ITCOW牛新网 5月19日消息,微软公司今日确认,继企业用户之后,个人用户的Microsoft账户短信验证码也将被逐步淘汰。
微软官方指出,传统的短信验证(SMS OTP)在设计之初并未充分考虑现代网络安全环境,短信以明文形式在脆弱的基础通信网络中传输,极易被拦截。更严重的是,日益频发的SIM卡交换攻击(SIM swap attack)让攻击者能通过欺骗运营商截获所有短信验证码。据英国Cifas报告显示,仅过去一年内,此类攻击就增长了38%,而普通用户对短信验证的广泛依赖正是主要原因。
为彻底解决这一安全隐患,微软正全力推动通行密钥(Passkeys)成为默认登录方式。通行密钥基于FIDO2标准,采用公钥加密技术,私钥始终保留在用户设备的TPM安全芯片中,绝不通过网络传输。用户在登录时,需通过Windows Hello(人脸识别、指纹或PIN码)进行本地身份验证,设备即可完成签名操作。这种机制确保了即使遇到伪造的登录页面,攻击者也无法绕过基于特定域名的加密验证。
微软数据显示,在将通行密钥设为新账户默认选项后,内部无密码身份验证成功率高达95%,登录速度相比传统方式提升了14倍,且已有99.6%的用户和设备切换到了这种抗钓鱼的身份验证方式。
针对企业用户,微软Entra ID的通行密钥支持已进入公测阶段。截至2026年5月,设备绑定式通行密钥已允许用户在Windows Hello中存储密钥,涵盖受管设备及个人设备。与此同时,第三方密码管理器如Bitwarden和1Password也已接入Windows 11的通行密钥提供程序API,用户可在登录时直接从密码库调用。微软Password Manager也在Edge浏览器中提供了跨设备同步功能。
根据迁移计划,仍在使用旧式验证方式的企业必须在2026年9月30日前将管理设置迁移到新型身份验证策略,从2026年10月1日起,依赖旧版短信或语音验证的流程将彻底停止工作,相关用户将面临无法登录的局面。