IT之家 5 月 19 日消息,微软(MSFT)确认,继企业用户之后,个人用户 Microsoft 账户的短信验证码也将被逐步淘汰。微软(MSFT)表示:短信验证码已成为网络诈骗的主要方式之一。
SMS 验证码为何不再安全
短信验证(SMS one-time passcode,OTP)曾是两步验证的主流选项,但其设计之初并未考虑现代网络安全(885459)环境。短信以明文形式在脆弱的基础通信网络中传输,容易被拦截。
除此之外,还有日益严重的 SIM 卡交换攻击(SIM swap attack),攻击者可通过多种方式欺骗移动运营商,从而截获所有发送至该号码的短信验证码。
微软(MSFT)技术社区高级项目经理 Jonathan Edwards 指出,“通过短信发送的一次性验证码容易受到拦截、SIM 卡交换和路由缺陷的攻击,这些攻击路径在实际场景中依然频繁得逞。”
英国 Cifas 报告显示,仅在过去一年内,SIM 卡交换攻击增长了 38%,而此类攻击的主要原因正是普通用户对短信验证的广泛依赖。
通行密钥:Windows 生态的无密码未来
为取代短信验证码,微软(MSFT)正全力推动通行密钥(passkeys)成为个人账户的默认登录方式。
通行密钥基于 FIDO2 标准,使用公钥加密技术。登录时,私钥保留在用户设备的 TPM 安全芯片中,不会通过网络传输。用户通过 Windows Hello 进行身份验证(IT之家注:人脸识别(885759)、指纹扫描或设备 PIN 码)后,设备即可完成签名操作。即使攻击者搭建了伪造的登录页面,也无法绕过通行密钥基于特定域名的加密验证机制。
微软(MSFT)在 5 月 7 日曾在 World Passkey Day 上宣布,通行密钥的使用已进入快速增长阶段。统计显示,在通行密钥被设为新账户默认选项后,微软(MSFT)内部的无密码身份验证成功率达到了 95%,登录速度相比传统方式提高了 14 倍。微软(MSFT)内部环境中,已有 99.6% 的用户和设备切换到了抗钓鱼的身份验证方式,旧的短信和语音验证方式已基本从核心流程中去除。
对于企业用户,微软(MSFT) Entra ID 的通行密钥支持已进入公测。截至 2026 年 5 月,设备绑定式通行密钥已允许用户在 Windows Hello 中存储密钥,针对受管设备和个人设备均可使用。
此外,第三方密码管理器如 Bitwarden 和 1Password 已接入 Windows 11 的通行密钥提供程序 API,用户可在登录 Windows 设备时直接从密码库中调用通行密钥。微软(MSFT) Password Manager 也已在 Microsoft Edge 浏览器中提供通行密钥跨设备同步功能。
面向企业及管理员的过渡时间线
与个人账户同步,微软(MSFT)对企业环境中的短信和语音验证码的淘汰也已启动。根据微软(MSFT) Entra ID 的迁移计划,仍在使用旧式身份验证方式租户的组织,必须在 2026 年 9 月 30 日之前将用户的管理设置迁移到新型身份验证策略。2026 年 10 月 1 日起,仍依赖旧版短信 / 语音验证的流程将停止工作,可能导致用户无法完成登录。
