首先,我的微软账号开启了无密码登录,登录的时候需要在微软“Authenticator”上面点击一下批准即可登录。
我在公司 PC 上面通过“邮件”应用程序登录过我个人的 outlook 邮箱账号,后来退出了,今天在这台电脑上的“邮件”应用程序里面,准备添加一个邮箱账户,发现他推荐我之前已经退出的个人邮箱账户,只需要点一下添加就能把我个人邮箱添加回到客户端,完全无需密码。然后我登录到 account.microsoft.com 把密码改了,再试一下依然可以直接添加,无需密码。这个属于安全漏洞吗?已经退出登录的邮箱,再次添加难道不应该要用“authenticator”验证批准一下吗?
----更新--- 我刚才想可能是因为开启了“无密码登录”的原因导致这个情况,然后我登录到微软账号网页版,准备关掉这个功能。令我震惊的是,“无密码登录”和“二次验证”都处于关闭状态!可是我明明平时登录都是通过微软的“Authenticator”验证器破准登录的。
1
samohyes 2023-07-15 12:03:35 +08:00
你搜下微软的 bug bounty ,提交试试看,讲不定会给你不少的奖金。。。
|
3
SunsetShimmer 2023-07-15 12:58:13 +08:00 via Android
微软账号如果在系统级登录过,没有退出的情况下,其他需要微软账号的 App 可以直接用系统验证。
|
4
NoOneNoBody 2023-07-15 13:04:39 +08:00 3
这种属于设备授权,是客户端首次获取授权时,记录了环境指纹,只要这个指纹不改变,则长期有效
安全的做法不是在客户端删除帐号(#2 的做法),而是在服务端取消授权 设备授权是目前比较通行的,有一定逻辑合理性,它还结合了“便利”,是否足够安全,各人理解不同 我觉得一账通行多个服务的状况下,应该有个分级,主帐号更改安全设置的情况下,对部分重要服务自动撤销(需要重新授权)。现在没有使用这种操作,应该还是考虑了“便利”,如果服务很多,逐个重新授权的话用户会觉得厌烦,毕竟用户可以在更改的时候,同时设置撤销授权,把决定权交给用户,只是为数不少的人不知道,或者改密码时补一个提醒+设置跳转? 以前一个时期,各大厂都有使用 app 密码方式,后来都取消了,以统一授权取代,似乎一致认为“不安全”,也可能获取环境指纹的技术更高了 |
5
yinmin 2023-07-15 16:12:12 +08:00
@sudoy “邮件”应用程序退出帐户操作没有退干净。 你按照这个操作试试:
Windows 设置 -> 帐户 -> 电子邮件和帐户,然后将“电子邮件、日历和联系人使用的帐户”、“其他应用使用的帐户”2 项都删除。 (你原来操作应该漏删了一个) |
6
jllove 2023-07-15 16:55:59 +08:00 via iPhone
我估计还有很多人没有意识到这种统一授权方式
|
7
sudoy OP |
8
documentzhangx66 2023-07-15 17:02:03 +08:00
WEB 版 QQ 邮箱也有这个问题,通过手机 QQ 扫描登录 WEB 版 QQ 邮箱后,如果没有点击注销,直接关闭浏览器,下次打开浏览器时,会自动登录 QQ 邮箱。
|