Ik zou het juist heel logisch vinden dat je bvanuit je primaire account het secundaire adres gewoon kunt wijzigingen - zonder een mailtje naar het vervallen account te sturen, uiteraard. Ze creëeren zo een death loop.
Dat lijkt me logisch. Wordt je gehackt, of trap je in een phishing mail, dan ligt je wachtwoord op straat.
En zonder deze extra beveiliging kan de hacker je account helemaal overnemen.
Bij de meeste microsoft accounts kun je meerdere 2FA manieren aanzetten: Authenticator app, SMS , extern email. Werkt de een dan niet meer, dan zijn de anderen er nog.
Jaren lang (dus al zeker meer dan 5) vraagt Microsoft nooit naar dat tweede mailadres. Alles gaat zoals het gaat. Nu ineens wordt gevraagd om nog een extra beveiliging aan te zetten. Maar dat kan dus alleen als de eerste beveiliging nog werkt, en dat blijkt het Zonnet adres van voor 2021 te zijn.
Dan kom je dus via alle mogelijkheden in een dead loop terecht, zoals Moneyman al aangeeft.
Enige manier blijkt dus een nieuwe beveiliging aan te maken, met een wachttijd van 30 dagen......
In die tijd moet je je telefoonnummer bevestigen, en krijg je verschillende waarschuwings mails op je Hotmailadres.
Ik zou het juist heel logisch vinden dat je bvanuit je primaire account het secundaire adres gewoon kunt wijzigingen - zonder een mailtje naar het vervallen account te sturen, uiteraard. Ze creëeren zo een death loop.
Dat lijkt me logisch. Wordt je gehackt, of trap je in een phishing mail, dan ligt je wachtwoord op straat.
En zonder deze extra beveiliging kan de hacker je account helemaal overnemen.
Bij de meeste microsoft accounts kun je meerdere 2FA manieren aanzetten: Authenticator app, SMS , extern email. Werkt de een dan niet meer, dan zijn de anderen er nog.
De extra beveiliging is logisch, de manier waarop je het (niet) kunt wijzigen niet.
Wat is er niet logisch aan de verplichting van eerst een MFA check moeten doen, voordat de MFA instellingen aangepast kunnen worden?
Anders kan iedereen die je wachtwoord aan de browser weet te ontfutselen met je account aan de haal gaan.
De 30 dagen afkoelperiode zonder MFA-check is de escape uit je death loop.
Wat is er niet logisch aan de verplichting van eerst een MFA check moeten doen, voordat de MFA instellingen aangepast kunnen worden?
Anders kan iedereen die je wachtwoord aan de browser weet te ontfutselen met je account aan de haal gaan.
De 30 dagen afkoelperiode zonder MFA-check is de escape uit je death loop.
Allemaal leuk en aardig, maar dat was niet het punt. Het punt was dat de email alleen maar naar het niet meer bestaande adres kon worden gezonden. Pas na veel moeite kwam de portie met afkoelperiode op tafel.
Microsoft ziet dit als veilige periode, dat geven ze ook duidelijk aan.
Maar het gaat natuurlijk niet alleen om die 30 dagen, maar ook de mails naar het hotmailadres waarin wordt gewaarschuwd voor een aanpassing in de veiligheid.
Hoe anders zouden ze zo'n issue dan moeten oplossen ?
