这属于微软安全漏洞吗?

2023-07-15 11:49:33 +08:00
 sudoy

首先,我的微软账号开启了无密码登录,登录的时候需要在微软“Authenticator”上面点击一下批准即可登录。

我在公司 PC 上面通过“邮件”应用程序登录过我个人的 outlook 邮箱账号,后来退出了,今天在这台电脑上的“邮件”应用程序里面,准备添加一个邮箱账户,发现他推荐我之前已经退出的个人邮箱账户,只需要点一下添加就能把我个人邮箱添加回到客户端,完全无需密码。然后我登录到 account.microsoft.com 把密码改了,再试一下依然可以直接添加,无需密码。这个属于安全漏洞吗?已经退出登录的邮箱,再次添加难道不应该要用“authenticator”验证批准一下吗?

----更新--- 我刚才想可能是因为开启了“无密码登录”的原因导致这个情况,然后我登录到微软账号网页版,准备关掉这个功能。令我震惊的是,“无密码登录”和“二次验证”都处于关闭状态!可是我明明平时登录都是通过微软的“Authenticator”验证器破准登录的。

2908 次点击
所在节点    Windows
8 条回复
samohyes
2023-07-15 12:03:35 +08:00
你搜下微软的 bug bounty ,提交试试看,讲不定会给你不少的奖金。。。
sudoy
2023-07-15 12:12:19 +08:00
@samohyes 搞定了,需要在“系统设置>>账户>>邮件和账户”那里把账号删除才可以
SunsetShimmer
2023-07-15 12:58:13 +08:00
微软账号如果在系统级登录过,没有退出的情况下,其他需要微软账号的 App 可以直接用系统验证。
NoOneNoBody
2023-07-15 13:04:39 +08:00
这种属于设备授权,是客户端首次获取授权时,记录了环境指纹,只要这个指纹不改变,则长期有效
安全的做法不是在客户端删除帐号(#2 的做法),而是在服务端取消授权

设备授权是目前比较通行的,有一定逻辑合理性,它还结合了“便利”,是否足够安全,各人理解不同
我觉得一账通行多个服务的状况下,应该有个分级,主帐号更改安全设置的情况下,对部分重要服务自动撤销(需要重新授权)。现在没有使用这种操作,应该还是考虑了“便利”,如果服务很多,逐个重新授权的话用户会觉得厌烦,毕竟用户可以在更改的时候,同时设置撤销授权,把决定权交给用户,只是为数不少的人不知道,或者改密码时补一个提醒+设置跳转?

以前一个时期,各大厂都有使用 app 密码方式,后来都取消了,以统一授权取代,似乎一致认为“不安全”,也可能获取环境指纹的技术更高了
yinmin
2023-07-15 16:12:12 +08:00
@sudoy “邮件”应用程序退出帐户操作没有退干净。 你按照这个操作试试:
Windows 设置 -> 帐户 -> 电子邮件和帐户,然后将“电子邮件、日历和联系人使用的帐户”、“其他应用使用的帐户”2 项都删除。 (你原来操作应该漏删了一个)
jllove
2023-07-15 16:55:59 +08:00
我估计还有很多人没有意识到这种统一授权方式
sudoy
2023-07-15 16:59:16 +08:00
@SunsetShimmer
@NoOneNoBody
@yinmin
@jllove 谢谢各位回复!看来是我对统一授权不熟悉,往后就知道了。
documentzhangx66
2023-07-15 17:02:03 +08:00
WEB 版 QQ 邮箱也有这个问题,通过手机 QQ 扫描登录 WEB 版 QQ 邮箱后,如果没有点击注销,直接关闭浏览器,下次打开浏览器时,会自动登录 QQ 邮箱。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/956959

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX