互联网时代,密码已成为生活中的必需品,每个人都有非常多密码,例如银行密码、社交账号密码、游戏账号密码等等。我们的数字生活大多数时候都依赖密码做安全保护,然而,密码本身的安全性却很差,原因主要有两方面:
- 用户不擅长管理密码,会为了方便而使用弱密码。例如,很多人习惯用姓名 生日做密码,在多个平台上重复使用相同的密码。
- 黑客可以利用很多技术或工具来偷取用户的密码。例如,使用密码字典攻击常用密码,发送钓鱼链接骗取用户“主动奉上”密码,借助GPU和大量云主机暴力破解密码。
安全专家们老早就意识到依靠密码做身份验证并不理想,并且也一直在努力创造更安全的验证方式来代替密码。
微软公司早在1999年就推出了Passport认证服务以尝试代替密码验证,但可能由于当时的技术水平有限,该服务存在严重的缺陷,在数年后被放弃了。十五年前,比尔盖茨也曾在RSA2006大会中发表安全演讲时指出:“让密码在三四年内开始退休”,但也迟迟未能真正实现。
直到近日,微软终于正式宣布“杀死”密码,允许用户删除帐户密码。
如何删除微软密码
- 安装 微软验证器(Microsoft Authenticator),并且链接到你的微软帐户
- 登录微软帐户,打开高级安全选项,在其他安全选项中,点击开启无密码帐户
- 按照屏幕上的提示继续操作,就可以成功删除帐户密码
- 下次登录时,在手机的微软验证器中,批准登录请求即可
注意,登录请求需要使用苹果或谷歌的推送服务,国内安卓用户貌似用不了。
是否应该删除密码
是,我们建议你删除密码,更加安全,体验也更好。
与以前简单的密码验证登录相比,无密码手机登录确实有更多优势。
- 用户在手机上批准登录时需要进行身份验证,以确保是本人在操作。
使用密码的话,黑客或身边的“小人”知道你的密码就可以登录你的帐户;而删除了密码的话,他们需要拿到你的手机并且通过生物识别解锁后才能批准登录,安全性大大提升。
- 使用苹果或谷歌的推送服务,信息传输的安全风险较低。
无密码登录请求会通过苹果或谷歌的推送服务发送到你的手机上,只有认证的开发者的app可以推送,其他人无法干扰。而且开启推送服务必须要得到你的许可,你还可以随时取消推送通知。
- 不用记密码输密码,在手机上点一下批准即可登录,非常方便。
仔细研究使用过程,会发现微软的无密码手机登录设计仍然存在一些不足。
- 微软验证器不支持备份数据,如果手机坏了或丢了,用户就不能接收推送服务通知,无法批准登录请求。
发生这种情况的话,用户只能走微软的身份验证流程,重置密码。
- 使用绑定的邮箱、手机号等接收验证码来重置密码,那就等同于把账号安全转变为依赖邮箱、手机短信安全,并没有从根本上解决问题。
邮箱、手机短信的安全性可能没有你想象中高。2015年,乌云发现新漏洞:网易邮箱过亿数据泄漏; 不少研究表明短信身份验证机制也有重大安全隐患,针对一次性验证码短信的安全性研究(上)
如果之前已经为帐户开启了双重验证,那需要接收两次验证码,都通过了才能重置密码。
如果绑定的邮箱、手机号等因各种原因无法接收验证码,那只能继续点击“我没有其中任何一项”,使用帐户恢复代码来重置密码。
- 使用恢复代码来重置密码,用户需要输入长达25位的字符。试问有多少用户真的有把恢复代码保存下来呢,估计有些用户甚至连恢复代码是什么都不知道...
如果恢复代码也忘了,那就继续点击“否”,通过填写问题表单来向微软申请恢复帐户。
- 以上两种重置密码的方式都不能使用的话,那就只能向微软申请恢复帐户,填写问题表单以证明该帐户是你的。但是,如果之前已经为帐户开启了双重验证,是无法使用这种方法恢复帐户的。
问题表单长下图这样,需要输入正确的信息,然后微软官方会去评估你是否就是该帐户的所有者。
- 小编在试用的过程中还发现,该服务目前可能存在一些bugs导致无法成功删除密码。例如,开启无密码帐户时会弹出未发送请求的提示框。
更多安全建议
如果你决定删除密码,那我们建议你再做好以下几点:
- 在多部手机(如果有)上添加验证绑定,以防手机坏了或丢了而导致无法接收登录请求通知。
- 为帐户启用双重验证,保护好备用恢复邮箱,以防某一邮箱泄露而影响帐户安全。 邮箱通信对于邮箱服务商来说都是明文的,这相当于将重置帐户密码时可选的一个身份验证选项交到你不认识的一群人手中,所以一定要启用双重验证。
- 设置TOTP验证码(基于时间的一次性密码),并且将它保存在支持备份的存储产品中。 不建议使用没有端到端加密的云同步产品,因为没有端到端加密也相当于将身份验证选项交到你不认识的一群人手中。当然,还要好好了解厂商使用的端到端加密技术能否验证,毕竟连Facebook这种大厂也没有按照声称的那样做好,看这个 WhatsApp 安全再受指控,端到端加密无从验证?。TOTP不需要联网,只需要时间同步,所以最好还是使用完全离线的产品来保存它。
- 保存好恢复代码。可以手写下来放在家里,也可以将它存储在具备良好加密设计的密码管理器中,至少采用第二代加密技术保护信息,看这个 密码管理器进化史(2/4)。