Microsoft账号被盗了

Tongzifang

昨晚给新电脑装全家桶，发现账号死活登不上去，还报账号不存在，一看邮箱，人嘛了 这个是按时序收到的邮件，现在我的账号还能找回来么。

Andrue

hein 发表于 2024-5-3 09:11
问问微软自家令牌问题，因为github要强制令牌，好像可以用微软的。

我用过steam的令牌，因为steam绑定了 ...

自建bitwarden或者类似的1password都支持2fa令牌以及passkey登录，使用起来注意保管数据库和解锁口令就行了，强口令交给管理器

—— 来自 Xiaomi Redmi K20 Pro, Android 13上的 S1Next-鹅版 v2.5.2-play

eilot

看了唯一一個被撞的
是由28/4開始被撞，不停要求同步
IP每次不同，但來源全是中國
這個被撞帳戶其實有點想刪，反正都是以前舊公司為了工作臨時申請

moliyumi

看了下我的，五一期间上百条登录失败，遍布全世界，连塞舌尔都有，唯独没有中国……

ma05758

刷到帖子去看了一样 一堆登录失败的
微软怎么回事

镜中的鲇川圆

刚才收到提醒，看了一下，每天十几次的登陆失败

晨曦之下

AyCoodt 发表于 2024-5-3 16:29
但是恢复代码不也是静态的，在开启两步验证的时候会自动生成恢复代码，然后恢复代码也可以重置账 ...

恢复代码有ms的保护措施 保证你不会被暴力破解
这种一次性密码也不存在泄露风险 你在其他网站不可能用这个恢复密码当账号密码
其他账号可不一定有同级别的监管措施

至于明文保存恢复密码被盗这种极小概率事件你非要杠
那么哪怕银行的ukey这种实体密钥加手机动态密码加本人身份证都可以被偷 可以进行盗刷

GStar

前段时间，连续两天凌晨手机令牌跳登录请求，给我吵醒了，于是按照坛友们前段时间发的那个帖子，改了备用邮箱登录，就安静了

netplaying

看了一下自己的微软账户活动记录，每天固定时间几十次登录失败，登陆地点遍布全国，不过我设了强密码和备用邮箱，问题不大吧。

循此苦旅

看了下我的，上个月有两次尝试登录

hein

啪啦啦啦啦 发表于 2024-5-6 20:06
抱歉才看到你的消息。这个描述对我来说有点复杂，而且我确实没有换过设备，所以没法说亲身感受。不过我找 ...

我看了看下面的说明，应该可以通过电话，这样丢了一次性密钥应该问题不大。
还有就是，我想，更换新设备成功前，旧设备别登出应该也能苟等到新设备测试功能都OK再说。

---------------------------------
恢复需要更多验证的帐户
如果通过个人、工作或学校帐户使用推送通知，屏幕上会显示一条警报，指出在恢复信息之前，必须先提供附加验证。 由于推送通知要求使用绑定到特定设备的凭据，而且永远不会通过网络发送，因此，在设备上创建凭据之前，必须先证明自己的身份。

对于个人 Microsoft 帐户，可以通过输入密码以及备用电子邮件或电话号码来证明身份。 对于工作或学校帐户，必须扫描帐户提供商提供的 QR 码。

烦不烦

看了一眼 我的有中国各地的还有德国登录的也下载了令牌app

bonnwang

guizebug 发表于 2024-4-21 10:08
看安全记录，我最常用那个的outlook基本每分钟都会被人尝试登陆，虽然早就上了强密码，不过哪天被暴力撞出 ...

我的账户世界各地尝试登陆

skyuni

我草，看了一下登录记录，也是一串的试探失败

啪啦啦啦啦

hein 发表于 2024-5-3 09:11
问问微软自家令牌问题，因为github要强制令牌，好像可以用微软的。

我用过steam的令牌，因为steam绑定了 ...

抱歉才看到你的消息。这个描述对我来说有点复杂，而且我确实没有换过设备，所以没法说亲身感受。不过我找了一篇微软自己出的说明，可能会有用：
https://support.microsoft.com/zh ... 8-bc43-49bc1a700a40

八里流

看了一眼发现隔两天就有撞库失败的记录，直接把邮箱换新的了

ambivalence

从几个月之前就一直开着两步验证 天天有人来撞我库
还好我所有涉及到钱的账号密码都不是通用的

sd4002991

主要账号全开了两步验证或者令牌

—— 来自 OPPO PGEM10, Android 14上的 S1Next-鹅版 v2.5.2-play

JetBrains

咬咬牙买了两个 Yubikey还是这种东西给力

—— 来自 HONOR REA-AN00, Android 14上的 S1Next-鹅版 v3.0.0-alpha

kivz

你们是用了什么插件吗？还是长期不换密码？怎么能那么多的

liyropen

随时间变动的动态验证码和恢复代码本质都是静态密码，关键是密码本身的暴露概率如何。
动态验证码是基于长密钥+时间生成的，密钥本身除非侵入设备或者自己乱发验证码的二维码（里边就带这密钥信息），否则密钥是没有暴露的机会的，暴力试错难度也高。设备带动态码的话还是建议将其本身都加密上最少也设备加 PIN，keepass 是可以支持 TOTP 的。
恢复密钥就是只能用一次的东西，没的暴露。至于暴力试错，没事看看邮箱吧，总会有些提醒的

—— 来自 S1Fun

windaria

完全不知道自己有没有被盗号或者被尝试盗号，因为用着虚拟专用网络连接，ip很乱

AyCoodt

晨曦之下 发表于 2024-5-3 11:58
两步验证是动态验证码+人工确认
keepass生成的是静态密码
只要是静态密码就存在被复制/猜出来的可能性

但是恢复代码不也是静态的，在开启两步验证的时候会自动生成恢复代码，然后恢复代码也可以重置账户密保

晨曦之下

無始無終 发表于 2024-5-3 11:13
哦草，KeePass那个用Argon2d自动生成密码的能防这个吗

—— 来自 S1Fun

两步验证是动态验证码+人工确认
keepass生成的是静态密码
只要是静态密码就存在被复制/猜出来的可能性

eilot

無始無終 发表于 2024-5-3 11:13
哦草，KeePass那个用Argon2d自动生成密码的能防这个吗

—— 来自 S1Fun

兩回事

自動生成密碼一樣可以被撞碼，只是時間問題，和看微軟等網站，在有人連續錯誤密碼輸入有何表示

太複雜的話，戶外想登入就非常麻煩(雖然手機都是一直登入常用的網站電郵等服務)


基本上暫時最安全都是開兩步驗證，用手機/電郵隨便一個來再收短訊

黑夜守望者

看了这贴查了下也发现账号好多登录失败记录

無始無終

哦草，KeePass那个用Argon2d自动生成密码的能防这个吗

—— 来自 S1Fun

绚烂航迹云

查了下，最近有频繁登录失败的记录
看来是普遍现象么…可怕

----发送自 Sony XQ-AT72,Android 12

eilot

一個常用的沒事

但另一個以前工作用但已經半棄置就近月不停被撞
另一個也是半棄置也沒事

當然全部都有兩步，是常用那個又手機又電郵又藍牙又...兩個半棄置就綁了舊公司的電郵

UCXCU

微软那个无密码登录功能是不是有bug，开了无密码用令牌登录之后edge手机版登录账号老失败，提示账号存在风险需要增加密码

—— 来自 S1Fun

天知道

dvd6 发表于 2024-5-3 09:03
我看了下自己微软账号的访问记录，也是平均每天都有两三次登录失败记录，可怕 ...

我一直没注意，没想到上去看了一下，也是每天两三次的失败，有点可怕；印象中2020年前没有这回事。
老婆笑我说你的微软账号又不值钱。。。

hein

啪啦啦啦啦 发表于 2024-4-21 11:35
个人的hotmail半年前被攻击过，于是用了微软自家的手机令牌，现在用起来感觉还不错。 ...

问问微软自家令牌问题，因为github要强制令牌，好像可以用微软的。

我用过steam的令牌，因为steam绑定了手机号，我之前换手机，忘记最早的拯救码，可以靠手机和邮箱重新激活。

微软令牌如果换了手机，在忘记最早绑定令牌拯救码（包括Github）的前提下有没有办法用手机号码什么重新激活，并登录Github？反正Github不能用国内手机，我很犹豫。

我的微软账号都有绑定手机。

dvd6

我看了下自己微软账号的访问记录，也是平均每天都有两三次登录失败记录，可怕

dvd6

我看了下自己微软账号的访问记录，也是平均每天都有两三次登录失败记录，可怕

月夜凝雪

绑了手机会不会好点？昨天刚绑的

zxw11211

Cookie是什么，别等被盗了才去了解！！！ - 知乎
https://zhuanlan.zhihu.com/p/600704904

还有最好不要过于自信裸奔，盗号不止靠密码

snarc1

强密码自己手动物理备份，平时登陆就靠令牌或者自动充填，这种算是兼备安全与方便

论坛助手,iPhone

芜湖挨宰

可怕。

gdx23532

我也是，令牌里全是登录失败记录

重巡羊舰

authenticator装起来，令牌还是靠谱的，只要手机不丢问题就不大自己电脑登陆没事都要你验证下令牌……虽然麻烦…但是，起码保安全

被你们一说，看了下我微软账号……只能说丧心病狂的登录信息…得亏装了令牌