维度网讯，美国微软公司于5月19日正式通过技术支持文档确认，将开始逐步停止使用短信验证码作为个人微软账户的双因素身份验证和账户恢复方式，全面转向以通行密钥为核心的无密码登录体系。此次官方公告以文档形式嵌入微软账户管理页面，并非通过传统新闻发布渠道公布，但文档内容确认了对短信认证方式的战略性放弃——“基于短信的身份验证现已成为欺诈活动的主要来源之一”。

微软在官方文档中对短信验证码的安全缺陷作出了系统性陈述。短信在设计之初并未考虑现代网络安全环境，其内容以明文形式在蜂窝网络中传输，极易被拦截和窃听。更为严重的威胁来自SIM卡交换攻击——攻击者通过诱骗移动运营商将用户手机号码转移至其控制的设备，即可直接接收所有发送至该号码的短信验证码，从而劫持用户账户。微软技术社区高级项目经理Jonathan Edwards指出，通过短信发送的一次性验证码容易受到拦截、SIM卡交换和路由缺陷的攻击，这些攻击路径在实际场景中依然频繁得逞。英国反欺诈组织Cifas的报告显示，仅在过去一年内，SIM卡交换攻击增长了38%，而此类攻击的主要原因正是普通用户对短信验证的广泛依赖。

微软为个人账户指定的替代方案由三个组件构成：通行密钥被定位为首选登录方式，微软身份验证器应用作为移动端验证补充，已验证的备用电子邮件地址则承担账户恢复功能。通行密钥基于FIDO2标准构建，采用公钥加密技术，登录时系统生成一对加密密钥——公钥提交至服务器，私钥则存储于用户设备的可信平台模块(TPM)安全芯片等物理硬件中，永不离开设备，亦不通过网络传输。用户通过Windows Hello面部识别、指纹扫描或本地设备PIN码完成身份验证后，设备即可完成签名操作。由于私钥从不暴露在网络上，即使攻击者搭建了伪造的登录页面，也无法绕过通行密钥基于特定域名的加密验证机制。

通行密钥提供两种部署模式，设备绑定模式下，私钥永久锁定在笔记本电脑的TPM安全芯片等特定硬件中，无法被复制或迁移。云同步模式下，私钥可通过Apple iCloud钥匙串或Google密码管理器等服务在用户的多台已授权设备间加密同步，兼顾安全性与便捷性。微软同时支持通过Microsoft Edge浏览器和微软密码管理器实现跨设备同步，第三方密码管理器如Bitwarden和1Password也已接入Windows 11的通行密钥提供程序API。用户丢失手机后，仍可凭借已验证的备用邮箱和已同步的通行密钥恢复账户访问权限。

企业端的配套迁移已有明确的时间表。微软Entra ID的通行密钥支持已进入公测阶段，设备绑定式通行密钥已允许用户在Windows Hello中存储密钥，针对受管设备和个人设备均可使用。根据微软Entra ID的迁移计划，仍在使用旧式身份验证方式的租户组织，必须在2026年9月30日之前将用户的管理设置迁移到新型身份验证策略。2026年10月1日起，仍依赖旧版短信或语音验证码的流程将停止工作，可能导致用户无法完成登录。此外，自2027年1月起，Microsoft Entra ID将不再支持通过安全问题重置密码，从源头防范攻击者通过钓鱼手段获取账户恢复信息。

在特殊技术场景下，短信验证码仍将保留为最终备用方案。对于Windows Insider项目成员在创建和管理虚拟机等隔离嵌套环境中的登录需求——由于虚拟机无法读取主机的生物识别硬件，也无法访问安全密钥，使用通行密钥或PIN码登录会频繁显示错误信息——短信验证码将继续作为兜底手段提供，但该例外仅适用于极其有限的技术场景。

微软推进无密码化的工程验证数据已对外公开。在2026年5月世界通行密钥日上，微软披露通行密钥被设为新账户默认选项后，微软内部的无密码身份验证成功率达到了95%，登录速度相比传统方式提高了14倍。微软内部环境中，已有99.6%的用户和设备切换到了抗钓鱼的身份验证方式，旧的短信和语音验证方式已基本从核心流程中去除。新增账户已默认以通行密钥替代密码注册。FIDO联盟同期估算，全球已有50亿个通行密钥投入使用，谷歌、苹果和Meta等科技企业均已将通行密钥纳入各自的消费者身份验证体系，整个行业正在从密码时代向无密码时代加速迁移。

微软将很快向所有个人账户持有者推送提示界面，要求用户设置通行密钥并确认备用电子邮件地址的有效性。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com