5 月 19 日消息,微软正式确认,在完成企业用户的迁移后,个人 Microsoft 账户的短信验证码也将被逐步淘汰。微软直言不讳地指出,短信验证码已成为当前网络诈骗的主要途径之一。
SMS 验证码:从安全卫士到安全漏洞
短信一次性验证码(SMS OTP)曾是两步验证的绝对主流,但其诞生之初并未预料到当今复杂的网络安全环境。一方面,短信以明文形式在基础通信网络中传输,极易被黑客拦截;另一方面,日益猖獗的 SIM 卡交换攻击更是让其雪上加霜——攻击者通过欺骗移动运营商,即可轻易截获受害者的所有短信。
微软技术社区高级项目经理 Jonathan Edwards 强调:“短信验证码在面对拦截、SIM 卡交换和路由缺陷时显得异常脆弱,这些攻击路径在真实场景中依然频繁得逞。”英国反欺诈机构 Cifas 的报告也印证了这一点:过去一年内,SIM 卡交换攻击激增了 38%,这很大程度上归咎于普通用户对短信验证的过度依赖。
通行密钥:Windows 生态的无密码未来
为彻底解决这一痛点,微软正全力推动通行密钥成为个人账户的默认登录方式。通行密钥基于 FIDO2 标准,采用公钥加密技术。用户的私钥安全存储在设备的 TPM 安全芯片中,绝不通过网络传输。登录时,用户只需通过 Windows Hello(人脸、指纹或 PIN 码)完成本地身份验证,设备即可完成签名。即便攻击者搭建了伪造的登录页面,也无法绕过通行密钥基于特定域名的加密验证机制。
微软在今年 5 月 7 日的 World Passkey Day 上披露了通行密钥的迅猛发展:将其设为新账户默认选项后,微软内部无密码身份验证成功率高达 95%,登录速度较传统方式提升 14 倍。目前,微软内部已有 99.6% 的用户及设备切换至抗钓鱼验证方式,旧式短信和语音验证已基本从核心流程中剥离。
在生态支持上,第三方密码管理器(如 Bitwarden、1Password)已接入 Windows 11 的通行密钥提供程序 API,用户登录时可直接调用密码库中的密钥;而微软自家的 Password Manager 也已在 Edge 浏览器中实现了通行密钥的跨设备同步。
企业端过渡:2026 年 10 月为大限
个人账户的升级与企业端同步进行。针对企业用户,微软 Entra ID 的通行密钥支持已进入公测,截至 2026 年 5 月,设备绑定式通行密钥已允许用户在 Windows Hello 中安全存储,并兼容受管与个人设备。
微软同时发布了针对企业及管理员的硬性时间表:仍在使用旧式身份验证方式的租户组织,必须在 2026 年 9 月 30 日前完成向新型身份验证策略的迁移。自 2026 年 10 月 1 日起,依赖旧版短信/语音验证的流程将强制停止工作,逾期未升级的用户可能面临无法登录的风险。
微信扫一扫 
支付宝扫一扫 