共计 3072 个字符,预计需要花费 8 分钟才能阅读完成。
放弃使用密码可以大幅提高 Microsoft 账户的安全性。但如果你打算这样做,有一个步骤绝对不能跳过。
最近,我在俄罗斯、乌克兰、摩尔多瓦、波斯尼亚 - 黑塞哥维那甚至阿尔巴尼亚非常受欢迎。至少,根据最近尝试登录我的 Microsoft 账户的记录来看是这样。(任何 Microsoft 账户都可以在此管理页面查看:https://account.microsoft.com.登录后,点击“安全”,然后点击“查看我的登录活动”。)
这些攻击者不知道的是,对于这个无密码账户,所有密码都是错误的。
在我的情况下,那些绝望的黑客们只是在浪费时间。他们可以尝试人类已知的所有字母、数字和符号的组合,即使花上宇宙尽头的时间,他们也永远猜不到我的 Microsoft 账户密码。
为什么我如此自信?因为很久以前,我选择了将该账户设置为无密码,用通行密钥替代了密码,允许我使用生物识别技术或 Windows PC 上的设备 PIN 码访问与我的 Microsoft 账户相关的服务。如果某个陌生人想在新设备上登录我的账户,他们必须说服我使用我已经设置的设备来批准该登录。(抱歉,伊万,我对来自俄罗斯的未经请求的请求说 _nyet_。)
你应该从密码切换到通行密钥吗?
Microsoft 希望你像我一样放弃密码。今年早些时候,该公司推出了一种新的用户体验,“优化了无密码和通行密钥优先的体验”。这些新功能可用于任何免费的 Microsoft 账户,但不适用于用于 Microsoft 365 商业和企业订阅以及登录企业网络的 Entra ID 账户。
那么,你应该这样做吗?对于大多数人来说,答案是肯定的。移除密码可以显著提高 Microsoft 账户的安全性,使其更能抵御钓鱼攻击。一旦你移除了密码,登录设备的唯一方法就是通过使用与生物识别技术(指纹或面部识别)、硬件安全密钥 或保存在 密码管理器 中的可同步通行密钥来证明你的身份。你也可以选择在受信任的设备上响应推送通知,如下图所示。
登录无密码 Microsoft 账户的默认方法是使用你拥有的设备上的身份验证器应用。
不进行此更改的唯一技术原因是,如果你使用不支持现代身份验证方法的旧应用或硬件设备:Office 2010 或更早版本;Mac 版 Office 2011 或更早版本;Xbox 360;或运行 Windows 8.1 或更早版本的 PC。如果你使用远程桌面功能通过 Microsoft 账户连接到另一台 PC,也会遇到问题。
另请参阅:我如何通过密码管理器轻松设置通行密钥
无密码化不是一个可以随意进行的步骤。随着额外的安全性而来的,是你可能被锁定在账户之外的风险增加。你可以通过确保在移除密码之前有多种安全方式访问账户来降低这种风险。
准备好开始了吗?让我们开始吧。哦,还有,_不要跳过第 5 步。_
第 1 步:检查你当前的安全设置
访问你的 Microsoft 账户管理页面:https://account.microsoft.com并使用你的密码登录。点击“安全”选项卡,然后点击“管理我的登录方式”。这将打开一个如下所示的页面:
添加至少两种证明你身份的方式。身份验证器应用和电子邮件地址是最好的选择。
这是一个我为了测试目的创建的账户。它有一个密码,并且我添加了一个用于验证的电子邮件地址。请注意,“额外安全”标题下的两个选项——无密码账户和两步验证——都是关闭的。
点击“添加新的登录或验证方式”。这将打开如下所示的页面:
使用第二个选项将 Microsoft 身份验证器应用设置为一种登录方式。
第 2 步:在移动设备上设置身份验证器应用
点击中间选项“使用应用”。这给你两个选择。Microsoft 身份验证器应用依赖于推送通知;你也可以设置一个经典的时间同步一次性密码(TOTP)验证器,并生成六位数的代码,在需要时提供。
要使用 Microsoft 身份验证器,请在移动设备上下载并安装 Microsoft 身份验证器应用,然后点击下一步以显示如下所示的二维码:
扫描此二维码以在身份验证器应用中设置你的 Microsoft 账户。
打开移动设备上的身份验证器应用,点击加号,并使用智能手机摄像头扫描二维码以添加你的新账户。结果应该如下所示:
在你将账户设置为无密码后,“更改密码”选项将消失。
如果你更喜欢使用其他 TOTP 应用,如 Authy 或 Google 身份验证器,点击“使用应用”。在“设置 Microsoft 身份验证器”对话框中,选择设置不同的身份验证器应用的选项。这将生成一个条形码,创建一个标准的 6 位数 TOTP 代码,在需要身份验证时输入。请注意,你也可以将此选项与 Microsoft 身份验证器一起使用。选择设置不同应用的选项,然后使用提供的条形码将账户添加到 Microsoft 身份验证器中。这将导致两个条目,一个使用通知,另一个使用 TOTP 代码。
你还没有完成。为了避免被锁定在账户之外,你至少需要两种其他登录方式。
第 3 步:使用你的 PC 或 Mac 设置通行密钥
如果你的 Windows PC 或 Mac 支持生物识别身份验证,你可以使用该方法创建设备绑定的通行密钥。选择“面部、指纹、PIN 或安全密钥”选项,创建与该生物识别硬件绑定的通行密钥,使用 Windows Hello 面部识别或 Windows PC 上的指纹读取器,或使用 Apple iCloud 钥匙串 通行密钥,使用 MacBook 上的 Touch ID。你也可以将此选项与 USB 安全密钥一起使用。
设置完成后,你将使用如下所示的对话框登录。
你可以使用与 Windows Hello 绑定的通行密钥登录 Microsoft 账户,使用你的面部或指纹
如果你有一台运行最新版本 Windows 11 的 PC,你可以使用 Windows Hello 创建并保存其他站点和服务的通行密钥。对于大多数第三方站点,通行密钥是一种额外的替代方案,你可以使用它代替密码,而不是像无密码 Microsoft 账户那样完全替代密码。
第 4 步:至少添加一个备用身份验证选项
从第 1 步的对话框中,至少选择以下选项之一作为额外的登录方式。
- 点击“发送代码到邮箱”以输入一个备用电子邮件地址(不要使用与你的 Microsoft 账户绑定的电子邮件地址!),你可以在该地址接收代码。
- 点击“显示更多选项”以显示输入电话号码的选项,你可以通过短信接收代码。除了你的个人电话外,考虑添加属于你配偶或伴侣的电话号码,这在你自己的手机丢失或被盗时为你提供了额外的选择。
- 选择“使用应用”并按照第 2 步中的描述设置一个非 Microsoft 身份验证器应用。(如果可能,考虑将该应用设置在你的主要手机以外的手机上。)
- 如果你的密码管理器支持此功能,你还可以创建一个可同步的 通行密钥,你可以在使用该软件登录的任何设备上使用。Dashlane、1Password 和 Bitwarden 都支持此功能。
第 5 步:创建恢复代码并将其保存在安全位置
不要跳过此步骤! 这是你的“紧急情况下,打破玻璃”选项。
返回第 1 步中的“管理我的登录方式”页面,并滚动到页面底部。在“恢复代码”标题下,点击生成新代码的选项。将其打印出来并保存在安全位置。考虑通过电子邮件将副本发送给可信赖的朋友或家人,他们可以将其藏起来,以防你需要它。
如果其他方法都失败了,此代码将确保你可以恢复你的账户。
第 6 步:开启无密码选项
你不必立即进行此步骤。你设置的所有无密码选项(身份验证器应用、通行密钥等)将立即生效。给自己一两周的时间,确保一切按预期工作。当你准备好时,返回“管理我的登录方式”页面,滚动到“无密码账户”部分,并开启该选项。
