微软正推进 Microsoft Authenticator 的验证交互调整,将部分场景中的三选一确认改为输入两位数字,以降低误点、疲劳审批等风险。这一变化反映出多因素认证正在从“可用性优先”走向“安全性与体验平衡”,也提醒企业重新审视身份验证、账号恢复和合规管理策略。
今日技术观察 IT之家 6 月 19 日消息,科技媒体 Windows Central 昨日(6 月 18 日)发布博文,报道称微软正逐步调整 Microsoft Authenticator 应用登录页面,将原有的三选一点击验证改为手动输入两位数字。IT之家援引博文介绍,这项调整已陆续部署到企业与教育账户中,目前正加速推进覆盖个人微软账户。在此前版本身份验证中,用户在执行登录操作后,手机端会呈现 3 个数字,用户点击匹配的选项即可,从概率角度盲猜正确 01 背景速览 背景速览:据相关报道,微软正在逐步调整 Microsoft Authenticator 的登录验证方式。过去,用户在登录后可在手机端从三个数字中选择匹配项;新的方式则要求用户手动输入登录页面显示的两位数字。按照报道中的说法,前者在盲猜情况下理论命中概率约为三分之一,后者则降至约百分之一。该机制此前已在企业与教育账户中推进,目前正在加速覆盖个人微软账户。 02 趋势影响 趋势影响:这一变化背后,是多因素认证从“简单确认”向“更强上下文验证”演进的趋势。仅依赖推送点击,虽然操作方便,但在用户频繁收到验证请求时,可能出现疲劳审批、误触或被诱导同意的情况。数字匹配并不能替代完整的身份安全体系,但它提高了用户完成验证时的注意力门槛,也让攻击者更难单纯依靠连续推送来获得授权。 03 企业应用启发 企业应用启发:对企业而言,身份安全不应只停留在“是否启用 MFA”这一层面,还需要关注 MFA 的具体实现方式、默认策略和异常检测能力。企业可以结合自身业务,评估是否需要启用数字匹配、条件访问、设备合规检查、风险登录提醒等机制。同时,在企业数字化和云服务使用不断增加的背景下,统一身份管理、最小权限原则和账号生命周期治理也应同步推进。 04 合规观察 合规风险提醒:在强化认证体验时,企业还需要兼顾可访问性、员工培训和账号恢复流程。报道中也提到,微软正逐步减少对短信验证的依赖,因为短信验证码可能面临拦截、重定向或 SIM 卡交换等风险。但短信仍是普及度较高的恢复方式,尤其对部分低端设备用户或非技术用户更友好。因此,企业在调整认证策略时,应避免“一刀切”,并确保备选验证方式、应急恢复机制和用户告知流程符合安全与合规要求。 05 开放讨论 开放讨论问题:企业在推进 MFA 时,应该优先考虑便利性还是安全强度?数字匹配是否足以缓解 MFA 疲劳攻击,还是必须结合条件访问和行为风控?如果逐步减少短信验证,企业应如何为不同技术能力、不同设备条件的员工设计更稳妥的账号恢复方案?欢迎围绕身份安全、云账号治理和企业数字化实践展开讨论。 公开来源参考 微软推进 Authenticator 身份验证从点击改为输入,猜中概率从 33% 降至 1%