我应该删除微软帐户密码吗？

原创

神锁离线版

修改于 2021-09-24 10:09:18

1.6K0

修改于 2021-09-24 10:09:18

文章被收录于专栏：密码安全与管理

互联网时代，密码已成为生活中的必需品，每个人都有非常多密码，例如银行密码、社交账号密码、游戏账号密码等等。我们的数字生活大多数时候都依赖密码做安全保护，然而，密码本身的安全性却很差，原因主要有两方面：

用户不擅长管理密码，会为了方便而使用弱密码。例如，很多人习惯用姓名+生日做密码，在多个平台上重复使用相同的密码。
黑客可以利用很多技术或工具来偷取用户的密码。例如，使用密码字典攻击常用密码，发送钓鱼链接骗取用户“主动奉上”密码，借助GPU和大量云主机暴力破解密码。

安全专家们老早就意识到依靠密码做身份验证并不理想，并且也一直在努力创造更安全的验证方式来代替密码。

微软公司早在1999年就推出了Passport认证服务以尝试代替密码验证，但可能由于当时的技术水平有限，该服务存在严重的缺陷，在数年后被放弃了。十五年前，比尔盖茨也曾在RSA2006大会中发表安全演讲时指出：“让密码在三四年内开始退休”，但也迟迟未能真正实现。

直到近日，微软终于正式宣布“杀死”密码，允许用户删除帐户密码。

如何删除微软密码

安装微软验证器(Microsoft Authenticator)，并且链接到你的微软帐户
登录微软帐户，打开高级安全选项，在其他安全选项中，点击开启无密码帐户

按照屏幕上的提示继续操作，就可以成功删除帐户密码

下次登录时，在手机的微软验证器中，批准登录请求即可

注意，登录请求需要使用苹果或谷歌的推送服务，国内安卓用户貌似用不了。

是否应该删除密码

是，我们建议你删除密码，更加安全，体验也更好。

与以前简单的密码验证登录相比，无密码手机登录确实有更多优势。

用户在手机上批准登录时需要进行身份验证，以确保是本人在操作。

使用密码的话，黑客或身边的“小人”知道你的密码就可以登录你的帐户；而删除了密码的话，他们需要拿到你的手机并且通过生物识别解锁后才能批准登录，安全性大大提升。

使用苹果或谷歌的推送服务，信息传输的安全风险较低。

无密码登录请求会通过苹果或谷歌的推送服务发送到你的手机上，只有认证的开发者的app可以推送，其他人无法干扰。而且开启推送服务必须要得到你的许可，你还可以随时取消推送通知。

不用记密码输密码，在手机上点一下批准即可登录，非常方便。

仔细研究使用过程，会发现微软的无密码手机登录设计仍然存在一些不足。

微软验证器不支持备份数据，如果手机坏了或丢了，用户就不能接收推送服务通知，无法批准登录请求。

发生这种情况的话，用户只能走微软的身份验证流程，重置密码。

使用绑定的邮箱、手机号等接收验证码来重置密码，那就等同于把账号安全转变为依赖邮箱、手机短信安全，并没有从根本上解决问题。

邮箱、手机短信的安全性可能没有你想象中高。2015年，乌云发现新漏洞：网易邮箱过亿数据泄漏；不少研究表明短信身份验证机制也有重大安全隐患，针对一次性验证码短信的安全性研究（上）

如果之前已经为帐户开启了双重验证，那需要接收两次验证码，都通过了才能重置密码。

如果绑定的邮箱、手机号等因各种原因无法接收验证码，那只能继续点击“我没有其中任何一项”，使用帐户恢复代码来重置密码。

使用恢复代码来重置密码，用户需要输入长达25位的字符。试问有多少用户真的有把恢复代码保存下来呢，估计有些用户甚至连恢复代码是什么都不知道...

如果恢复代码也忘了，那就继续点击“否”，通过填写问题表单来向微软申请恢复帐户。

以上两种重置密码的方式都不能使用的话，那就只能向微软申请恢复帐户，填写问题表单以证明该帐户是你的。但是，如果之前已经为帐户开启了双重验证，是无法使用这种方法恢复帐户的。

问题表单长下图这样，需要输入正确的信息，然后微软官方会去评估你是否就是该帐户的所有者。

小编在试用的过程中还发现，该服务目前可能存在一些bugs导致无法成功删除密码。例如，开启无密码帐户时会弹出未发送请求的提示框。