V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sudoy
V2EX  ›  Windows

这属于微软安全漏洞吗?

  •  
  •   sudoy · 2023-07-15 11:49:33 +08:00 · 2866 次点击
    这是一个创建于 488 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先,我的微软账号开启了无密码登录,登录的时候需要在微软“Authenticator”上面点击一下批准即可登录。

    我在公司 PC 上面通过“邮件”应用程序登录过我个人的 outlook 邮箱账号,后来退出了,今天在这台电脑上的“邮件”应用程序里面,准备添加一个邮箱账户,发现他推荐我之前已经退出的个人邮箱账户,只需要点一下添加就能把我个人邮箱添加回到客户端,完全无需密码。然后我登录到 account.microsoft.com 把密码改了,再试一下依然可以直接添加,无需密码。这个属于安全漏洞吗?已经退出登录的邮箱,再次添加难道不应该要用“authenticator”验证批准一下吗?

    img01 img02 img03

    ----更新--- 我刚才想可能是因为开启了“无密码登录”的原因导致这个情况,然后我登录到微软账号网页版,准备关掉这个功能。令我震惊的是,“无密码登录”和“二次验证”都处于关闭状态!可是我明明平时登录都是通过微软的“Authenticator”验证器破准登录的。 img05

    8 条回复    2023-07-15 17:02:03 +08:00
    samohyes
        1
    samohyes  
       2023-07-15 12:03:35 +08:00
    你搜下微软的 bug bounty ,提交试试看,讲不定会给你不少的奖金。。。
    sudoy
        2
    sudoy  
    OP
       2023-07-15 12:12:19 +08:00
    @samohyes 搞定了,需要在“系统设置>>账户>>邮件和账户”那里把账号删除才可以
    SunsetShimmer
        3
    SunsetShimmer  
       2023-07-15 12:58:13 +08:00 via Android
    微软账号如果在系统级登录过,没有退出的情况下,其他需要微软账号的 App 可以直接用系统验证。
    NoOneNoBody
        4
    NoOneNoBody  
       2023-07-15 13:04:39 +08:00   ❤️ 3
    这种属于设备授权,是客户端首次获取授权时,记录了环境指纹,只要这个指纹不改变,则长期有效
    安全的做法不是在客户端删除帐号(#2 的做法),而是在服务端取消授权

    设备授权是目前比较通行的,有一定逻辑合理性,它还结合了“便利”,是否足够安全,各人理解不同
    我觉得一账通行多个服务的状况下,应该有个分级,主帐号更改安全设置的情况下,对部分重要服务自动撤销(需要重新授权)。现在没有使用这种操作,应该还是考虑了“便利”,如果服务很多,逐个重新授权的话用户会觉得厌烦,毕竟用户可以在更改的时候,同时设置撤销授权,把决定权交给用户,只是为数不少的人不知道,或者改密码时补一个提醒+设置跳转?

    以前一个时期,各大厂都有使用 app 密码方式,后来都取消了,以统一授权取代,似乎一致认为“不安全”,也可能获取环境指纹的技术更高了
    yinmin
        5
    yinmin  
       2023-07-15 16:12:12 +08:00
    @sudoy “邮件”应用程序退出帐户操作没有退干净。 你按照这个操作试试:
    Windows 设置 -> 帐户 -> 电子邮件和帐户,然后将“电子邮件、日历和联系人使用的帐户”、“其他应用使用的帐户”2 项都删除。 (你原来操作应该漏删了一个)
    jllove
        6
    jllove  
       2023-07-15 16:55:59 +08:00 via iPhone
    我估计还有很多人没有意识到这种统一授权方式
    sudoy
        7
    sudoy  
    OP
       2023-07-15 16:59:16 +08:00 via iPhone
    @SunsetShimmer
    @NoOneNoBody
    @yinmin
    @jllove 谢谢各位回复!看来是我对统一授权不熟悉,往后就知道了。
    documentzhangx66
        8
    documentzhangx66  
       2023-07-15 17:02:03 +08:00
    WEB 版 QQ 邮箱也有这个问题,通过手机 QQ 扫描登录 WEB 版 QQ 邮箱后,如果没有点击注销,直接关闭浏览器,下次打开浏览器时,会自动登录 QQ 邮箱。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1711 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 16:53 · PVG 00:53 · LAX 08:53 · JFK 11:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.