微软账号貌似遇到盗号情况

@yunyingfeng +1
应该是有人搞事情

微软积分了解下，可以兑换京东卡、KFC 。刷的人太多了

@mmdsun 啊，，这个在哪儿看，从来没关注过，主要平常用的次数也不多

@lw10645 搜下：microsoft rewards 积分

我的账号设置了无密码登录，没有 app 弹窗但是一直收到这种早已经停用的邮箱验证码，账号活动中也没有相关记录，不知道是靠什么方法实现的
https://i.postimg.cc/gcNfPdWQ/Screenshot-2024-10-18-142541.png

@boywang004 https://account.live.com/proofs/manage/additional 登入账号后在下面的 additional security 设置关闭密码，然后 2fa 作为唯一的验证方式

@moexizer 感谢，看到了。确认我这个「无密码账户」是关闭状态，没有开启。并且 2FA 是开着的状态。

我理解这种情况下，应该是输入对密码才能触发 OTP 才对的吧……然而我这里也经常 Authenticator 弹登陆请求提示。

弹窗倒是没有，邮件代码都是收到不少，启用了两步身份验证，邮件代码也随着消停了

微软账户的 authenticator 的验证逻辑极易造成疲劳攻击。
照理开启了 mfa ，需要密码正确才会触发多重验证。但是微软为了“提升”验证体验，并搞了个无密码登录，这样输入用户名就直接弹 authenticator 验证了。
在无数次数据泄露的累积下，大家的 email 地址就被不停的尝试登录。虽然 authenticator 那头会有几个随机数字让你选，但是在不停歇的轰炸下，总有可能按错，那后果就是账号被盗了。
另外查看微软账号的活动日志，就会发现，就算账号开启了无密码登录，还会有无数的记录为密码错误的登录尝试，但这些并没有弹 authenticator 验证。很有可能是 bot 在那里扫 api 的结果。但微软不应该把这种还是用密码登录的尝试都 ban 掉吗？
我是很希望微软能把 entraid 的一些功能下放给普通用户，比如可以设置登录区域限制，非本国地址的登录全部拒绝，这样可以用最简单的手段规避掉大量的噪音。
在目前的情况下，也只有#14 楼的办法，设置别名，只允许这个别人都不知道的别名登录。但是过一段时间，这个别名有可能还得换。

我这里就很离谱了，甚至有不是我本人操作的登录成功的记录。改强密码也没用，过个 3 天左右，又会登录成功（当然也有失败的记录）。而这期间无论登录成功还是失败，authenticator 没有任何反应。印象中只有今年 9~10 月时偶尔会收到让我选数字代码以登录的请求，但我都点了拒绝。