Microsoft 正在取消个人账户的短信登录码
你可能没有注意到,我们在网上登录账户的方式正在悄然发生一场颠覆性的革命。
2026年5月,微软正式对外宣布:将停止为个人微软账户(MSA)发送短信验证码(SMS Codes),并将在 Windows 11 生态中全力推进通行密钥(Passkeys)的普及。 短信验证码作为曾经风靡全球的双重验证(2FA)与身份恢复的标准,正被微软无情地“判处死刑”。
无独有偶,资深安全专家 Sylvain Kerkour 也在其技术专栏中大声疾呼:“传统密码太烂了,Passkeys 不是安全的未来,而是安全的现在。”
为什么强如微软这样的科技巨头要如此激进地消灭短信验证码?被寄予厚望的 Passkeys 究竟是什么原理?它真的能让我们彻底告别密码吗?
一、 时代的眼泪:为什么传统密码与短信验证码“不得不死”?
要理解 Passkeys 的伟大,首先得明白我们现有的安全防线有多么脆弱。
1. 传统密码的“先天畸形”
传统密码最大的痛点在于对抗网络钓鱼(Phishing)无能为力。无论你的密码设得多复杂(比如包含大写、小写、数字和特殊字符),只要你不小心在一个高仿的钓鱼网站(例如 www-mybank.com 代替 mybank.com)输入了它,这个密码就瞬间落入黑客之手。此外,键盘记录器(Keyloggers)、中间人攻击(MitM)以及频繁发生的企业数据库泄露,都让密码成为了信息安全事故的罪魁祸首。
2. 短信验证码(SMS)的“安全幻觉”
Microsoft 在其官方公告中表示 ,“基于短信的认证现在已成为主要的欺诈来源。”
为了弥补密码的缺陷,业界引入了基于短信的双重验证(2FA)。然而,短信在设计之初就从未考虑过现代网络安全需求。
- 明文传输: 短信在蜂窝网络中是以明文形式传输的,极易受到基站拦截或中间人窃听。
- SIM 卡交换攻击(SIM-Swap): 黑客只需通过社会工程学手段欺骗电信运营商,将你的手机号转导向他们控制的 SIM 卡。一瞬间,你所有的短信验证码都会被黑客“截胡”,账户防御瞬间土崩瓦解。
微软官方在公告中明确指出:“基于短信的身份验证现在已成为欺诈行为的主要源头。” 这就是为什么微软宁愿承担部分用户的抱怨,也要激进地将其砍掉。
二、 解密 Passkeys:密码学带来的安全革命
与传统密码或文本代码不同,通行密钥使用设备内置的生物识别硬件。
既然密码和短信都不靠谱,我们需要一种既具备极高密码学安全性,又不需要在网络上传输秘密的验证机制。
这正是 Passkeys(通行密钥) 的核心使命。
1. 什么是 Passkeys?
从市场营销角度看,它叫 Passkeys;从技术标准上看,它是基于 WebAuthn(Web Authentication) 协议的凭据。
Passkeys 的底层逻辑是现代密码学的基石——非对称加密(Asymmetric Cryptography)与数字签名(Digital Signatures):
- 私钥(Private Key): 保存在你的本地设备(如手机、电脑、硬件安全密钥)中,绝对不会发送给任何网络服务器,也不会在网络上传输。
- 公钥(Public Key): 注册账户时发送给服务商(如微软、谷歌、银行),存储在服务商的数据库中。
2. Passkeys 的登录流程:挑战-应答机制(Challenge-Response)
当你尝试登录一个支持 Passkeys 的网站时,过程不再是“比对密码”,而是进行一次密码学“对暗号”:
- 下发挑战值: 服务器生成一个随机的、一次性的字符串(称为“挑战值”,Challenge)。
- 本地签名: 你的设备(手机或 PC)收到挑战值后,会要求你进行本地认证(如 Windows Hello 面部识别、指纹或本地 PIN 码)。
- 硬件解锁并签名: 生物识别通过后,设备内的安全芯片(如电脑的 TPM 芯片)被解锁,使用私钥对这个挑战值进行加密签名,然后将签名发送给服务器。
- 验证签名: 服务器用存储的公钥去解密和验证这个签名。如果验证成功,代表你确实拥有对应的私钥,允许登录。
3. 为什么 Passkeys 拥有完美的“抗钓鱼”属性?
因为 Passkeys 与域名(Domain)是深度绑定的。 当你在浏览器中访问一个网站时,浏览器会自动检测当前域名的真实性。如果是钓鱼网站,由于域名不匹配,你的 Passkeys 管理器根本不会调用对应的私钥去签署挑战值。黑客在钓鱼页面上拿不到密码(因为根本没有密码),也拿不到可以重复使用的验证码。这种机制从根本上物理断绝了网络钓鱼的可能性。
三、 Passkeys 的分类与日常使用形态
在实际应用中,Passkeys 主要分为两大类:
- 软件同步型(Synced Passkeys): 私钥存储在跨设备的密码管理器中(如 Apple iCloud 钥匙串、Google 密码管理器、微软凭据管理器或第三方软件 Bitwarden)。如果你换了新手机,只要登录云端账户,Passkeys 就会自动同步。
- 硬件绑定型(Device-bound Passkeys): 私钥被死死锁在特定硬件的物理安全芯片中。例如专门的硬件安全密钥(如 YubiKey),或者你笔记本电脑上的 TPM 芯片。这种类型的私钥绝不可能被导出或同步,安全性最高,常用于企业级高安全场景。
跨设备登录的妙用:
Sylvain Kerkour 提到过一个极佳的使用场景:如果你在外度假,电脑和钱包都丢了,只剩下一部手机。你可以在任何一台不安全的公共电脑(如图书馆电脑)上登录你的核心账户。你只需要用手机扫描电脑屏幕上的 QR 码(二维码),通过手机上的生物识别,即可在电脑上安全登录,期间绝不会有任何凭据泄露给这台公共电脑。
四、 理想很丰满,现实很骨感:激进转型的阵痛
尽管 Passkeys 在技术上近乎完美,但微软全面取消短信验证码、强推 Passkeys 的决定,依然在技术圈引发了不小的争议。
其核心问题在于极端边界情况(Edge Cases)下的技术脱节:
1. 虚拟机与嵌套环境的噩梦
对于开发者、系统管理员和测试人员(如 Windows Insider 成员)来说,他们需要频繁地在 Windows 11 中克隆、配置和管理虚拟机(VM)。
在这些隔离的虚拟化环境中,物理生物识别硬件(红外摄像头、指纹识别器)是默认不存在或无法透传的。当微软强制要求使用 Passkeys 登录微软账户(MSA),而虚拟机又无法调用 Windows Hello 硬件,且本地 PIN 码登录频繁报错时,整个登录流就会彻底崩溃。
2. 备用兜底手段的缺失
在过去,当所有先进技术手段失效时,“输入发到手机上的 6 位数短信”是最后的、绝对通用的降维救命稻草。而现在,微软将其一刀切地移除,取而代之的是强制要求用户绑定“验证器 App(Authenticator)”和“经认证的备用电子邮箱”。一旦用户同时失去这些手段,账户恢复的门槛将大幅提高。
五、 深入密码学:Passkeys 的未来挑战与技术实现建议
对于技术专家和开发者而言,Passkeys 并不是一劳永逸的魔法,它同样需要面对技术迭代。
1. 抗量子计算(Post-Quantum Cryptography)
目前的 Passkeys 广泛采用 Ed25519 或 ECDSA (ES256) 签名算法。它们在传统计算机面前牢不可破,但面对未来的“密码学相关量子计算机(CRQC)”,基于离散对数和椭圆曲线的算法将会失效。
好在 NIST(美国国家标准与技术研究院)已于 2024 年发布了抗量子数字签名标准(如 ML-DSA)。FIDO 联盟和 W3C 目前正在积极制定抗量子版的 WebAuthn 标准。未来,软件形态的 Passkeys 只需通过软件更新和密钥轮转(Rotation)即可平滑过渡,但老旧的硬件安全密钥可能需要面临物理更换。
2. 服务端彻底转型的建议
许多网站在推行 Passkeys 时犯了一个致命错误:让密码和 Passkeys 并存。只要数据库里还留着用户的传统密码,黑客就可以继续通过钓鱼或撞库来攻击该账户,这让 Passkeys 沦为了摆设。
Sylvain Kerkour 建议开发者采取更彻底的激进转型策略:
- 删除数据库中的传统密码字段。
- 当用户没有 Passkeys 却尝试登录时,通过邮箱发送一次性免密链接(Magic Link)。
- 用户登录成功后,立刻弹窗强烈引导用户注册并绑定一个本地的 Passkey。
在这些高度技术化、边缘化的场景中,要求短信验证码是最终且万无一失的备选方案。它就是这样运作了。
总结
微软在 Windows 11 中对短信验证码的“绝杀”,是一场为了全体网络社会利益而进行的硬着陆。虽然短时间内,它会给习惯了 6 位数验证码的普通用户以及依赖虚拟机的极客带来阵痛,但它指明了无法逆转的未来。
告别脆弱的明文短信,拥抱基于现代密码学的 Passkeys,这不仅是微软生态的一次升级,更是我们数字生活防线的一次关键进化。
参考文章1【Microsoft is killing SMS codes for Microsoft account sign-in, aggressively pushes passkeys on Windows 11】:https://www.windowslatest.com/2026/05/19/microsoft-is-killing-sms-codes-for-microsoft-account-sign-in-aggressively-pushes-passkeys-on-windows-11/
参考文章2【Passwords suck. Can passkeys replace them?】:https://kerkour.com/passkeys
来源文章【再见,短信验证码!微软强推 Passkey 背后的技术演进与安全革命】:https://news.zyhorg.cn/articles/microsoft-is-killing-sms-codes-for-microsoft-account-sign-in-aggressively-pushes-passkeys-on-windows-11
