Co vše může vyčíst MS Autentikátor z mobilu?

[Tomas878]

Ahoj,

má někdo informace co všechno lze přečíst z mobilu díky MS Authentifikátoru, který je použit jako 2FA pro přístup k firemním věcem v Azure/Office 365?

podle soupisu oprávnění mě docela děsí, co všechno v mobilu může číst.


Diky

[Reklama]

[_Tomáš_]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

[Tomas878]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.

[Ctrl+P]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.

To je divné, mám místo MS Authentifikátoru (který vyžaduje firma) Aegis. Dokonce z F-Droid (ale je i na Google Play) a je funkční i pro přístup k firemním věcem v Office 365 (nastaveno v https://mysignins.microsoft.com/security-info).

[Tomas878]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.

EDIT: Máme natvrdo, authentifikaci PUSH notifikací s tím (s lokalitou atd), že se do browseru opisuje dvojciferný číslo.

To je divné, mám místo MS Authentifikátoru (který vyžaduje firma) Aegis. Dokonce z F-Droid (ale je i na Google Play) a je funkční i pro přístup k firemním věcem v Office 365 (nastaveno v https://mysignins.microsoft.com/security-info).

Právě v rámci Azure lze nastavit pouze tu věc od MS a povinně, takže cokoliv jiného nejde nastavit.  (A kontroluje to i dokonce verze a tak dále) Tak proto se zajímám co je schopný správce vytáhnout z mého soukromého zařízení.

[Reklama]

[Ctrl+P]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.

EDIT: Máme natvrdo, authentifikaci PUSH notifikací s tím (s lokalitou atd), že se do browseru opisuje dvojciferný číslo.

To je divné, mám místo MS Authentifikátoru (který vyžaduje firma) Aegis. Dokonce z F-Droid (ale je i na Google Play) a je funkční i pro přístup k firemním věcem v Office 365 (nastaveno v https://mysignins.microsoft.com/security-info).

Právě v rámci Azure lze nastavit pouze tu věc od MS a povinně, takže cokoliv jiného nejde nastavit.  (A kontroluje to i dokonce verze a tak dále) Tak proto se zajímám co je schopný správce vytáhnout z mého soukromého zařízení.

Nevím sice, co z toho je správce schopný vytáhnout, ale já bych do toho nešla. Váš zaměstnavatel musel mít důvod, proč ostatní TOTP aplikace zakázal, protože co jsem vygooglila tak by default by měla fungovat jakákoliv aplikace + třeba SMS.

[L..]

Váš zaměstnavatel musel mít důvod, proč ostatní TOTP aplikace zakázal, ...

Tipuju, že důvod bude "moc tomu nerozumím, tak jsem to radši zakázal".

[Tomas878]

Ono, hlavně když se přihlašujete, tak je to nastavený podle lokality telefonu atd. Takže se z toho sbírají lokalizační data včetně GPS.

[Ctrl+P]

A ta stránka https://mysignins.microsoft.com/security-info nefunguje? Já když chci Přidat metodu přihlašování - Ověřovací aplikace, tak sice dost agresivně to vnucuje Microsoft Authenticator, ale úplně dole je malým písmem možnost vložení i jiné aplikace:

[Tomas878]

A ta stránka https://mysignins.microsoft.com/security-info nefunguje? Já když chci Přidat metodu přihlašování - Ověřovací aplikace, tak sice dost agresivně to vnucuje Microsoft Authenticator, ale úplně dole je malým písmem možnost vložení i jiné aplikace:

Funguje, a přesně toto tam nemám. Je to zakázaný.

[Džan]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

[Tomas878]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

[jauznevimco]

ty oprávnění ti přece odpovídají na tvoji otázku. Naštěstí ho nemusíš používat a najít si jinou OTP appku.

Nemůžu, je vyžadován MS Authentifikátor. Proto se zajímám o to co firma může z toho vyčíst, když ho musím mít na soukromém telefonu.

Na zaklade ceho si firma mysli, ze muze prinutit zamestnance k akceptovani licencni smlouvy s MS/Google, resp. ke koupi a pouzivani soukromeho smartphonu pro pracovni ucely?

Zamestnavatel je povinen zamestnanci poskytnout prostredky nutne pro vykon zamestnani, cimz padem mi z toho vychazi, ze pokud si zamestnavatel vymysli nutnost pouziti smartphonu pro nejakou konkretni aplikaci, musi prislusny smartphone, samozrejme na sve naklady, zamestnanci poskytnout.


... jo, nas to v praci ceka taky, taky je mi to proti srsti a taky hledam trosku pisku, co bych do toho mohl nasypat.

[-jardak-]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

Vzhledem k tomu, že aplikaci Autentifikátor pro činnost stačí mít povolen pouze foťák, sejmutí QR pro spárování telefonu s účtem, tak k ničemu jinému by se neměla v mobilu dostat. Toto je ale důvěra v operační systém mobilu.

[Tomas878]

Ono totiž Microsoft Authenticator není jen TOTP, to už se všude, kde to myslí s nějakou bezpečností vážně nepoužívá, ale používá se schvalování přihlašovacích requestů přes push notifikaci, to není žádný otevřený standard, proto nejde použít aplikace 3. strany.

Proto bych se vrátil k původnímu dotazu. A tím je co správce vytáhne za informace z mobilu.

Vzhledem k tomu, že aplikaci Autentifikátor pro činnost stačí mít povolen pouze foťák, sejmutí QR pro spárování telefonu s účtem, tak k ničemu jinému by se neměla v mobilu dostat. Toto je ale důvěra v operační systém mobilu.

A například GPS (vynucena firemní politikou, pro určování kde je to authentifikováno), pak má přístup ke všem datům v uložišti, k SMS (podle seznamu oprávnění)