detta.

Sedan om det du menar är att det du bryr dig om är hur datorn är skyddad så är vi ju tillbaka i det jag noterade i tidigare inlägg (citerat ovan).

"Important: The account recovery form can only be used if two-step verification isn't turned on."
enligt https://support.microsoft.com/en-us/account-billing/help-with...

Så det låter ju bra på den punkten. Hade ju gärna sett en separat inställning för detta, men då finns det iaf något slags kontroll över denna bakväg.

Långa lösenord som byts ofta är säkra.

Men människor som behöver byta lösenord ofta kommer inte välja långa komplicerade lösenord.
Dom kommer välja något enkelt som går att komma ihåg. Tex Sommar2021, eller om det ska vara långt, Sommarsommar20212021.

Därav rekommendationen inte tvinga byten eftersom det uppmuntrar människan att välja ett enkelt mönster.

Men det är förståss inget som hindrar att det lösenordet inte heller är så svårgissat....Så därför är 2fa hett.

Undrar hur mycket det sabbar möjligheten att logga in på äldre maskiner såsom en Xbox 360 till exempel.

De gör det hela tiden svårare att undvika microsoft-kontot när man kör Windows.
Syftet är så klart att de vill sälja sina appar, inte att vi ska bli säkrare.

"My mothers maiden name" är säkert nog för mig.

Jag är inte alls övertygad att det här "We are expected to create complex and unique passwords, remember them, and change them frequently, but nobody likes doing that either." i den länkade artikeln verkligen ska ses som någon form av rekommendation.
Jag uppfattar det snarare som ett bittert konstaterande angående hur det brukar gå till ute i verkligheten, och dessutom då i kontexten av en artikel som avser att förklara hur förträffligt det är att inte använda lösenord öht.

Om man t.ex. läser https://docs.microsoft.com/en-us/microsoft-365/admin/misc/pas... (visserligen i sammanhanget Microsoft 365, men det var en artikel som var lätt att hitta där Microsoft ger uttryckliga rekommendationer om lösenord) så finner man istället:

"Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them. Check out Time to rethink mandatory password changes for more info."