David 的分享空間

微軟提出兩種新的帳號驗證方式，第一種是可信賴的個人電腦（Trusted PC），允許使用者設定個人使用的電腦，當需要重新取回帳號權時，只要透過自己的電腦就可通過帳號驗證；第二種新的驗證選項為手機號碼，Hotmail會透過簡訊傳送一組密碼予使用者，使用者即可藉此取回自己的帳號並重設密碼。文/陳曉莉 (編譯)

為了避免使用者的帳號被綁架，並用來勒索或詐騙使用者親友，微軟本周新增兩項帳號復原功能以改善Hotmail的帳號安全。

微軟安全性服務總經理John Scarrow表示，之前微軟就已針對Hotmail提供許多安全功能，包括以SmartScreen技術來過濾垃圾郵件，並根據寄件者的可靠度顯示盾牌圖示，透過簡訊傳送一次性密碼以讓使用者於公開電腦登入Hotmail，以SLL加密來保障登入後的連結安全，以及會封鎖多次登入失敗的帳號等。

即使如此，帳號被駭的狀況仍會發生，因此微軟推出帳號復原（Account recovery）功能。根據Scarrow的說明，駭客會竊取合法的使用者帳號並用來傳送垃圾郵件，微軟可偵測到由合法使用者及駭客共享的郵件帳號，且進一步封鎖駭客並關閉駭客用來寄送垃圾郵件的後門，例如訊息自動回覆功能。另一方面微軟也會協助使用者取回原來的帳號。

不過，當使用者的帳號被鎖住時，使用者可透過帳號驗證重設密碼，並回復其帳號功能。先前微軟所提供的帳號驗證有兩種，一是使用者的另一個電子郵件帳號，另一個則是使用者自行選擇的問題及解答，但微軟內部調查顯示，只有25%的使用者會記得當初所填寫的問題與解答。

因此，微軟本周提出兩種新的帳號驗證方式，第一種是可信賴的個人電腦（Trusted PC），允許使用者設定個人使用的電腦，當需要重新取回帳號權時，只要透過自己的電腦就可通過帳號驗證；第二種新的驗證選項為手機號碼，Hotmail會透過簡訊傳送一組密碼予使用者，使用者即可藉此取回自己的帳號並重設密碼。

不過，微軟規定使用者在新增或更新驗證方式時，必須透過既有的驗證方式確認身份後才能執行。Scarrow說，這是為了安全起見，因為這代表即使駭客竊取了使用者的密碼，但也無法封鎖既有的使用者或是自行建立後門，反之使用者可隨時取回帳號控制權並杜絕駭客行為。