Незнакомый человек прислал мне в Telegram вот такое душераздирающее сообщение:
Вишенка на торте — там ещё и рабочие документы были. Были, потому что вариантов решения нет!
[+] Сегодня в программе
Что здесь произошло
Этому бедолаге выпал наихудший расклад:
- Windows внезапно отказалась принимать ПИН-код – пишет, что он неправильный.
- Пароль учётной записи Microsoft (MSA) человек не помнит.
- На учётной записи есть номер телефона, но при попытке сброса пароля не приходит SMS из-за санкций в РФ (и РБ?).
- Процесс восстановления доступа к учётной записи завершается неудачей.
- Добраться до файлов на диске невозможно, потому что он автоматически зашифрован BitLocker. Пароля восстановления нет, а хранящийся в облаке — недоступен, поскольку не войти в MSA.
Что ещё может пойти не так
Хуже вряд ли будет. Но даже если вы помните пароль MSA, можно лишиться доступа к аккаунту, если номер телефона является единственным способом подтверждения входа!
Запрос на подтверждение от Microsoft всегда появляется внезапно: мы отправили вам код в SMS, гудбай!
Да, вы сможете спасти свои локальные данные, войдя в Windows с ПИН-кодом, потому что он хранится только на компьютере. Но учётная запись Microsoft будет потеряна вместе с облачными файлами и почтой.
Как не работает восстановление учётной записи Microsoft
Когда недоступен единственный имеющийся способ подтверждения входа, предусмотрена лишь отправка запроса на восстановление аккаунта через форму https://account.live.com/acsr.
Но это примерно то же самое, что писать в Спортлото!
Например, там без шансов, если при регистрации вы указали вымышленные личные данные вроде имени и даты рождения, которые сразу же успешно забыли. Также понадобится знание контактов и тем почтовых сообщений. И желательно всё это слать им с устройства, которым вы регулярно пользуетесь в привычном расположении. Неудивительно, что у героя нашей истории ничего не вышло.
Процесс описан в статье базы знаний KB5000442. И размещённое там видео (не текст!) срывает дополнительные покровы:
- Если вы не входили в аккаунт год, забудьте о файлах и почте.
- Неактивные аккаунты истекают через два года. Видимо, удаляются полностью. Почему-то выбран невнятный термин "истекают" (expire) при наличии куда более понятных синонимов!
Как застраховаться от проблем со входом в аккаунт Microsoft
Для начала нужно запомнить или сохранить в надёжном месте пароль. Но само по себе это не страхует от проблем.
Microsoft очень активно продвигает номер телефона в качестве главного средства защиты от потери MSA. В настройках безопасности аккаунта есть уведомление на странице и всплывающее окно. Также есть предупреждение на главной странице параметров Windows. Причём всё это показывают вне зависимости от количества и типов уже добавленных способов подтверждения входа.
Я же наоборот исторически не считаю телефон надёжным средством аутентификации из-за риска перевыпуска SIM-карты злоумышленником. А тут ещё и SMS не ходят.
Я рекомендую использовать двухфакторную аутентификацию (2FA) с помощью приложения!
2FA с аутентификатором одним выстрелом убивает четырёх зайцев:
- Страхует от недоставленных SMS. Их заменяет подтверждение в аутентификаторе Microsoft либо одноразовый код в нём же или стороннем аутентификаторе.
- Позволяет сбросить забытый пароль. Первым фактором будет подтверждение аутентификатора, вторым — код, высланный в резервную почту.
- Укрепляет защиту аккаунта от угона.
- Упрощает вход за счёт возможности беспарольной аутентификации [в приложении Microsoft Authenticator].
Строго говоря, можно добавить способы подтверждения входа, не включая 2FA. То есть предоставлять их только по прихоти алгоритмов Microsoft. Но когда уже всё настроено, логично форсировать запрос второго фактора.
Инструкция по настройке 2FA в аккаунте Microsoft
Это занимает 5 минут.
- В облачных настройках аккаунта Microsoft перейдите на страницу управления способами входа: Безопасность — Изменить способ входа или по прямой ссылке https://account.live.com/proofs/manage/additional и добавьте новый способ входа.
- Добавьте резервный адрес электронной почты.
- После подтверждения почты добавьте приложение аутентификатор на выбор:
- С приложением Microsoft Authenticator вы сможете входить как по одноразовому коду, так и по уведомлению, в том числе без пароля. Для этого выполните вход в приложении: нажмите ➕ – Личная учётная запись – Войдите с помощью учётной записи Microsoft (нежели “Сканировать QR-код”).
- Вы можете использовать любой сторонний аутентификатор и входить по одноразовому коду. Отсканируйте QR-код в приложении.
- Включите 2FA https://account.live.com/proofs/EnableTfa и сохраните в надёжном месте код восстановления. См. также справку Microsoft.
Эти же шаги на картинке. В пункте 3 у меня добавлены приложения Microsoft Authenticator и Aegis.
Разумеется, резервный адрес электронной почты тоже нужно защитить 2FA с помощью аутентификатора. Причём использовать Microsoft Authenticator в качестве единственного приложения рискованно. Резервное копирование осуществляется в облако Microsoft, и при блокировке аккаунта вы туда не попадёте.
Аутентификатор Aegis поддерживает бэкап в локальную файловую систему. Поэтому напомню посты канала с рекомендациями по бэкапу 2FA с его помощью:
- О восстановлении доступа к Госуслугам после утери аутентификатора
- Автоматический бэкап аутентификатора Aegis в Google Drive с помощью Tasker
Мнение
Вместо заключения озвучу своё мнение.
О причинах возникновения этой ситуации
Велик соблазн обвинить жертву в безалаберности: ахаха, не сохранил и не запомнил пароль аккаунта Microsoft, не позаботился о хранении ключа восстановления BitLocker.
Но по факту человек просто пользовался Windows 11 так, как это задумала и вынуждала Microsoft:
- Вошёл в систему с MSA, когда этого потребовали. Видимо, при установке ОС или первом использовании ноутбука.
- Указал номер телефона в качестве средства подтверждения входа в MSA. Тут был выбор между телефоном и почтой, но кто ж знал.
- Создал ПИН-код и дальше пользовался только им, поскольку парольный вход отключён. Поэтому и забыл пароль!
- Диск ему зашифровали автоматически и не сообщили об этом.
- О прекращении доставки SMS тоже не уведомили.
Проблема здесь даже не в принуждении к MSA, а в плохой продуманности и несогласованности разных решений и сервисов Microsoft.
Форсируя беспарольный вход в Windows с Hello, компания не имеет гарантированного решения на случай, когда ломается вход с ПИН-кодом. Да, в этом сценарии у них предусмотрен процесс «Забыл ПИН-код», в том числе для не имеющего пароля аккаунта Microsoft. Но для этого нужны доступные способы подтверждения входа.
Предоставление одного такого способа действительно форсируется. Причём не сразу, а спустя какое-то время после создания MSA.
Но ничто не мешает им по такой же схеме позже запросить и второй способ. Безотносительно санкций, не так уж сложно представить ситуацию, когда человек теряет доступ к своей резервной почте или поменял номер телефона.
Восстановление MSA через форму изначально имеет низкие шансы на успех, потому что создатели процесса живут в своём радужном мире, где все люди используют только реальные личные данные в онлайн-аккаунтах.
Наконец, автоматическое шифрование. Я понимаю, что процесс старались сделать максимально бесшовным и незаметным для пользователя. Но надо же учитывать, к каким последствиям может привести потеря доступа к аккаунту. Ведь известен момент, когда пароль восстановления сохраняется в облаке. И можно отправить человеку письмо с уведомлением, ссылкой на пароль и рекомендацией сохранить его в надёжном месте. И на главной странице Параметров эти сведения точно были бы полезнее, чем бонусы Bing.
////
При таких раскладах двухфакторная аутентификация становится не только средством защиты аккаунта Microsoft, но и важнейшим элементом доступа к нему и даже локальным данным. Включите 2FA сейчас!
Об отказе от учётной записи Microsoft
Я предвижу комментарий примерно половины читателей: «Просто не надо пользоваться аккаунтом Microsoft, и не будет таких проблем!». Ок, вы сделали такой выбор, но дальше не всё так просто.
MSA уже является системным требованием Windows 11. И со временем всё больше и больше людей будут входить с ней в систему на новых устройствах или после чистой установки. Постепенно в их число войдут ваши родственники, друзья и знакомые. Представьте, что с подобной проблемой к вам обратится хороший друг. Скажете ему, что он лох, и просто не надо было использовать аккаунт Microsoft? :)
Сегодня они лишатся доступа к учётной записи Microsoft, а завтра — Яндекса с ценными файлами на Яндекс Диске. И общим знаменателем будет потеря единственного фактора. Такие проблемы надо стараться предотвратить, объясняя людям риски и обучая их основам грамотного использования онлайн-аккаунтов.
Все ценные учётные записи по возможности должны иметь минимум два способа подтверждения или восстановления входа! Как правило, можно сочетать почту с аутентификатором.
Кстати, проведите инвентаризацию своих аккаунтов в этом контексте. Будет проще проводить ликбез.
Фантастическая беспечность! Хотя, это массовое явление.
И да, в топку эту учетную запись Microsoft.
«Ключ, естественно, не сохранял нигде». Ключевое слово «естественно»!
Это же просто пример из наиболее близкой к блогу тематики.
Что, ни разу не видели, как люди новый телефон на android настраивают?
— Какой у меня пароль?
— Попробуй коляпетямаша1
— Не подходит
— Попробуй 2
В топку учётную запись google? Следующую какую?
Поэтому мораль в конце.
>> И общим знаменателем будет потеря единственного фактора.
Не совсем. Общий знаменатель, доверие «облакам».
Ни слова против TOTP, вещь важная, нужная и удобная. Но как недавно прочел в одной художественной книге про большой бизнес в штатах: Пишите только то, что не страшно увидеть завтра на билборде в центре Нью-Йорка. Как аналог из нашей темы: Используйте облака таким образом, чтобы было не страшно их потерять. Потому что никто не застрахован от потери самого аккаунта, по независящим от пользователя причинам — сбой, политика, большая или локальная сервиса, и прочее.