微软身份验证器新增号码匹配功能 登录时更麻烦但也确实提高安全性
微软身份验证器在很早的时候就支持点击确认登录,当用户登录微软账号时只需要在验证器上点击批准即可。
这个功能对于无密码用户来说还是比较好用的,既不需要输入密码、也不需要输入动态验证码就能快速登录。
问题在于黑客也可以利用这种验证机制存在的某种缺陷,这种缺陷并非是微软身份验证器的,而是用户自己。
微软使用点击登录的验证方式确实可以简化用户登录,问题在于黑客也可以输入任意用户账号发起登录请求。
正如我们收到短信验证码时,提供商一般会标注不要将验证码告诉任何人,收到登录请求也不应该随意批准。
理论上说只有用户自己登录发起请求后自己再批准,但有些用户并不理解这个或者误操作导致批准黑客登录。
之前微软使用的数字验证是三选一,但三选一的情况下还是有一定概率被坑,这对初级用户来说还是有风险。
看起来微软应该是检测到不少类似攻击或收到用户反馈,所以在最新版本中微软要求用户输入验证码再批准。
即日起用户发起微软身份验证器的请求时,登录页面将显示两位数验证码,用户必须在验证器上输入验证码。
通过这种号码匹配机制,用户无法在不知道的情况下批准登录,因此可以提高安全性避免误操作导致的问题。
当然增加号码匹配机制后用户需要在手机上输入两位数验证码,这样登录流程确实又麻烦些,但这也是无解。