你最有价值、最值得保护的在线账户是什么？如果您使用Microsoft帐户登录到Windows PC，则该帐户及其关联的电子邮件地址应该是您最忌讳的一个。如果您将该Microsoft帐户用于OneDrive存储和Office 365文档，则尤其如此。

在这篇文章中，我列出了七个步骤，可以帮助您锁定该帐户，使其免受在线攻击。和往常一样，在方便性和安全性之间有一个平衡点，所以我根据你想锁定你的微软账户的程度，把这些步骤分为三组。（值得注意的是，本文是关于Office 365、Microsoft 365和OneDrive的家庭版和个人版使用的Microsoft用户帐户。企业和企业Microsoft 365帐户的安全设置由域管理员通过Azure Active Directory管理，使用一组完全不同的工具。）

另外：最佳VPN

基本安全性

对于大多数普通PC用户，尤其是那些不将其Microsoft电子邮件地址作为登录到其他站点的主要因素的用户，此级别就足够了。如果你是在帮助一个技术不成熟、被密码吓倒的朋友或亲戚，这是一个不错的选择。

至少，您应该为您的Microsoft帐户创建一个不被任何其他帐户使用的强密码。

此外，您应该启用两步验证（Microsoft对multi-factor authentication的术语）以保护自己不受网络钓鱼和其他形式的密码盗窃。启用该功能后，当您首次登录新设备或执行高风险活动（如在线购买付款）时，您必须提供额外的身份证明。附加的验证通常包括一个代码，以短消息的形式发送到受信任的设备，或者通过电子邮件发送到注册的备用帐户。

另外：优于最佳密码：如何使用2FA来提高安全性

这些基线预防措施足够了，但是你可以通过一些额外的步骤来加强安全性。

首先，在iPhone或Android设备上安装Microsoft Authenticator应用程序，并将其设置为作为登录和验证选项使用。然后删除使用短信验证身份的选项。

使用该配置，您仍然可以将手机用作身份验证因素，但潜在攻击者将无法截获短信或伪造您的电话号码。

另外：微软敦促用户停止使用基于电话的多因素身份验证

最大安全性

对于最极端的安全性，请添加至少有一个物理硬件密钥与Microsoft Authenticator应用程序一起使用，还可以删除电子邮件地址作为备份验证因素。这种配置为即使是最坚决的攻击者也设置了重要的路障。

这需要在硬件上进行额外投资，这无疑会给登录过程增加一些摩擦，但这是迄今为止保护您的Microsoft帐户的最有效方法。

另外：2020年最佳安全密钥：基于硬件的双因素身份验证，您的Microsoft帐户的唯一密码。确保您已经解决了这个要求的最好方法是使用密码管理器的工具生成一个全新的密码。

（没有密码管理器？尝试联机选项，如1密码强密码生成器或LastPass Password Generator Tool）

生成新密码可确保您的帐户凭据不会与任何其他帐户共享；它还可以保证您可能无意中重新使用的旧密码不会构成密码泄露的一部分。

要更改密码，请转到Microsoft帐户安全基础页https://account.microsoft.com/security/。如果需要，请登录，然后单击“更改密码”。

另外：最适合企业的密码管理器：1Password、Keeper、LastPass等等

按照说明使用密码管理器保存新密码。如果您喜欢物理备份，请随时写下来。只要确保把文件存放在安全的地方，比如锁着的文件抽屉或保险箱。

第2步：打印恢复代码

下一步是保存恢复代码。如果您忘记了密码而无法登录到您的帐户，那么访问此代码将使您免于永久锁定。

在“Microsoft帐户安全基础”页上，找到“高级安全选项”部分，然后单击“开始”。这将带您进入不太基本的Microsoft帐户安全页。（若要直接前往，请将此地址标记为书签：https://account.live.com/proofs/Manage/additional）

滚动到页面底部并查找恢复代码部分。单击“生成新代码”以显示与此处所示类似的对话框。

打印出恢复代码，并将其保存在同一个上锁的文件柜或保险柜中，您可以将密码放在那里。

（Microsoft一次只允许为Microsoft帐户生成一个代码。生成新代码会使旧代码无效。）

步骤3:启用两步验证

暂时不要离开Microsoft帐户安全页。相反，请向上滚动到“两步验证”部分，并确保此选项已启用。

安装过程是一个相当简单的向导，可以确认您是否能够接收验证消息。如果您使用的是最新版本的iOS或Android的现代智能手机，您可以安全地忽略为这些手机上的邮件客户端创建应用程序密码的提示。

现在了解一些更高级的安全选项。

步骤4:添加安全电子邮件地址作为验证的一种形式-选项.jpg“height=”auto“width=”370“宽度”原始数据=“https://zdnet2.cbstatic.com/hub/i/r/2020/12/17/15cc864d-fd2d-4e96-bad1-d6742cfe4491/resize/370xauto/0292c4d241bfbd402a9486d6232/microsoft-account-additional-verification-options.jpg“>

Microsoft建议您除密码外，至少有两种形式的验证。如果您需要重置密码，当启用两步验证时，您需要同时提供这两种形式的标识，否则您将面临被永久锁定的风险。

如果您的安全需求很小，可以使用免费的电子邮件地址，例如Gmail帐户，但商务电子邮件地址是一个更好的选择。如果需要，您可以将验证码发送到该地址。

转到高级Microsoft帐户安全页，然后单击“添加新的登录或验证方式”。

选择Email A Code选项，输入您的电子邮件地址，然后输入您收到的代码以确认验证选项。

另外：2020年最佳电子邮件托管服务：G Suite、Microsoft 365，更多选项

步骤5：设置Microsoft Authenticator应用程序

智能手机应用程序生成基于时间的一次性密码算法（TOTP）代码，这是一种越来越流行的多因素身份验证形式，我强烈建议将其用于任何支持它们的服务。（有关这些选项的详细信息，请参见“保护您自己：如何选择正确的双因素验证器应用程序。”）

即使您在大多数服务中使用另一个authenticator应用程序，我建议您在Microsoft帐户。在此配置中，任何需要验证的登录尝试都会向智能手机发送推送通知。批准请求，你就完成了。

另一个好处是，Microsoft Authenticator应用程序可以用于无密码登录和验证。

要使用Microsoft帐户设置Microsoft Authenticator，请转到高级Microsoft帐户安全页，然后单击“添加新的登录或验证方式”。选择“使用应用程序”选项，然后在安装Microsoft Authenticator应用程序后，使用您的帐户凭据登录。通过验证你的身份，你应该有足够的方法来验证你的身份。这意味着，现在是时候删除这个链条中最薄弱的环节了：短信。

从安全角度来看，使短消息如此麻烦的原因是攻击者可以劫持您的移动帐户。它几年前发生在我的ZDNet同事Matthew Miller身上，，我不希望任何人都做这种噩梦。（有关详细信息和一些其他安全建议，请参见“立即保护您的在线身份：使用以下5种安全保护措施与黑客作战。”）

在更改此设置之前，请确认您至少有两种可供选择的验证形式（最好是安全电子邮件地址和Microsoft Authenticator应用程序），并且已为帐户保存了恢复代码。然后，从https://account.live.com/proofs/Manage/additional“target=”noopener noreferrer nofollow“data component=”externalLink“>高级Microsoft帐户安全页，展开文本a代码部分。

单击“删除”可取消此选项。

步骤7：使用硬件安全密钥进行身份验证-键.jpg“height=”auto“width=”370“宽度”原始数据=“https://zdnet3.cbstatic.com/hub/i/r/2020/12/17/7fb5b58a-bd62-4c38-9300-d468676e263c/resize/370xauto/8cddd95f3d508f6617b0dd5e7922a90b/microsoft-account-add-hardware-key.jpg“>

此步骤是所有步骤中最高级的。它