微軟身份驗證器用於無密碼登入

 

趨勢 放棄傳統密碼 在微軟生態系統中，這已成為現實，而微軟身份驗證器 (Microsoft Authenticator) 則成為了實現這一目標的關鍵，讓一切變得簡單安全。如果您厭倦了記住密碼、頻繁更改密碼或擔心資料洩露，那麼這款無密碼系統或許正是您一直在尋找的。

使用 Microsoft Authenticator，您可以 登入您的個人、職業和教育帳戶 只需使用您的手機和一個簡單的手勢：輸入密碼、指紋或臉部辨識。看似簡單的背後，卻蘊藏著一套基於金鑰和憑證的先進身分驗證系統，旨在降低憑證被盜和網路釣魚攻擊的風險。

什麼是 Microsoft Authenticator？無密碼登入是如何運作的？

Microsoft Authenticator 是一個 免費的移動應用程序 適用於 iOS y Android 它集中提供對您的 Microsoft 帳戶和許多其他相容帳戶的安全存取。它不僅顯示代碼，還允許您使用手機作為「鑰匙」來存取您的服務，而無需輸入密碼。

無密碼模式的操作是基於 使用公鑰進行身份驗證 （看看如何 啟動並使用密碼系統會產生一個與您的帳戶關聯的憑證，並透過加密方式連結到安裝應用程式的裝置。借助操作系統本身的安全機制，此憑證只能透過本地手勢（PIN 碼、指紋或臉部辨識）解鎖。

這種方法與之前使用的方法非常相似。 使用 FIDO2 按鍵的 Windows Hello 對於企業而言，該裝置可作為可信任存取點，使用者可透過生物辨識或 PIN 碼進行身份驗證。關鍵區別在於，Authenticator 幾乎可以在任何地方使用，而不僅限於電腦，因為它是專為 iOS 和 Android 行動裝置而設計。

當您使用 Microsoft Authenticator 進行無密碼登入時，典型的流程是該服務會向您顯示一個 螢幕上的數字 在您的手機上，該應用程式會要求您點擊同一個號碼以確認是您本人登入。它不會要求您輸入使用者名稱或密碼，只需要輸入該驗證碼以及您本地的解鎖方式。

使用 Microsoft Authenticator 的方法

Microsoft Authenticator 可以執行 三種不同的功能 這取決於你的配置方式以及每項服務的需求，因此你並不局限於單一模式。

首先，你可以將該應用程式用作 備份時 忘記密碼了嗎？在這種情況下，它用於批准通知或輸入臨時代碼，以便在您忘記密碼或需要證明您是合法所有者時重新獲得對帳戶的存取權。

第二種用法是作為 兩步驟驗證方法 或 MFA（多重身份驗證 (MFA)您仍然需要輸入密碼，但會增加第二層安全保障，即透過唯一的驗證碼或推播通知在您的手機上進行驗證，這使得攻擊者僅使用您的密碼登入變得更加困難。

第三種方案，也是本文重點討論的方案，是使用身份驗證器作為 獨特的登入方式在這種模式下，您完全無需密碼，整個過程是基於您在手機上收到的通知以及使用 PIN 碼或生物識別技術的本地驗證。

停止使用密碼的優勢

刪除密碼提供 對使用者和組織而言都有明顯的益處除了方便之外，其目標是減少與使用靜態金鑰相關的攻擊路徑。

一方面，不再需要寫密碼意味著你不再面臨… 網路釣魚竊盜鍵盤記錄器或重複使用從其他服務洩漏的密碼是常見的威脅。如果沒有可以輸入的密碼，那麼偽造的登入表單就無法竊取任何資訊。

從使用者體驗的角度來看，存取方式要複雜得多。 快速自然你只需像往常一樣解鎖手機，確認通知，就完成了。你無需為了滿足長度和複雜度要求而創建複雜的密碼或記住各種奇葩的組合。

企業也從中受益，因為 事件數量減少 為使用者提供密碼重設、帳戶鎖定和身份驗證問題的支援服務。在提升安全性的同時，使用者不會感到系統持續幹擾。

此外，Microsoft Authenticator 和以下方法： Windows 您好，實體安全鑰匙或簡訊驗證碼可提供 替代機制 針對不同的使用場景。雖然微軟和許多組織建議使用金鑰和無密碼身份驗證，但在無法使用行動裝置的情況下，仍然有一些補充選項，也提供了有關如何使用這些選項的詳細說明。 將您的手機用作 FIDO2 身份驗證器.

相容性、支援的帳戶和多帳戶使用

Microsoft Authenticator 適用於 iOS和Android設備 原生支持，並採用更新版本 OS 為了充分利用最新的安全改進，請務必將您的手機和應用程式都更新到最新版本。

關於它支援的帳戶，您可以將身份驗證器與您的帳戶一起使用。 微軟個人帳戶Microsoft Entra ID（以前稱為 Azure AD）專業或教育帳戶以及其他支援相同標準的帳戶。這涵蓋了從典型的 Outlook 電子郵件到使用 Microsoft Entra ID 的組織。 微軟365.

其中一個很大的優點是您可以進行配置 同一裝置上的多個帳戶 而且，如果你願意的話，甚至 將您的安卓裝置變成安全金鑰 改善 Windows 中的身份驗證體驗。

關於它支援的帳戶，您可以將身份驗證器與您的帳戶一起使用。 微軟個人帳戶Microsoft Entra ID（原 Azure AD）專業或教育帳戶以及其他符合相同標準的帳戶。這涵蓋了從普通 Outlook 電子郵件到使用 Microsoft 365 的組織機構等各種應用程式情境。

對於 Microsoft Entra ID 使用者（例如在多個組織工作的顧問或學生），可以新增身份驗證器。 同一租戶或不同租戶的多個帳戶 並為所有帳戶啟用無密碼模式。但是，同一裝置上的無密碼手機登入不支援訪客帳號。

請務必記住，您想要用於無密碼登入的每個裝置都必須是 已登記在每位租戶名下 例如，如果您同時使用 contoso.com 和 wingtiptoys.com，則必須將同一台行動裝置在這兩個網站上註冊，才能驗證關聯的帳戶。

使用 Microsoft Authenticator 無需密碼的前提條件

在開始使用無密碼模式之前，需要記住一些事項。 必須滿足的條件包括使用者和組織管理員。

在企業環境中，建議具備以下條件： 微軟多重身分驗證 (MFA) 推播通知已啟用作為驗證方式之一。這些通知有助於遏制未經授權的存取並阻止潛在的詐欺交易，因為用戶必須批准每次登入嘗試（兩步驗證).

除了管理通知外，身份驗證器應用程式還可以生成 臨時安全碼 即使沒有網路連線也能使用。這樣，即使手機沒有資料流量或Wi-Fi，使用者在被要求輸入驗證碼時仍然有備用登入方式。

要在 Microsoft Entra ID 中使用無密碼身份驗證，管理員必須 啟用綜合註冊體驗 （使用者可在此處設定安全方法），然後明確地為所需的群組或使用者啟動無密碼方法。

對於個人微軟帳戶，基本要求是擁有… 已安裝 Microsoft Authenticator （或在某些情況下，在相容的裝置上使用 Outlook for Android），並依照開機流程從帳戶設定中啟動無密碼登入。

將 Microsoft Authenticator 設定為無密碼登入方式

在使用 Microsoft Entra ID 的組織中，管理員擁有 身份驗證方法指令 您可以在此定義使用者可以使用的登入方式：密碼、身份驗證器、FIDO2 金鑰、簡訊等。有關部署和管理計劃，請參閱相關文件。 將 Windows Hello 與 FIDO2 按鍵集成.

在該指令範圍內，可以啟用 Microsoft身份驗證器 這適用於傳統的 MFA 通知和無密碼手機登入。啟用後，使用者將在其帳戶的「安全資訊」部分看到 Microsoft Authenticator 作為可用驗證方式。

根據管理員的設置，設定介面將顯示類似這樣的內容。 微軟身份驗證器 – 無需密碼 o Microsoft Authenticator – MFA 插入用戶可以註冊該應用程序，並選擇最符合其組織政策的模式。

若要從管理員角度啟用無密碼手機登入方式，您需要： 登入微軟管理中心。 使用適當的角色（例如，驗證策略管理員）並導覽至「輸入 ID > 驗證方法 > 原則」部分。

預設情況下，每個群組似乎都已啟用使用功能。 無論哪種方式 所選方法。以身份驗證器為例，「任意」選項允許同時使用推播通知和無密碼手機登錄，管理員可以調整包含或排除哪些群組或使用者。

在身份驗證器應用程式中進行使用者註冊

一旦該方法在組織中啟用，就輪到使用者了。 將應用程式註冊到您的帳戶已經使用身份驗證器進行多因素身份驗證的使用者通常會比較容易，因為他們只需要添加無密碼模式。

尚未配置身份驗證器的使用者可以選擇 直接電話登入註冊只要持有管理員或組織提供的臨時存取通行證，使用者就無需在任何時候使用密碼。

在這個簡單的流程中，使用者取得臨時存取通行證，在行動裝置上安裝應用程序，在 Microsoft Authenticator 中選擇“新增帳戶”，然後選擇“工作或學校帳戶”。之後，他們點擊「登入」。 進入臨時通行證 當應用程式提示時，請按照說明操作，直到設定完成。

另一種可能性是使用… 安全資訊頁面提供的指導流程 （有時稱為“我的登入”）。使用者透過瀏覽器造訪該頁面，使用目前登入方式登錄，然後選擇「新增方式」>「驗證器應用程式」>「新增」。

助手將示範以下步驟 安裝並關聯應用程式 建立帳戶的步驟：掃描二維碼，接受通知，然後完成設定。完成後，用戶點擊“完成”，帳戶即註冊到行動裝置上。

啟用無密碼手機登入

在 Microsoft Authenticator 註冊帳戶後，還剩最後一步： 啟用無密碼模式 針對行動應用程式內的該特定帳戶。

為此，使用者開啟 Microsoft Authenticator，選擇相關帳戶，然後按一下「設定無密碼登入請求“或類似操作。然後，按照螢幕上的指示操作，通常包括批准試用申請並通過 PIN 碼或生物識別技術進行驗證。”

此流程完成後，該帳戶即可接收付款。 無密碼登入請求 使用者可以在需要時在微軟登入畫面上選擇此方法。

如何使用 Microsoft Authenticator 無密碼登入

一切設定完畢後，登入流程與傳統的密碼登入流程略有不同，但仍然是一個流程。 非常直觀且快速使用者像往常一樣在登入面板中輸入他們的電子郵件地址或帳戶名稱。

點擊“下一步”後，系統可能會直接顯示使用該應用程式的選項，或者您可能需要選擇“其他登入方式“根據配置和上次使用的方法，查看所有可用的替代方案。”

這些選項中將出現“在我的身份驗證器應用程式中批准請求選擇後，螢幕將顯示隨機數，幾秒鐘內，手機將收到來自 Microsoft Authenticator 的通知，其中包含該隨機數，供用戶確認。

使用者無需輸入密碼，而是執行以下操作： 請按正確的數字 在應用程式中輸入密碼，然後使用本地解鎖方式（PIN 碼、指紋或臉部識別，取決於您的裝置設定）進行驗證。如果一切正確，登入即完成。

用戶透過這種方式完成身份驗證後，下次訪問平台時，平台往往會傾向於… 優先採用無密碼方法但是，通常可以選擇其他方法，例如，如果使用者出於某種原因更喜歡使用密碼，則可以選擇「改用密碼」。

首次登入時使用臨時存取通行證

在某些組織中，管理員啟用 臨時通行證 這樣使用者就可以在無需記住初始密碼或批次註冊過程中設定身份驗證器和無密碼模式。

在這種情況下，使用者開啟瀏覽器（在手機或電腦上），造訪安全資訊頁面，其中 註冊身份驗證器應用程式 使用臨時密碼作為登入方式。此操作可將帳戶安全地連結到應用程式。

應用程式配對完成後，使用者返回行動設備，打開身份驗證器並 啟用無密碼登入 對於該帳戶，從那時起，您就可以使用手機登錄，而無需再使用傳統的密碼。

使用身份驗證器時的安全性、風險和最佳實踐

使用身份驗證器進行無密碼身份驗證，其設計初衷為： 比靠鑰匙更安全 這些資訊可能被竊取、洩漏或被猜測。然而，與任何系統一樣，它也有自身的威脅模型，充分理解它至關重要。

最令人質疑的一點是，iOS 和 Android 上的應用程式依賴… 相同的PIN碼或 解鎖方法 裝置目前，該應用程式沒有單獨的PIN碼。這意味著，如果有人看到了你的PIN碼並偷走了你的手機，他們就可以打開該應用程式。

鑑於這種情況，建議採取以下幾項措施：使用 PIN 碼複合體或生物識別 難以複製，多次嘗試失敗後啟動裝置擦除選項，最重要的是，如果手機遺失或被盜，請透過從另一台裝置存取您的帳戶面板，迅速撤銷該應用程式。

另一個合乎邏輯的擔憂是，攻擊者一旦獲得該應用程式的存取權限，就可能面臨風險。 批准登入通知 在你毫無察覺的情況下，這種情況就會發生。因此，監控你收到的通知至關重要，你需要檢查是哪個應用程式在何處嘗試使用它們，並且不要接受任何你無法識別的請求。

如果你遺失了手機或更換了新手機，最好登入你的微軟帳號控制面板，進入進階安全選項， 移除所有身份驗證方法 與先前裝置關聯的「傳送登入通知」或「應用程式：Microsoft Outlook」或「Microsoft Authenticator”，以防止其保持有效。

組織中的身份驗證器管理與維護

在企業環境中，管理 Microsoft Authenticator 使用的最推薦方式是透過以下途徑： 身份驗證方法指令 在 Microsoft 登入 ID 中，此集中式原則可讓管理員控制允許哪些方法、哪些群組以及在什麼條件下可以使用這些方法。

管理員可以 啟用或停用身份驗證器 完全允許包含或排除特定使用者和群組，也可以調整向登入請求新增上下文的參數，以便使用者不會「盲目」批准任何內容。

例如，組織可以設定每個通知以顯示以下內容： 大概位置 系統會顯示登入嘗試或要求存取權限的應用程式名稱。這樣，用戶就能立即註意到是否出現了陌生的國家或應用程式。

值得注意的是，舊指令繼承了 AuthenticatorAppSignInPolicy 不再受支援 使用現代身份驗證器配置來實現通知和無密碼模式。管理應完全透過身份驗證方法策略進行。

在混合使用者或聯合使用者場景中（例如，使用 Active Directory 聯合驗證服務時），使用者啟用任何一項功能後，系統將立即發出警報。 無需密碼的憑證登入過程不再依賴 login_hint 直接將其發送給聯合身分提供者，這會稍微改變登入體驗。

常見問題和已知局限性

與任何大規模部署的技術一樣，具有身份驗證器的無密碼登入系統也存在一些問題。 一些已知問題 以及一些最好事先了解以避免意外情況的案例。

最常見的情況之一是用戶 我找不到無需密碼即可透過手機登入的選項。 即使註冊已完成，登入介面仍顯示「未登入」字樣。有時會發生這種情況是因為存在尚未完全批准的待驗證請求。

要解決這個問題，通常只需在行動裝置上開啟身份驗證器應用程式即可。 回覆任何通知 待處理。完成後，後續登入時應該會再次出現無需密碼即可使用手機的選項。

在管理員配置了條件存取策略的組織中，您可能會看到類似這樣的訊息：“您可能正在從管理員限制的地點登入。“或者，該應用程式會提示您訪問 aka.ms/mfasetup 完成設定。這表示公司策略阻止了身份驗證器的註冊或使用。”

在這種情況下，你靠自己能做的並不多：你必須… 聯絡管理員 啟用您工作或學校帳戶的無密碼手機登入方式，或向您顯示正確的註冊流程。

此外，也存在與此相關的局限性 本地用戶或擁有多台裝置的用戶使用者可以建立和使用沒有密碼的電話登入憑證，但如果他們嘗試使用相同憑證更新太多安裝（例如，超過 5 個不同的手機），則操作可能會失敗，並且需要清除舊記錄。

對於那些擔心手機被盜風險的人來說，值得注意的是，即使存在這種風險，基於生物識別、安全密鑰或像 Authenticator 這樣的應用程式的無密碼方法，通常也是安全的。 比傳統密碼更強大這些資訊可能被大規模洩露，或透過自動化攻擊被猜測出來。

得益於組合 設備關聯憑證本地因素（PIN碼、指紋、臉部辨識）和透過微軟策略進行的管理控制。微軟身份驗證器生態系統在便利性和安全性之間提供了相當不錯的平衡，前提是遵循良好的安全實踐，並且能夠快速回應設備遺失或被盜的情況。

採用 Microsoft Authenticator 的無密碼登入方式涉及以下幾個面向： 思維方式的重大轉變但一旦設定完成，並且您了解了它的工作原理，它就成為訪問您帳戶的一種非常方便和安全的方式，避免了記住密碼的負擔，同時減少了冒充和未經授權訪問的攻擊面。