问题发生原因:
通常我们主要使用一个电子邮箱注册各种网站的账户,当扫码添加 2FA 验证账户时,微软不会校验是否存在同名账户问题,而是直接选择了覆盖。
也就是说当已经绑定 [email protected] 这个账户的 2FA 后,我们注册其他网站仍然使用该邮箱并继续扫码绑定时,新账户的 2FA 数据会替代原来同名账户的数据。
用户不会看出来有任何区别,因为本身 2FA 验证码就是 30 秒钟刷新一次的,只有在登录时多次输入验证码始终出错才意识到哪里出了问题。
这对企业 IT 管理员来说是个非常痛苦的情况,他们经常需要花时间帮助其他员工处理这个问题,但如果使用微软身份验证器绑定微软账户则不会出现同样的问题,如果使用谷歌身份验证器也不会出现类似的问题。
从微软身份验证器发布时就一直存在:
虽然已经被报道过几次但微软始终没有解决数据覆盖问题,这个问题从微软身份验证器在 2016 年发布时就存在,转眼间已经过去了八年。
如果用户必须使用微软身份验证器那也有办法进行规避,那就是输入 TOTP 绑定的验证码而不是使用扫码添加,当手动输入绑定验证码时你可以自己添加账户,此时不会出现自动覆盖问题。
不过手动输入 TOTP 绑定的验证码解决方案并不适用于企业用户,所以对企业用户来说除了更换其他身份验证器外暂时也没有太好的解决办法。