文章目录现象描述为什么出现这样的问题解决方案现象描述前几天晚上突然收到Microsoft Authenticator的登录请求我以为是电脑微软账号登录过期了就没有管。结果第二天又收到了。我感觉到事情并不简单于是我马上修改了密码结果还是经常受到登录请求。正好今天有空就来分析分析这个问题。为什么出现这样的问题那必然是账号泄露了只需要知道你的账号就行密码都不要谁知道是谁家的数据库泄露了还是我的数据又被谁给出卖了。我首先寻求了微软客服支持下图为部分截图虽然他说的基本都是我知道了我还是确认了很多问题客服也不厌其烦一 一解答了我来总结一下吧微软账号的登录方式有2种传统登录方式账号密码登录顾名思义安全性最低的。一般都会强制你开启2FAMFA。短信或邮箱验证码在登录界面选择“向我发送登录代码”或类似选项微软会向你绑定的手机号码或备用电子邮件发送一个一次性验证码输入后即可登录。这个安全性已经不算高了不推荐。无密码登录现在的主流Microsoft Authenticator 应用在手机上安装此应用后登录时网页或电脑会显示一个数字你只需在手机应用中输入或点击匹配的数字即可完成登录。通行密钥 (Passkey)这是最新的行业标准。你可以利用设备自带的生物识别如手机或电脑的面容 ID、指纹或设备 PIN 码来创建通行密钥在Windows上就是使用Windows Hello来解锁密钥Mac是指纹或锁屏密码手机是面容或者指纹实现跨设备快速登录这个是我比较喜欢的方式。物理安全密钥 (Security Key)使用支持 FIDO2 标准的硬件 U 盾例如 YubiKey。登录时插入 USB 接口或通过 NFC 触碰验证指纹或硬件 PIN 码即可。这里还有个概念2FA2FATwo-Factor Authentication双因素认证是MFAMulti-Factor Authentication多因素认证的一个子集。也就是你登录账号需要2个因素来证明这个账号是你的。证明你身份的因素通常有3大类你知道啥账号密码、密保问题、PIN码等你有啥手机可以接收短信验证码可以使用Authenticator 看一次性代码、物理安全密钥U盾等你是谁你的指纹、面容、虹膜等生物特征是你独有的。2FA/MFA强调的是“不同类别的因素组合”而不是同一类别里的多个项目。我们使用Authenticator 或者通行密钥就是使用了2类因素即我有手机或电脑 我的指纹或者面容因素23或者我有手机或电脑 我知道PIN因素21从上面的分析中可以看到密码在微软账号的登录行为中似乎不那么重要了。这也就是我这几天遇到Microsoft Authenticator被频繁请求登录的原因。由于我开启了Microsoft Authenticator登录再加上恶意攻击者从某处获取到了我的微软账号它就可以一直请求登录我当然可以点击拒绝登录但是架不住它每天来一次啊而且还是晚上就等着我那天迷迷糊糊地一不小心点错了呢。这种攻击方式叫做疲劳攻击。疲劳攻击Fatigue Attack在网络安全领域通常特指MFA 疲劳攻击MFA Fatigue Attack多因素认证疲劳攻击也常被称为多因素认证轰炸MFA Bombing或提示轰炸Prompt Bombing。基于账号密码的的疲劳攻击开启了Microsoft Authenticator登录的疲劳攻击复现我的Mac从未登录过微软账户现在我就对自己发动一次疲劳攻击当然了真实的疲劳攻击肯定跑脚本了在微软官网输入账号然后选择使用另一种方式登录选择批准使用移动应用登录此时手机就受到了登录请求过去两周我每天晚上都收到这样的攻击。攻击者就等着我碰巧点击了正确的数字。攻击者要我的微软账号有啥用OneDrive里面有照片、文件outlook邮箱里面可能有一些其它平台的登录凭据或敏感内容OneNote笔记Microsoft Store购买内容Azure云资源借此攻击你的同事、朋友、亲人攻击、渗透你的企业进一步攻击你的设备等等。解决方案从前面的原因分析来看解决方法有2个关闭Authenticator修改登录邮箱。首先修改一下密码account.microsoft.com/security这当然不能解决问题但还是建议更新一下。接着可以查看一下登录活动确保账号没有被别人登录如果登录了就移除一下不明设备。(以前可以看到登录失败记录现在看不见了只显示登录成功的记录)完事后点击管理登录方式进去之后开启双重验证。你也可以开启无密码账户即删除密码只使用其它方式登录这样可以避免密码泄露我没有删除因为开启了2FA知道密码也没用。官方文档https://support.microsoft.com/zh-CN/accounts-billing/security/how-to-go-passwordless-with-your-microsoft-account你也可以删除发送登录通知这一登录方式即使用Authenticator。这样就不会被疲劳攻击了不过我选择保留因为方便。我选择的方法是修改用于登录的邮箱只要微软不出卖我别人就不知道我的登录邮箱返回到主页面在您的信息下拉账户信息选择登录首选项添加电子邮件你的帐户可以有多个用户名所有这些用户名都适用于你的 Microsoft 帐户。它们共享相同的密码可以从其中任何一个发送和接收电子邮件。现在你的微软账号多了一个outlook的邮箱它和你原来的邮箱属于同一个微软账户其实就是给你原来的账号起了个别名。将其设置为主要再更改登录首选项只保留这个别名✅验证原来的邮箱已经不能用于登录了注意日常使用尽量不要用这个登录邮箱避免又暴露了。
