🖊️ 前言
微软,长期以来一直都被黑客紧盯。黑客们每年都会搞一波帐号撞库,但是今年特别夸张。
安全中心每天都有一堆尝试登录的记录,且 IP 来自世界各地。
你可以在 https://account.live.com 的 「安全」 - 「登录活动」 中看到该记录
发现这一现象是因为,我先前已经开启了 2FA(双重认证),这几个月微软的 Authenticator 频繁弹出尝试登录的批准请求。
明显已经不属于「某人输错了邮箱,而错误请求验证」的范畴了
❓有何影响?
如果你先前没有启用过2FA,且正在被黑客爆破,那么你的帐号大概率已经有「登录成功」的记录了。
当你的帐号被成功爆破后,轻则泄漏隐私,虽然你还可以在事后修改密码夺回所有权,但是泄漏肯定是无法补救了。
假如 OneDirve 被不法分子添加了不雅照片(Child Abuse)的广告,可能还会导致被封禁。
因此,建议大家尽早启用2FA以保护你的帐号安全
🔨 补救/缓解措施
分为开启2FA,开启无密码帐号以及为微软帐号添加别名;
如果你频繁收到微软Authenticator 的批准登录请求,建议选择开启2FA 并 为微软帐号添加别名
*开启 2FA 是必选的,其他选项可以按自己实际情况决择。
一、为帐号添加 2FA 验证(双重验证)
如何判断我的帐号是否已经启用了 2FA(双重验证)
- 未启用:当你登录时,只需要帐号+密码就直接成功了,没有额外的验证。
- 已启用:当你登录时,在验证完帐号+密码后,还需要填写TOTP \ 通过微软的 Authenticator 点击验证码 \ 通过邮箱接收验证码 ,才可以完成登录。
TOTP: 基于时间的一次性密码算法 (Time-based one-time password),常见的形式是30秒刷新一次的「一次性密码」
1、在 https://account.microsoft.com 页面找到「安全」- 「管理登录方式」
2、进入页面后,下滑,找到「其他安全选项」-「双重验证」并启用
如果你当前没有绑定「验证器应用」,系统会显示一个绑定流程。
- 你可以选择
微软的 Authenticator,当你登录时无需手动输入TOTP,而是通过 Authenticator 应用来批准登录; - 你还可以选择绑定其他 Authenticator 应用,例如:
Google Authenticator、1Password、Apple Password、Bitwarden、Authy等等。他们都拥有基于 TOTP 的功能。
根据网上的综合评价,微软的 Authenticator 的风评不是很好。
但是如果你还打算启用「无密码帐号」,微软似乎强制要求使用他家的Authenticator?
微软官方文档
二、开启无密码帐号/使用强密码
添加了2FA后,我们还可以选择开启无密码帐号或是使用强密码(二选一即可)。
FAQ:关于强密码和弱密码(source)
什么是强密码?
强密码是他人难以猜出或先进技术难以破解的唯一字符形成的组合。 强密码由大小写不统一的随机字母组合组成,包含数字和符号,如 “&” 符号。 强密码的长度至少应为 16 个字符。 如果密码长度不足 16 个字符,则被认为是弱密码,因为它更易于破解。 密码越复杂、越长,密码强度越高。
强密码示例
下面是强密码的一些示例。
- 较长的随机组合: 包含数字、字母和符号等多种字符类型的长密码。 例如,像 N0r+Hc^R0|in^99 这样的密码。
- 密码短语:一连串字或较长的文本字符串比单个短语更安全。 对于喜欢煎饼的 Todd 来说,可以将密码短语设置为 +0DD|iK3SPa^cAk3S。
- 助记密码:根据您感兴趣的事件创建密码。 例如,芝加哥小熊队的球迷不会忘记一场战胜芝加哥白袜队的比赛。 因此,可以将“我最美好的时刻是 2020 年观看比利·汉密尔顿偷垒并敲出全垒打”这句话设置成密码 mBMiWbhSH@HAhRI2020。
弱密码示例
下面是弱密码的一些示例。
- 短密码:一个单词,如 Igloo 或 Peanuts,以及 12345 等数字短语。
- 可识别的击键模式:您在键盘上形成的任何模式,如 QWERTY 或 1QAZ2WSX。
- 密码包含个人信息:包括生日、街道名称和名字等信息。例如,一个名叫 John,出生于 1999 年,居住于 Maplewood 街的人将密码设置为 John99 或 Maplewood099。
- 仅更改密码中的一个字符:将小写字母更改为大写字母,或添加句号或感叹号,以形成多个帐户之间“不同”的密码。 例如,在一个帐户中使用密码 Alice2004,在另一个帐户中使用密码 AlicE2004。
- 常见密码:使用常见的密码,如 password、password123 和 123456。
- 重复字母或数字:用重复字符的组合形成的密码,如 55555 和 bbbb。
开启无密码选项后,在登录微软帐号时,我们只需要输入登录帐号,不再需要输入密码,但是需要通过微软的 Authenticator 的来批准登录。这样也能减少因密码撞库成功导致被登录的情况。
同样的,我们可以在双重验证的选项旁边找到他。
删除密码后,你还可以随时选择再次添加密码。
FAQ : Microsoft 帐户如何使用无密码(官网文档)
“无密码”是什么意思?
使用无密码是指删除密码并使用无密码方法登录。
Windows Hello、Microsoft Authenticator 应用、短信或Email代码以及物理安全密钥等无密码解决方案提供了更安全、更方便的登录方法。
虽然密码可以猜测、被盗或钓鱼,但只有你可以提供指纹身份验证,或者在正确的时间在移动设备上提供正确的响应。
如果我无法访问 Microsoft Authenticator 应用,会发生什么情况?
是否可以将密码添加回我的帐户?
是的,请按照以下步骤操作。
- 登录到 Microsoft 帐户 其他安全选项。
- 在“无密码帐户”下,选择“ 关闭”,然后选择“ 下一步”。
- 按照提示将密码添加回帐户。
无密码帐户是否适用于所有应用和服务?
不可以。 某些较旧版本的 Windows、应用和服务仍需要密码。 如果使用以下任一项,请继续使用密码:
- Xbox 360
- Office 2010 或更早版本
- Office for Mac 2011 或更早版本
- 使用 IMAP 和 POP 电子邮件服务的产品和服务
- Windows 8.1、Windows 7 或更早版本
- 某些 Windows 功能,包括远程桌面和凭据管理器
- 某些命令行和任务计划程序服务。
是否可以在没有密码的情况下登录到 Xbox?
- Xbox One 和 Xbox Series X/S:是
- Xbox 360:否
若要使用无密码身份验证,请执行以下操作:
- 选择“ 使用其他设备”,并在浏览器中打开“microsoft.com”链接。
- 输入主机上提供的代码,并使用无密码方法登录。
三、添加登录别名
如果你苦恼于每天都有无数的 微软 Authenticator 批准请求,那么这个方案可能会是最优解。这是因为,我们可以通过添加登录别名,并停止使用「你现有的登录邮箱」来登入该微软帐号,来防止爆破的发生。
123@gamil.com 来登录此帐号;现在,你可以添加
456@example.com 作为登录邮箱,并禁止通过 123@gamil.com 登录;456@example.com 最好是你的域名邮箱,或是从未在互联网上注册过服务的。这样可以减少该邮箱出现在撞库名单内的可能性; 如果黑客连邮箱都不知道,更不可能进入到批准登录这一步了!
1、该选项可以在 https://account.microsoft.com/ 页面找到
在左侧菜单栏找到 您的信息 - 帐户信息 ,点击 编辑账户信息 进入下一步;
2、点击 添加电子邮件;
3、输入你要绑定的 电子邮件地址
电话号码似乎也可以作为你的首选登录项,但是依照电话号码的泄露现状。。。。
如果是非 outlook 邮箱或者域名邮箱,那么就选第二项 将现有电子邮件地址添加为 Microsoft 帐户别名;
4、添加后,你会收到一封验证该邮箱的邮件。
如果没有收到,请检查拼写是否正确,然后检查垃圾箱中的邮件同时,新增的电子邮件后方会出现一个验证的按钮,你可以用它再次发送验证邮件
5、启用该别名邮箱
首先,将新增的别名邮箱设为主要邮箱;
然后,在页面下方找到 登录首选项 ,点击 更改登录首选项;
你会发现,新增的邮箱已经变为主要别名.原先的邮箱已经变为可禁用状态,取消勾选它并保存。
原邮箱现在,你只能通过刚刚新增的邮箱登录该帐号了!享受这难得的清净吧🎉🎉🎉
假如,今后再次遇到泄漏,重复上述步骤再次修改别名邮箱即可。
最后需要注意的是,如果添加的是域名邮箱,请确保你的域名正常续费。以及域名邮箱的托管属于正常状态
并且添加额外的验证途径,例如手机号码等,作为丢失域名邮箱的补救措施。
