如何保护你的Microsoft账户并防止攻击者入侵
保障你的微软账户安全:防范入侵者攻击的方法
你最有价值的在线账户是哪个,最值得保护?如果你有一个个人的微软账户,那这个账户应该是你最不舍得保护的之一。尤其是如果你使用这个账户及其关联的电子邮件地址来登录一个或多个Windows电脑,或者使用Office应用程序在Microsoft 365和Microsoft的OneDrive云存储服务中创建和保存文档。
专题特辑
在这篇文章中,我列出了七个步骤,可以帮助你保护账户免受网络攻击。你的目标是防止未经授权的人窃取你的账户凭据,并使用它们来访问你的私人信息。
一如既往,便利性和安全性之间需要权衡,所以我将这些步骤分成三组,根据你想要多么严密地保护你的微软账户。
这里有一点需要特别注意:这篇文章所讨论的是与Microsoft 365 Family和Personal版本以及个人OneDrive服务一起使用的免费消费者微软账户。这些账户通常与@outlook.com域的电子邮件地址关联,尽管较旧的账户也可能使用@hotmail.com、@live.com或@msn.com。使用OneDrive for Business云服务的企业和商务Microsoft 365账户的安全设置由域管理员通过Azure Active Directory进行管理,使用完全不同的一套工具。
- 15英寸的MacBook Air刚刚变成了更好的选择| ENBLE
- 联想刚刚降价4,470美元,这款具有128GB内存的笔记本电脑| ENBLE
- 为商业而建,这台强大的惠普笔记本电脑优惠1473美元| ENBLE
你需要多高的安全性?
基本线:对于大多数普通用户来说,基本安全级别(步骤1-3)是完全可以接受的,尤其是那些不将微软电子邮件地址作为主要登录因素的用户。如果你正在帮助一个技术上不熟练且对密码感到害怕的朋友或亲戚,这些选项会对他们的帮助很大。
第一步是为你的微软账户创建一个强密码,这个密码不要在任何其他账户中使用。接下来,你将启用两步验证(微软对多因素身份验证的称呼),以保护自己免受网络钓鱼和其他密码盗窃形式的威胁。启用此功能需要你在第一次在新设备上登录或执行高风险操作(如更改密码或向账户添加信用卡)时提供额外的身份证明。额外验证通常包括通过短信文本消息发送到受信任设备或通过电子邮件消息发送到注册备用账户的代码。
最后,你将保存一个恢复代码,以便在忘记密码且无法访问其他身份验证方式时访问你的账户。
更好:这些基本预防措施已经足够,但你可以通过步骤4和5进一步加强安全性。
首先,在你的智能手机上安装微软身份验证器应用程序(适用于iPhone和Android设备),并设置其作为登录和验证选项。然后,添加一个安全的电子邮件地址作为备份验证因素来确认你的身份。
最高级:最后两个步骤提供了最极端的安全性,除了微软身份验证器应用程序外,还要添加至少一个物理硬件密钥,然后将短信文本消息作为备份验证因素移除。通过这种配置,你仍然可以使用手机作为身份验证因素,但攻击者无法通过截取短信或劫持你的手机账户来侵入你的账户。
这种配置对于即使是最坚决的攻击者来说都设立了重重障碍。它需要额外投资硬件,而且它在登录过程中确实增加了一些阻力,但它绝对是保护您的Microsoft账户的最有效的方法。
让我们开始吧。
以下是如何保护您的Microsoft账户的步骤
第一步:创建一个新的、强密码
首先要做的事情是,为您的Microsoft账户创建一个强密码。Microsoft要求密码的最小长度为8个字符,但安全专家建议您将密码长度设置更长。一个好的长度是12-16个字符,可以使用任意随机组合的大写和小写字母、数字和特殊字符。您也可以使用由四个或更多随机选择的单词组成的密码短语,以特殊字符如连字符分隔。
确保满足这个要求的最佳方法是使用您的密码管理器的工具生成一个全新的随机密码或密码短语。(没有密码管理器?试试在线选项,如1Password强密码生成器或Bitwarden密码生成器。)
生成一个新密码可以确保您的账户凭证不与任何其他账户共享;它还可以保证您可能不经意地重新使用的旧密码不会成为密码泄露的一部分。
要更改密码,请前往Microsoft账户安全基本信息页面,网址是https://account.microsoft.com/security/。如果需要,请登录,然后点击更改密码。(但不要勾选需要72天后更改密码的框。这肯定会让您烦恼,并且并不能显著提高您的账户安全性。)
按照说明使用您的密码管理器保存新密码。如果您希望获得物理备份,可以随时将其写下来。只需确保将纸张存放在安全的地方,如锁定的文件抽屉或保险箱。
第二步:开启两步验证
不要立即离开Microsoft账户安全页面。相反,向上滚动到两步验证部分(在额外安全标题下),确保启用此选项。
设置过程是一个相当简单的向导,确认您能够接收验证消息。如果您使用具有最新版本iOS或Android的现代智能手机,可以安全地忽略为这些手机上的邮件客户端创建应用程序密码的提示。
第三步:创建一份恢复代码并将其存放在安全位置
下一步是保存恢复代码。如果您忘记密码而无法登录您的账户,拥有此代码将使您避免被永久锁定。
正如您在上一步所做的设置两步验证一样,它会自动提示您创建一个恢复代码。如果您没有保留该代码的副本,则需要创建一个新代码。在Microsoft账户安全基本信息页面上,找到高级安全选项部分,然后点击开始。这将带您到非常基本的Microsoft账户安全页面。(要直接转到那里,将此地址加入书签:https://account.live.com/proofs/Manage/additional。)
滚动到页面底部,查找恢复代码部分。点击生成一个新代码以显示如下所示的对话框。
打印出恢复代码并将其放在相同的锁定文件柜或安全箱中,此处您存储密码。 (Microsoft允许您一次只生成一个用于Microsoft账户的代码。生成新代码会使旧代码失效。)
现在让我们再介绍一些更高级的安全选项。
第四步:设置Microsoft Authenticator应用程序
智能手机应用程序生成基于时间的一次性密码算法(TOTP)代码是越来越受欢迎的多因素认证形式,我强烈建议您在任何支持它们的服务上使用它们。(有关这些选项的更多信息,请参见“保护自己:如何选择正确的双因素身份验证应用。”)
即使您在大多数服务上使用其他身份验证器应用程序,我仍建议您在Microsoft账户上使用Microsoft Authenticator。在此配置中,任何需要验证的登录尝试都会向您的智能手机发送推送通知。批准请求就完成了。
还有: 保护您的手机的最简单方法
额外的好处是Microsoft Authenticator应用程序可以用于无密码登录以及验证。
要使用Microsoft账户设置Microsoft Authenticator,请转到高级Microsoft账户安全页面,然后单击“添加新的登录或验证方式”。选择“使用应用程序”的选项,之后安装Microsoft Authenticator应用程序后,使用您的帐户凭据登录。
第五步:添加安全电子邮件地址作为验证方式
Microsoft建议您至少除密码外有两种可用的验证方式。如果您需要重置密码,并启用了两步验证,您将需要提供这两种身份识别方式,否则您可能会被永久锁定。
如果您的安全需求很低,可以使用免费的电子邮件地址,比如Gmail账户,但由专业的IT工作人员保护的企业电子邮件地址会是更好的选择。必要时,您可以将验证代码发送到该电子邮件地址。
转到高级Microsoft账户安全页面,然后单击“添加新的登录或验证方式”。
选择“电子邮件代码”选项,输入您的电子邮件地址,然后输入您收到的代码以确认该验证选项。
第六步:移除短信短信作为验证方式
此时,您应该有足够安全的身份验证方式和身份验证自己的方法。这意味着现在是时候移除链条中最薄弱的环节:短信短信了。
从安全角度来看,短信短信有问题的原因是攻击者可以劫持您的移动账户。这在几年前曾发生在我ENBLE同事Matthew Miller身上,我不希望任何人遭遇那样的噩梦。(有关详细信息和一些其他安全建议,请参见“保护您的在线身份:通过这5种安全措施与黑客抗争。”)
在更改此设置之前,请确认您至少有两种可选的验证方式(最好是安全的电子邮件地址和Microsoft Authenticator应用程序),并且已为该账户保存了恢复代码。然后,从高级Microsoft账户安全页面,展开”发送代码到手机”部分。
单击“移除”以取消此选项。
第七步:使用硬件安全密钥进行身份验证
这一步是所有步骤中最先进的。它需要额外的硬件投资,但必须插入USB口或通过蓝牙或NFC连接设备的要求提供了最高级别的安全性。
关于这类硬件的工作原理的概述,请参阅“YubiKey亲身实践:基于硬件的双因素认证更安全,但需注意这些陷阱。”
要配置硬件密钥,请转到高级Microsoft Account安全页面并点击“添加新的登录或验证方式”。选择“使用安全密钥”选项,然后按照提示进行操作。您需要输入硬件密钥的PIN码,然后点击激活。完成设置后,您将获得一种强大的登录方式,可以在不必为密码烦恼的情况下登录任何由Microsoft账户提供支持的服务。
正如我在本文开头提到的,大多数人不需要这种高级保护级别。但如果您的OneDrive账户包含像纳税申报和银行对账单这样有价值的文件,您将希望尽可能严密地保护它。
