Microsoft otevřel bezheslovou budoucnost. Po letech slibů a měsících reálného nasazení této novinky u komerčních uživatelů mohou účty bez hesel používat i běžní uživatelé „s Hotmailem“. Z účtu lze heslo jednoduše odstranit a používat alternativní formu přihlášení. Funkce se rozšiřuje postupně, takže ji možná ještě nevidíte. My ano, a tak jsme ji také hned vyzkoušeli.
Heslo můžete odstranit po přihlášení k účtu na webu account.microsoft.com, kde kliknete na poslední dlaždici Zabezpečení a pak na Rozšířené možnosti zabezpečení. Dovést by vás tam měl také odkaz account.live.com/proofs/Manage/additional.
V sekci Další zabezpečení, kde se doposud nastavovalo dvoustupňové ověřování, přibyla nová položka Účet bez hesla. Skrz ni můžete současné heslo odstranit. A co jej nahradí? Primárně to bude mobilní aplikace Microsoft Authenticator, kterou si musíte nainstalovat na Android (Play Store) nebo iOS (App Store). K ní se pak ještě musíte přihlásit se stávajícím účtem.
Jakmile to uděláte, na webu můžete přes zmíněné tlačítko odstranit heslo, na mobil pak dorazí výzva, jestli to myslíte vážně. Potvrdíte a můžete dát vašemu „123456“ sbohem. Až se příště někde přihlásíte, stačí zadat e-mail a do Authenticatoru na mobilu dorazí výzva k potvrzení. Je tam dokonce i pojistka. Na místě, kde se přihlašujete, bude dvouciferný kód. Na tentýž pak budete muset kliknout i v Authenticatoru, vygenerují se tam ještě dva další (neplatné).
Další možnosti
Mobil s Authenticatorem nemusíte mít vždy po ruce, máte-li ale k účtu Microsoftu přidány i další metody přihlašování, můžete využít i je. Konkrétně jde o Windows Hello (otisk prstu, sken obličeje nebo PIN ve Windows 10/11) nebo bezpečností klíč FIDO pro USB nebo NFC. Funguje i ten, který můžete zdarma získat od CZ.NIC.
Nemáte-li či nemůžete-li využít ani Hello, ani klíč, v přihlašovacím dialogu lze zvolit ještě další metody s jednorázovými hesly. Ty vám Microsoft pošle na alternativní e-mailovou adresu, pomocí SMS nebo využijete spárovaný TOTP generátor, jako je například Google Authenticator.
Funguje to i s 2FA
Bezheslové přihlašování není vázáno na aktivní dvoustupňové ověřování, obojí ale lze využít i najednou a je to určitě doporučovaná varianta. Jen tím bohužel vzniká paradox, že k ovládnutí vašeho účtu bude stačit jen váš e-mail a ukradený plus odemčený telefon. Platí to v případě, že místo hesla používáte Microsoft Authenticator a druhý faktor ověření je rovněž přístupný z mobilu. Když se ale někdo nepovolaný dostane k vašemu odemčenému mobilu, je to průšvih na mnoha jiných úrovních.
Heslo k účtu pak můžete na stejném místě také vrátit, jen už nesmíte použít stejné jako posledně.
Bez hesel bohužel nefungují některé starší služby, aplikace a zařízení. Microsoft v nápovědě zmiňuje například:
- Xbox 360
- Office 2010 nebo starší
- Office pro Mac 2011 nebo starší
- Produkty a služby, které používají e-mailové služby IMAP a POP
- Windows 8.1, Windows 7 nebo starší
- Některé Windows, jako je Vzdálená plocha a Správce přihlašovacích údajů
- Některé služby příkazového řádku a plánovače úloh
U nich si budete muset vygenerovat tzv. hesla aplikací, je to ve zvláštní sekci na webu account.live.com/proofs/Manage/additional. Obecně je potřebujete všude tam, kde je klasický přihlašovací dialog pouze s e-mailem a heslem a není možné v něm využít ani dvoustupňové ověření.