Microsoft账号被盗了

绚烂航迹云

查了下，最近有频繁登录失败的记录
看来是普遍现象么…可怕

----发送自 Sony XQ-AT72,Android 12

無始無終

哦草，KeePass那个用Argon2d自动生成密码的能防这个吗

—— 来自 S1Fun

黑夜守望者

看了这贴查了下也发现账号好多登录失败记录

eilot

無始無終 发表于 2024-5-3 11:13
哦草，KeePass那个用Argon2d自动生成密码的能防这个吗

—— 来自 S1Fun

兩回事

自動生成密碼一樣可以被撞碼，只是時間問題，和看微軟等網站，在有人連續錯誤密碼輸入有何表示

太複雜的話，戶外想登入就非常麻煩(雖然手機都是一直登入常用的網站電郵等服務)


基本上暫時最安全都是開兩步驗證，用手機/電郵隨便一個來再收短訊

晨曦之下

無始無終 发表于 2024-5-3 11:13
哦草，KeePass那个用Argon2d自动生成密码的能防这个吗

—— 来自 S1Fun

两步验证是动态验证码+人工确认
keepass生成的是静态密码
只要是静态密码就存在被复制/猜出来的可能性

windaria

完全不知道自己有没有被盗号或者被尝试盗号，因为用着虚拟专用网络连接，ip很乱

liyropen

随时间变动的动态验证码和恢复代码本质都是静态密码，关键是密码本身的暴露概率如何。
动态验证码是基于长密钥+时间生成的，密钥本身除非侵入设备或者自己乱发验证码的二维码（里边就带这密钥信息），否则密钥是没有暴露的机会的，暴力试错难度也高。设备带动态码的话还是建议将其本身都加密上最少也设备加 PIN，keepass 是可以支持 TOTP 的。
恢复密钥就是只能用一次的东西，没的暴露。至于暴力试错，没事看看邮箱吧，总会有些提醒的

—— 来自 S1Fun

kivz

你们是用了什么插件吗？还是长期不换密码？怎么能那么多的

JetBrains

咬咬牙买了两个 Yubikey还是这种东西给力

—— 来自 HONOR REA-AN00, Android 14上的 S1Next-鹅版 v3.0.0-alpha

sd4002991

主要账号全开了两步验证或者令牌

—— 来自 OPPO PGEM10, Android 14上的 S1Next-鹅版 v2.5.2-play

ambivalence

从几个月之前就一直开着两步验证 天天有人来撞我库
还好我所有涉及到钱的账号密码都不是通用的

八里流

看了一眼发现隔两天就有撞库失败的记录，直接把邮箱换新的了

啪啦啦啦啦

hein 发表于 2024-5-3 09:11
问问微软自家令牌问题，因为github要强制令牌，好像可以用微软的。

我用过steam的令牌，因为steam绑定了 ...

抱歉才看到你的消息。这个描述对我来说有点复杂，而且我确实没有换过设备，所以没法说亲身感受。不过我找了一篇微软自己出的说明，可能会有用：
https://support.microsoft.com/zh ... 8-bc43-49bc1a700a40

skyuni

我草，看了一下登录记录，也是一串的试探失败

bonnwang

guizebug 发表于 2024-4-21 10:08
看安全记录，我最常用那个的outlook基本每分钟都会被人尝试登陆，虽然早就上了强密码，不过哪天被暴力撞出 ...

我的账户世界各地尝试登陆

烦不烦

看了一眼 我的有中国各地的还有德国登录的也下载了令牌app

hein

啪啦啦啦啦 发表于 2024-5-6 20:06
抱歉才看到你的消息。这个描述对我来说有点复杂，而且我确实没有换过设备，所以没法说亲身感受。不过我找 ...

我看了看下面的说明，应该可以通过电话，这样丢了一次性密钥应该问题不大。
还有就是，我想，更换新设备成功前，旧设备别登出应该也能苟等到新设备测试功能都OK再说。

---------------------------------
恢复需要更多验证的帐户
如果通过个人、工作或学校帐户使用推送通知，屏幕上会显示一条警报，指出在恢复信息之前，必须先提供附加验证。 由于推送通知要求使用绑定到特定设备的凭据，而且永远不会通过网络发送，因此，在设备上创建凭据之前，必须先证明自己的身份。

对于个人 Microsoft 帐户，可以通过输入密码以及备用电子邮件或电话号码来证明身份。 对于工作或学校帐户，必须扫描帐户提供商提供的 QR 码。

netplaying

看了一下自己的微软账户活动记录，每天固定时间几十次登录失败，登陆地点遍布全国，不过我设了强密码和备用邮箱，问题不大吧。

GStar

前段时间，连续两天凌晨手机令牌跳登录请求，给我吵醒了，于是按照坛友们前段时间发的那个帖子，改了备用邮箱登录，就安静了

晨曦之下

AyCoodt 发表于 2024-5-3 16:29
但是恢复代码不也是静态的，在开启两步验证的时候会自动生成恢复代码，然后恢复代码也可以重置账 ...

恢复代码有ms的保护措施 保证你不会被暴力破解
这种一次性密码也不存在泄露风险 你在其他网站不可能用这个恢复密码当账号密码
其他账号可不一定有同级别的监管措施

至于明文保存恢复密码被盗这种极小概率事件你非要杠
那么哪怕银行的ukey这种实体密钥加手机动态密码加本人身份证都可以被偷 可以进行盗刷

镜中的鲇川圆

刚才收到提醒，看了一下，每天十几次的登陆失败

ma05758

刷到帖子去看了一样 一堆登录失败的
微软怎么回事

moliyumi

看了下我的，五一期间上百条登录失败，遍布全世界，连塞舌尔都有，唯独没有中国……

eilot

看了唯一一個被撞的
是由28/4開始被撞，不停要求同步
IP每次不同，但來源全是中國
這個被撞帳戶其實有點想刪，反正都是以前舊公司為了工作臨時申請

Andrue

hein 发表于 2024-5-3 09:11
问问微软自家令牌问题，因为github要强制令牌，好像可以用微软的。

我用过steam的令牌，因为steam绑定了 ...

自建bitwarden或者类似的1password都支持2fa令牌以及passkey登录，使用起来注意保管数据库和解锁口令就行了，强口令交给管理器

—— 来自 Xiaomi Redmi K20 Pro, Android 13上的 S1Next-鹅版 v2.5.2-play