Názory k článku
Microsoft bude mít nové účty bez hesla

Admin vo vasej domene to vie vypnut. Ma styri moznosti: sms, hovor, push notifikacia (to je authenticator-only) alebo kod z aplikacie (tam pouzivatel vie nastavit akukolvek totp). By default su vsetky 4 povolene.

https://learn.microsoft.com/sk-sk/entra/identity/authentication/howto-mfa-mfasettings#verification-methods

Nas admin nevi nic. Kdyz jsem prisel s timhle problemem, tak po tydnu jen pokrcil rameny. A pochybuju ze by jen pro mne specielne to nastavil jinak nez pro jine kolegy, to by znamenalo praci navic.

Nastavit další možnosti v tomto případě nestačí.
Doménový admin musí ještě deaktivovat kampaň, jejímž účelem je dotlačit uživatele k instalaci Authenticatoru, jinak už po 3 použitích nemá na výběr:

https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-mfa-registration-campaign#enable-the-registration-campaign-policy-using-the-microsoft-entra-admin-center

To ale nemusi byt adminem, ale tim ze je to MS. U nich nefunguje vubec nic a vubec nikdy. Chces treba takovou blbost jako z gpo dat userum do scheduleru task ... tak to taky nefunguje. A to ses na tom jeste dobre, protoze spousta veci se chova tak, ze kazdymu userovi funguje jinak a s bonusem jak kdy.

Napises si script, otestujes ho ... a za 14 dnu ti na 1/2 stroju nefunguje vubec a na druhy tak nejak sem tam. A takhle je to u nich se vsim. Takze osobne se primarne zaobiram tim, vsechny tyhle frikulinksy hovadarny pozakazovat (coz casto nejde).

Ono to klidně může být zapamatovatelné heslo, které z hlavy zašifrujete nějakou snadno spočitatelnou metodou. (Tedy: spíše obfuskujete.)
Například Césarova šifra je na to šikovná...

Čímž nechci ani naznačit, že jiné přihlašovací metody nejsou často mnohem lepší!

Nemůže. Heslo je jenom tak dobré, kolik je v něm entropie. A v tom vašem zas tolik entropie není. To vaše heslo je ve skutečnosti tajné jenom tím, že tajíte algoritmus, jakým ho odvozujete. Tedy klasická security through obsurity. O které je všeobecně známo, že to není dobrý způsob zabezpečení. Pokud by se na vás někdo zaměřil, pravděpodobně mu nedá tolik práce ten algoritmus zjistit.

Navíc teda něco šifrovat z hlavy Caesarovou šifrou není moc pohodlné. Já nadávám, když někde musím bezpečné heslo opsat, a vy byste chtěl, abych si ho pamatoval a pak ještě transponoval…

Máte pravdu, že entropie se tím nezvýší, ale to v podstatě platí i pro oblíbené vezměte větu o patnácti slovech a z každého vyberte jedeno písmeno a trochu to poměňte - tady sice entropii trochu zvednete, ale pokud se na daného člověka zaměříte...
Nicméně se poměrně dost zvýší odolnost takového hesla proti běžným brute force útokům, ať už vylepšených slovníkovou metodou či tzv. rainbow tables - prostě proto, že se s tím (zatím?) při počítání nepočítá. Proti těmto vylepšením je prostě trochu zodolněné.

Otázka cviku. Ale posunout se v abecedě o pár znaků vpřed/vzad se nechá nacvičit...
Pokud to heslo opisujete, pravděpodobně už není bezpečné. ;oD

Máte pravdu, že entropie se tím nezvýší, ale to v podstatě platí i pro oblíbené vezměte větu o patnácti slovech a z každého vyberte jedeno písmeno a trochu to poměňte - tady sice entropii trochu zvednete, ale pokud se na daného člověka zaměříte...
Nevím, oproti čemu tu entropii zvedáte. Každopádně tohle je způsob, jak vytvořit patnáctiznakové heslo, přičemž pravděpodobnost jednotlivých znaků není stejná, ale odpovídá pravděpodobnosti, že se dané písmeno vyskytne na začátku slova. Tj. heslo zdaleka není tak silné, jako patnáctiznakové náhodné heslo, ale entropie je tam mnohem víc, než v tom vašem řešení.

Tady po sobě můžeme házet matematickými vzorci, ale zbytečně - já už uznal, že Césarova šifra tu entropii příliš nemění.
A z těch slov nemusíte nutně brát první písmeno - pak měníte nejen entropii, ale i ta síla hesla se může zvednout. Stačí první písmeno z prvního slova, druhé z druhého... - a hned je to na konstrukci stejně složité, jako César. ;oD

Při lámání hesel se tak trochu počítá s tím, který znak se obvykle vyskytuje na které pozici, případně jaký následuje znak po znaku... Máte-li předpočítané tabulky, pak to obyčejné +1 dost podstatně naruší. (Nicméně: pokud si ty statistiky počítáte znova...)

Takže v nejhorším případě je to přinejmenším stejně dobré jako nejlepší varianta s heslem, spíš pořád lepší (protože cílová služba ke které se hlásím nemůže uložit heslo v plaintextu, a nedá se bruteforcnout pokud nemám v ruce hardware s klíčem)

3. 5. 2025, 10:20 editováno autorem komentáře

Jenže tady ten hardware s klíčem reálně mít budete, protože tím je TPM chip na desce toho PC, kam se hlásíte.
Alternativou může být nějaký USB token, čipová karta... - ale to je pro běžné zabezpečení PC, na kterém se střídá několik členů domácnosti, poněkud nepohodlné. (Každý musí mít svůj klíč, musí hledat přípojný bod...)

Vzhledem k tomu, že je řeč o Microsoft účtech obyčejných uživatelů, kde nemalé množství má na počítači Home variantu, připadá mi to jako příliš velký kanón na vrabčáka. Spousta těch uživatelů je nedisciplinovaných, všechny účty jsou administrátorské (protože jinak se na tom nedá pracovat), a hesla krátká, pokud vůbec jaká.
Použít k uložení bezpečnostního tokenu TPM v PC a k tomu se hlásit jménem/heslem, to je vcelku přímočaré a jednoduché řešení. (Mnohem lepší, než heslo/hash v plaintextu někde na dobře známém místě v systému).
Ale nutit uživatele k používání tokenů/aplika­cí/složitější biometrie, apod. povede jen k tomu, že se to drtivá většina z nich - v zájmu vlastního pohodlí - naučí obcházet.

Jeden příklad z praxe: uživatel používá přehrávač médií, který Windows neznají, takže po nastavené době zhasnou obrazovku (což se naučily samy, při poslední aktualizaci...). Protože uživatel nechce zadávat heslo, a protože neumí nastavit bez hesla pouze lockscreen, prostě nastaví účet bez hesla, aby stačilo ťuknout do myši. Windows Home, administrátorský účet.

Ano, proto říkám že přinejhorším je to o "jen" o něco lepší než heslo. On ten passkey třeba v případě Windows slouží i k přístupu na MS účet, na který už se bez HW zkoušet přihlásit dá.

Navíc je ten passkey v TPM použitelný I na jiné aplikace.

Btw, Windows si pokud vím by default při tvorbě účtu řekne vedle hesla k MS účtu i o nastavení nějakého krátkého lokálního pinu.

Přesně tak: ve Windows lze zvolit PIN, kterým se zpřístupní přihlašování skrzevá TPM - a efektivně obejde systém jméno/heslo.
Jenže: ten PIN je (z pohledu obyčejného uživatele) jen krátké heslo...

ad. jeden příklad z praxe - no ono hlavně mě připadá po home uživateli - BFU by default vyžadovat jakékoli přihlašování asi jako chtít, aby zamykal koupelnu a kuchyň.

Stejně by mě zajímalo, jaký podraz je za touhle akcí skrytý, to, že je to míněno primárně pro vlastní bezpečí BFU bych nevěřil ani před 30 lety, natož teď.

Ten podraz spočívá v tom, že místo do počítače se hlásíte k Microsoftu.
Takže reálně je dobré, aby to bylo trochu bezpečné - a přitom domácí uživatelé, když to necháte na nich, budou mít všechny účty administrátorské a zcela bez hesla, protože to je jediné, co jim funguje a vyhovuje.
Od chvíle, kdy to není jen lokální účet na jednom počítači (nebo na několika počítačích v domácnosti), je nějaké lepší zabezpečení namístě. Klidně by to mohlo být jméno/heslo do systému a pak nějaká peněženka (Passkey...) na to ostatní, integrovaná přímo v systému.
Jenže MS si žádá, aby se uživatel primárně přihlásil k Microsoftu (cloudu, O365...), a pak teprve mu dovolí přístup k desktopu/systému... Proto takový důraz na dobré zabezpečení (prvního) přihlašování!

No právě. Ale já bych s dovolením nepřistoupil už na první premisu "hlášení se k Microsoftu", takže ve zbytku vidím jen další pokus o utáhnutí šroubů kontroly.

Jasně - taky mám Windows (Pro) s pouze lokálními účty. Zatím to lze. Zatím.
Právě u těch lokálních účtů nedává ověřování pomocí Passkey moc velký smysl. Evidentně je to opravdu jen další krok, jak dohnat uživatele na MS-účty a k předplatnému.
Trochu mi to připomnělo dobu, kdy jsem si koupil přehrávač Blue-Ray disků a pár prvních filmů. Celé jsem to doma nainstaloval, natahal kabely k šesti reproduktorům... - a u druhého disku zjistil, že bez připojení k Internetu si ty draze koupené disky na drahém zařízení prostě nepřehraju. Smůlou bylo, že v místě, kde jsem to nainstaloval, žádný přístup k internetu nebyl.
Už je to pěkných pár let, ale zdá se, že tyhle praktiky u velkých firem stále frčí.

Můžu se zeptat, proč se tomu všichni tak vyhýbáte? Jednak to vůbec nepotřebuje nonstop připojení na internet a přihlásit pinem i heslem jde i bez internetu. Do MS se posílá totéž co před tím, to znamená nic. OneDrive se sice instaluje automaticky, ale lze si zvolit syncované složky, případně prostě ukládat na disk X, který nebude v home.

Když jsem viděl poprvé, jak dobře funguje sync účtů na Windows 10 u kámoše, tak jsem si to doma na W11 Pro okamžitě zapnut. Od té doby mám na NTB i Desktopu totéž a změní se i obrázek na ploše (ne že by to byla nutnost), ale hlavně všechny appky ze store se nautomaticky nainstalují, což je super (třeba power shell a terminál a vs code). Takže výměna disku v NTB ze SSD na NVMe znamená čistá instalace W11 Pro, připojení na internet kdekoliv a jedno přihlášení heslem případně FA v telefonu. A do půl hodiny píšu v Code stejně jako doma, ssd hodím "do koše" a je to. Všechna hesla, všechny stránky v prohlížeči.

Chápu paranoiu, ale upřímně věříte, že kdyby vás chtěl někdo sledovat, tak by to dělal zrovna takto? Sync čehokoliv lze vypnout a že se to neodesílá někam ven se pozná wiresharkem / tcpdumpem na prvním routeru. Pro IT trivka na jedno odpoledne.

Takže nenutím, ale vyzkoušejte. I pro FreeBSD linuxáka je to pořád lepší, než kopírovat data z SSD na NVMe, správné pořadí partišen apod. Instalace na NVMe, šifrovaný disk, jedno dlouhé heslo / potvrzení 2FA a je to.

Chápu paranoiu, ale upřímně věříte, že kdyby vás chtěl někdo sledovat, tak by to dělal zrovna takto?

Souhlasím. Copilot je mnohem praktičnější nástroj ke šmírování.

Sync čehokoliv lze vypnout a že se to neodesílá někam ven se pozná wiresharkem / tcpdumpem na prvním routeru.

Opravdu? Jak poznáte, že třeba během aktualizace v té šifrované komunikaci s Microsoftem není víc, než chcete? Resp. že obecně nejsou data, která nechcete sdílet přibalená k něčemu "neškodnému"? Fakt za jedno odpoledne dokážete analyzovat vše, co jsou Windows schopné poslat? Nečekám, že by zpátky Windows posílaly velká data, ale i do telemetrie se dokáže ukrýt dost zajímavých informací. A opravdu víte, že OneDrive nezasynchronizoval víc, než je uživatelem určeno?

Ale ono nejde (jen) o šmírování, to nebezpečí závislosti na online accountu, o který můžete přijít bez faktické možnosti odvolání, je poněkud více.

Tak a teď si představte, že (vynechme záložní klíče apod. které běžný Franta Jouda prostě nemá) se takhle někde účastníte nějaké politické debaty, napíšete někde do diskuse něco, co se nemusí Velkému Bratrovi líbit (např. že kluci maj pindíky a holky pipinky), a najednou zjistíte, že Váš účet neexistuje, protože jste porušil nějaká milimetrová písmenka někdo hluboko kdesi. Takže začnou všichni radši držet hubu a krok. Což je (spolu s ekonomickým ziskem v podobě předplatného) přesně to, kam to směřuje.
Tohle se už párkrát s velkou pětkou stalo. btw

Prostě klíče od věcí, které jsou moje chci mít já a jen já, i za cenu menšího pohodlí. (a pokud už chci něco synchronizovat, tak přes vlastní NextCloud, z přesně stejného důvodu)

Vidíte, a důvod, proč se tam ten online účet přidává, je ten, že v praxi je to přesně opačně. Lidé často přichází o lokální účet a není způsob, jak ho bezpečně obnovit. Proto se tam přidává to propojení s online účtem, protože tam je mnohem víc možností, jak bezpečnou obnovu účtu udělat.

Kdysi dávno si známý pořídil notebook (malý, levný...). Tenkrát tohle přihlašování přes MS účty začínalo... Vzal si to na dovolenou a po večerech si postupně přeházel dokumenty na OneDrive, přesunul je z různých flashdisků, kde se povalovaly, atd.
Pak přijel domů a připojil se do sítě. Druhý den se ani nepřihlásil, protože nějaký algoritmus u Microsoftů usoudil, že ty fotky z pláže jsou buď pornografie nebo dětská pornografie (asi podle toho, zda na nich byla žena nebo dcera) a účet mu zablokoval a smazal. Bez výstrahy. (A důvod se dozvěděl až po lítém boji s MS podporou.) A to je nikde nesdílel.
Uvést ten počítač znovu do funkčního stavu už bylo nad jeho síly (přišel za mnou - proto vím, jak to bylo), o uložené dokumenty přišel definitivně. (Naštěstí mu zůstala většina těch flashdisků.)

Pro mne to bylo neocenitelné poučení, že dovolit komukoliv manipulovat s mými soubory - byť by to byl Microsoft či Apple - se může dost nevyplatit.
Dnes se to už asi neděje, ale důvěru jednou ztracenou už nezískají.

Pokud nevymýšlíte nesmysly, abyste mohl Vámi vlastněný dobytek mít pod plnou kontrolou (pardón, mluvím se samozřejmě o ctěných uživatelích systému Windows), tak obnova ztraceného lokálního účtu je naprosto triviální, a spočívá v nahrazení utilman.exe za třeba cmd.exe, pokud tam teda užovka ten password nastavila a následně zapoměla.

Vše ostatní (bitlocker atd) jsou s prominutím (z pohledu naprosté většin domácích uživatelů Windows) rovnáky na vohejbák, který je v první řadě naprosto zbytečný a vynucený tím online nesmyslem.

Jasně, výměna systémových binárek v nějakém záchranném režimu je přesně to, co typický uživatel domácích Windows zvládá s prstem v nose. A šifrovaný disk ti uživatelé vůbec nechtějí, protože ty fotky z dovolené, které si algoritmy pletou s pornografií, chtějí rozhodně nechat volně dostupné na disku notebooku, který následně někde zapomenou, ztratí či jim ho někdo ukradne.

ale no...

a) vymenu binarky da sikovny chlapec od susedov za cokoladu

b) fotky z dovolenky v plavkach a nahe batolata naozaj ludom nezvyknu velmi chybat

takze v tomto konkretnom kontexte je cloudove konto naozaj zhorsenie situacie.

S většinou souhlasím, ale argument „fotky z dovolené, které si algoritmy pletou s pornografií, chtějí rozhodně nechat volně dostupné na disku notebooku“ mi přijde divný. Jo, může to být důvod je nedávat do cloudu. A jo, pokud někdo ukradne notebook, dostane se k datům, ale kvůli tomu mi cloud provider nezablokuje účet.

Vít Šesták: Ale já jsem nepsal o zablokování účtu. Psal jsem o tom, že domácí uživatel, pokud je trochu rozumný a poučený, nebo má někoho poučeného ve svém okolí, bude mít disk na notebooku šifrovaný, pokud to jeho OS snadno umožňuje.

"Můžu se zeptat, proč se tomu všichni tak vyhýbáte? "

A ty nevis, ze ti MS ucet smazne treba proto, ze mas na disku fotky svych vlastnich deti? Znam takovyho cloveka osobne.

Znam takovyho cloveka osobne.
No jo, a taky umíte do minuty oklamat čtečku otisků prstů na nějakém aktuálním modelu telefonu od Samsungu, Motoroly nebo Google nebo nějakém aktuálním výrobku Apple. My víme.

Můžu se zeptat, proč se tomu všichni tak vyhýbáte?

Protože nechci zbytečně sdílet data kamkoliv (proč do Číny nebo podobných destinací snad není třeba vysvětlovat a po posledních změnách už ani USA nepatří IMHO tak jednoznačně mezi "hodné a svobodné" a MS je firmou se sídlem v USA).

A pokud si někdo myslí, že mu to nevadí, nechť si zopakuje historii (např. zde: https://www.root.cz/clanky/derne-stitky-a-holocaust-dva-velci-bratri/). To že dnes nikoho nezajímám, neznamená, že se se to časem nemůže změnit a nikdo netuší podle čeho všeho a za jakým účelem bude chtít v budoucnu někdo někoho filtrovat...

Já vím, že už tak mám v cloudu spoustu dat, počínaje bankou, zdravotní pojišťovnou, správou soc. zabezpečení, nejrůznější online služby, které dobrovolně používám atd... Ale přesto nevidím důvod proč to bez dobrého důvodu neustále rozšiřovat.

7. 5. 2025, 13:45 editováno autorem komentáře

"Stejně by mě zajímalo, jaký podraz je za touhle akcí skrytý"

MS se snazi ziskat data ktery jeste nema, a absolutni kontrolu nad pocitaci, nad kteryma ji nemel. A az se widle polozej, jako ze se polozej, prijde 99,9999% useru o veskery data.

Widle s MS uctem sem resil uz nekolikrat, jejich useri si proste koupili pc s predinstalovanyma home, odklipali next next a kdyz ty widle posly,vubec netusili jak by se k tomu ucru u MS dostali. Oni ani netusili, ze nejakej takovej pouzivaj. Nastesti v tehle pripadech jeste nemeli zasifrovany disky, takze se to dalo normalne zkopirovat, ale priste budou mit smulu.