在登入事件期間,安全性問題不會當做驗證方法使用。 相反地,在自助式密碼重設 (SSPR) 程式期間可以使用安全性問題來確認您是誰。 系統管理員帳戶無法使用安全性問題作為 SSPR 的驗證方法。
這很重要
舊有政策棄用: 2025 年 9 月 30 日,舊有的多重驗證與自助密碼重設政策將被棄用。 設定將切換到現代 認證方法政策,該政策 不支援安全問題。 仍在舊有入口網站中使用安全問題的組織,強烈建議遷移至更強的認證方法,以過渡到現代驗證入口網站,避免在棄用且不支援的狀態下運作。
安全問題應該從你的認證策略中剔除,因為它們會帶來重大的安全漏洞。 答案常常可猜測、在不同網站重複使用,或透過開放原始情報(OSINT)被發現。 威脅者可以枚舉或進行釣魚攻擊以收集使用者資料,推導出可能的答案(家族姓氏、學校、地點),以啟動密碼重設流程來避開較強的驗證方法。 一旦威脅行為者成功重設密碼——尤其是在沒有多重驗證的帳號上——他們就會獲得有效的憑證、建立持久會話、註冊額外的認證方式、新增轉發規則,並竊取敏感資料。
雖然部分組織可能有商業理由繼續使用安全問題,但由於知識基礎認證本身存在安全弱點,這種做法被強烈反對。
當用戶註冊 SSPR 時,系統會提示他們選擇要使用的驗證方法。 如果他們選用安全性問題,他們會從一組問題中挑選題目,並提供其對應的答案。
注意
安全性問題會私下且安全地儲存在目錄中的用戶物件上,且只能在註冊期間由使用者回答。 系統管理員無法讀取或修改用戶的問題或答案。
安全性問題可能比其他方法更不安全,因為有些人可能知道其他用戶安全問題的答案。 如果您搭配 SSPR 使用安全性問題,建議您將其與另一種方法搭配使用。 系統提示使用者使用 Microsoft Authenticator 應用程式或電話驗證,在 SSPR 程式期間驗證其身分識別,只有在他們沒有手機或註冊裝置時,才選擇安全性問題。
預先定義的問題
下列預先定義的安全性問題可用來作為 SSPR 的驗證方法。 所有這些安全性問題都會根據使用者的瀏覽器地區設定,翻譯並當地語系化成一組完整的Microsoft 365 種語言:
- 在哪個城市,你遇到了你的第一個配偶/伴侶?
- 你的父母在哪個城市見面?
- 你最近的兄弟姐妹住在哪個城市?
- 你父親出生在哪個城市?
- 你第一份工作在哪個城市?
- 你母親出生在哪個城市?
- 2000年新年你身在哪個城市?
- 高中時您最愛的老師姓氏為何?
- 您申請但未就讀的大學名稱為何?
- 您舉行第一次婚禮招待會的地方名稱為何?
- 你父親的中間名是什麼?
- 你最喜歡的食物是什麼?
- 你祖母的名字和姓氏是什麼?
- 你母親的中間名是什麼?
- 你最老的兄弟姐妹的生日月和年是什麼? (例如,1985年11月)
- 你最老的兄弟姐妹中間名是什麼?
- 你祖父的名字和姓氏是什麼?
- 你最小的兄弟姐妹中間名是什麼?
- 你六年級在哪所學校就讀?
- 你童年最好的朋友的名字和姓氏是什麼?
- 您的第一位重要戀人的名字和姓氏是什麼?
- 你最喜歡的小學老師姓氏是什麼?
- 您的第一輛車或摩托車的品牌和型號是什麼?
- 你就讀的第一所學校的名字是什麼?
- 您出生的醫院名稱為何?
- 你第一個童年家的街道的名字是什麼?
- 童年英雄的名字是什麼?
- 你最喜歡的填充動物的名字是什麼?
- 你第一隻寵物的名字是什麼?
- 你的童年綽號是什麼?
- 高中你最喜歡的運動是什麼?
- 您的第一份工作是什麼?
- 童年電話號碼的最後四個數字是什麼?
- 當你年輕的時候,你長大後想做什麼?
- 你見過最有名的人是誰?
自定義安全性問題
如需額外的彈性,您可以定義自己的自定義安全性問題。 自定義安全性問題的最大長度為 200 個字元。
自訂安全性問題不會像預設安全性問題那樣自動本地化。 所有自訂問題都會以其在系統管理介面中輸入的語言顯示,即使使用者的瀏覽器地區設定不同也是如此。 如果您需要當地語系化的問題,您應該使用預先定義的問題。
安全性問題要求
針對預設和自定義安全性問題,適用下列需求和限制:
- 最小回應字元限制為三個字元。
- 最大回應字元限制為 40 個字元。
- 用戶無法多次回答相同的問題。
- 用戶無法為多個問題提供相同的答案。
- 任何字元集都可以用來定義問題和答案,包括 Unicode 字元。
- 定義的問題數目必須大於或等於註冊所需的問題數目。
後續步驟
若要開始使用,請參閱自助式密碼重設 (SSPR)的
若要深入瞭解 SSPR 概念,請參閱 Microsoft Entra 自助式密碼重設的運作方式。
深入瞭解如何使用 Microsoft Graph REST API設定驗證方法。