编者按：自互联网出现以来，各种帐号安全和盗号问题就层出不穷，道高一尺魔高一丈，各种盗号工具与手段也不断与时俱进的“更新”。在微软MSN，Microsoft帐户项目组的成员们一直致力于维护用户帐户安全，下面让我们来看看如何让你的Microsoft帐户更安全吧！

随手翻阅报刊杂志或是浏览网络新闻，经常会看到有关用户信息泄密并惨遭犯罪分子利用等安全问题的消息。作为一个以维护Microsoft帐户系统（以前的Windows Live ID）安全为日常工作的人，每次我读到这些新闻时，首先同情的是那些帐户遭不法分子侵犯的受害者，其次是受害企业里那些我的同行们。坏人只要碰对一次就得手，而捍卫者却一次错都不能犯——在这个产业里，同行们的能力和奉献给我留下了深刻的印象。

当然，正如媒体上广泛报道的那样，这些帐户被攻击事件共同反映出了一个核心问题——人们在不同的网站使用相同的密码。它同时又凸显出一条老生常谈的安全建议：保证不同网站所使用密码的唯一性，因为犯罪分子越来越狡诈，他们会从某个服务商那里获得一份用户名和密码列表，然后对其他主要帐户系统“重复尝试”这份密码列表。一旦发现了匹配的密码，他们的攻击范围就会延伸到原本攻击的帐户系统之外。

我们并不常在博客里谈论我们的安全工作——其实也没有必要启发坏人们想出更多的办法来攻击用户。然而，鉴于过去一段时间所发生的事件，我们已经积累了足够的问题，我想有必要花点时间，高度概括地分享一下如何保护用户帐号免受攻击，并再次强调一下应如何更好地自我保护。

泄露机密信息的诸多渠道

首先谈谈我们是如何得知某些用户正处于危险之中。

Microsoft帐户团队会定期从不同来源接到遭破坏的外部帐户信息列表（来自其他网站的电子邮件地址和/或密码），这协网站会与我们联系，如果微软的用户使用了与列表中相同的密码，我们将为他们提供保护。有时候世界各地的许多执法机构都会伸出援手；有时候可能是一家互联网服务提供商（ISP）；有时候也可能是另一家管理身份系统的公司。偶尔的情况下，此类列表也可能公布在公共网站上，好让全世界都能够看到。

这些用户列表的详细和可信程度差别悬殊——有时候只是不完整的或加密的列表，并不会让真实用户暴露在风险之下。但偶尔也会有完整的用户名和密码列表，这对于我们的用户而言是真正的威胁。

微软如何保护用户

Microsoft帐户团队在获得一个列表后，首先会检查它是否确实与我们系统中的帐户和密码相符。这一过程是自动、安全地进行的，不会有任何工作人员能够亲眼看到用户的帐户信息。

您会惊奇地发现，这些列表——尤其是公开发布的列表——通常是完全的垃圾，一个相符的记录都没有。但也不免有被不幸命中的——平均而言，我们验证时大约有20％的密码是吻合的。在最近一次进行的验证中，只有4.5％的吻合率。这一点令人兴奋，因为它意味着80％的用户密码设置是符合安全规范的，反映出用户的日益成熟。

接下来，Microsoft帐户团队要查看是否有犯罪活动的证据，例如发送垃圾邮件。如果发现了犯罪活动的迹象，就会暂停该帐户，并要求此帐户的合法拥有人履行特定手续恢复对帐户的控制权。在其他情况下，我们只要求用户（在发生任何损害之前）更改密码。

偶尔，我们会得到有关某一组用户的信息，但没有足够的帐户信息来确定究竟是哪些用户因重复使用密码而面临风险。这时，就必须做出判断——是要求这些用户全部重置密码，即便只有其中20％的用户可能面临风险；还是让这20％的用户承担风险，以避免给其他80％的用户造成不便？

一旦存在某种可能性较大的威胁，答案就很简单——我们宁愿为了保护用户而犯错。如果您一向小心翼翼地处理密码事务，我们的做法也许会让您有些反感，在这里我向您表示诚挚的歉意，但希望您能原谅我们为保护您的邻居而给您带来的不便。因为某一天，需要被保护的人可能就是您。

如果您的帐户出现在这些列表中，那么您下次使用Microsoft帐户登录到Hotmail、SkyDrive、Xbox或其他微软服务时，就会看到下面的页面（如果您选定的密码太常见，也可能看到这样的页面）。当看到这个页面时，请您一定花点时间设定一个新的且唯一的密码。

用户应如何自我保护

请按照以下简单步骤，更好地保护您自己，谨防犯罪分子的不轨企图。

1、 始终选择强度高、独特的密码。点击此处了解更多。
2、 为您的帐户设置安全信息，并定期检查以确保它们是最新的。您可以添加一个电话号码、电子邮件地址或您所信任的PC作为一项信息，一旦您无法访问帐户，可以用它们来恢复帐户。点击此处了解更多。
3、 在公共场所要小心使用您的帐户，特别是在公用PC上。酒店和网吧里的公用PC，它们的安全性之差，是众所周知的，而且往往被安装了恶意软件，用于窃取您的密码。如果您必须使用它们，请键入仅供一次性使用的代码，而非您的常用密码。点击此处了解更多。
4、 要谨慎共享您的个人信息——密码、电子邮件地址、家庭地址、信用卡信息等，这些信息都可以用来尝试访问您的帐户。
5、 在您的计算机上安装防范病毒、间谍软件和恶意软件的保护工具，并保持更新。有许多优秀的工具可供选择，其中包括微软的防病毒软件Microsoft Security Essentials，而且是免费的。
6、 确保您浏览器上的钓鱼过滤器处于活动状态。如果您使用的是IE，请点击“工具”图标，点击“安全”，然后点击“打开SmartScreen过滤器”。对于其他浏览器，请查阅帮助文件中的相关说明。
7、 在输入个人信息之前，请确保您访问的是正确的网站。谨防那些看起来好到不真实的网站（提供惊人的优惠等），并经常检查地址栏，以确保是正确的URL。

另外，请记住，我们绝不会向您发送电子邮件，要求您提供密码或其他安全或帐户信息。任何要求此类信息的电子邮件都是钓鱼骗局，旨在诱使您透露密码或其他帐户信息。

作为最后一个提醒注意事项，微软建立了安全系统，并且不断升级，令不法分子即使获得了您的密码也无法对您的帐户进行未经授权的访问。这些系统对正常登录模式、地点以及其他因素加以推理，能够阻止未经授权的访问，或有时会提供额外的身份确认要求，以确保访问者是您本人。但犯罪分子有时会绕开这些系统，因此设定良好、强度高、独特的密码，并且遵守我们的安全提示始终是个不错的主意。

感谢您帮助我们确保您的安全！