微软将淘汰短信验证码，为个人账户推行通行密钥

“短信验证码”想必每个会上网的网友都不陌生吧！

这玩意儿好用是好用，但不知道大伙儿有没有过被它折磨到崩溃的瞬间？大半夜急着登个账号，手机死活收不到验证码，只能干等着倒计时结束，然后一遍遍点“重新发送”。

更难绷的是，要是遇上重复卡 Bug，怎么点都没用，那血压真是蹭蹭往上涨。好不容易收到了，结果不小心错过弹窗，还得从一堆退订短信里把它翻出来……

这不，连潜心打磨 Windows 的微软都看不下去了。

最近，微软在官方支持页面发布了一则公告，宣布了一个大动作：将逐步淘汰短信验证码，终止其作为个人 Microsoft 账户身份验证和恢复手段的历史使命。

简单来说，以后登录 Microsoft 账户、你的 Outlook 邮箱或是 Xbox 账户，可能都不会再收到那串 6 位数的短信验证码了。

看到这儿，估计大家又要开启对“微软传统艺能”的吐槽模式了：“这老哥又要闹哪样？之前强推 Windows 11 升级的旧账还没算清，现在连登录都不让人省心？”

不过，先别急着喷。客观来讲，微软这波操作，还真不一定是件坏事。

微软为啥要抛弃短信验证码？

因为在当下的网络安全环境里，短信验证码几乎已经成了一层“防君子不防小人”的窗户纸。

在咱们的认知里，“账号密码+短信验证码”的双重验证就是妥妥的双保险。

可在黑客和专业人士眼中，短信验证码早已是漏洞百出。主要原因有两点：

首先就是臭名昭著的 SIM 卡劫持。严格来说，黑客根本不需要偷你的手机。他们可以通过伪造身份信息冒充你，甚至买通运营商内部人员，直接把你的手机号补办到自己的 SIM 卡上。届时，所有发给你的验证码，都会自动跑进黑客的手机。

第二是中间人攻击和伪基站。要知道，短信这玩意儿在设计之初就没考虑过高强度加密。黑客能用伪基站拦截信息，或通过钓鱼网站搭建一个以假乱真的登录页面。你以为自己在官网正襟危坐，高高兴兴地输入验证码，下一秒，后台的黑客就能拿着这串码把你的账号洗劫一空。

而且，微软官方统计的数据更离谱：基于短信的验证方式，如今已成为各类网络诈骗和账号被盗的重灾区，是欺诈活动的主要来源。

当然，还有个更现实的原因：天天给全球用户发短信，不仅要扛着被黑的风险，微软每年还得向运营商支付一笔高得吓人的短信服务费。这种“耗时费钱又不讨好，还没用”的买卖，微软是打心底不想干了。

什么是通行密钥（Passkey）？

那么，告别短信后，我们该怎么登录呢？

微软给出的终极答案是通行密钥（Passkey）。在官方公告里，微软宣称：“身份验证的未来是无密码、安全和用户友好的。”听着是挺高级，但这“通行密钥”到底是个什么鬼？

通俗点说，它就是把你的设备（如你的 iPhone、安卓手机，或是指纹识别笔记本）变成一把物理密钥。

以后登录微软账户时，页面会弹出一个通行密钥验证请求。你根本不需要输入密码，也不必等短信，只用掏出手机，刷一下人脸（Face ID）、按个指纹，或输入锁屏 PIN 码，啪的一下就登进去了。

整个过程不仅快如闪电，还出奇地安全。

有网友看到这儿可能要问了：“我刷脸、验指纹登录，那我的隐私数据不就全被微软拿走了吗？”

这个你大可放心。因为 Passkey 的底层技术基于 FIDO 联盟标准，用的是非对称加密。这玩意儿会在你的设备本地生成一把“私钥”（比如锁在手机的安全芯片里），然后只给微软服务器一把“公钥”。

登录时，微软发来一个加密请求，你的手机用指纹或人脸解开本地私钥与微软对个暗号，对上就放行。整个过程，你的指纹和面部数据只留在手机本地，微软压根看不见。

同时，它还完全免疫钓鱼网站。因为 Passkey 是跟官方域名绑定的，就算黑客造了个一模一样的山寨登录页，手机识别到域名对不上，也不会交出密钥。这多重保障的安全性，真能把区区 6 位数短信验证码甩出几条街。

其实微软并非先行者，苹果、Google 账户以及阿里云 RAM 账户等许多平台，早已率先支持通行密钥登录。

话说回来，虽然微软勾勒的“无密码未来”这张大饼确实诱人，通行密钥的优势也很明显：更安全、登录更快、不担心换号后收不到验证码。但被科技大厂“套路”过无数次的我，还是忍不住想小小吐槽一下。

这次强推通行密钥，多少又带了点当初强行自动更新 Win 11、强制用 Microsoft 账户登录的那种“霸道总裁”味儿。

好在，我细扒微软公告后发现，在必须使用通行密钥的同时（比如手机不慎丢失），也可以选用“已验证的备用电子邮箱”来临时接收验证码。Emmm……虽然兜兜转转从“等短信”变成了“等邮件”，但这回好歹留了个备选方案，没把事儿做绝！

总的来说，苹果、谷歌、微软这三巨头如今能在推进通行密钥这件事上破天荒地达成一致，足以说明“无密码时代”真的不是说说而已。短信验证码这个服役了几十年的老兵，可能真到了被请进科技历史博物馆的时候了。

资料、图片来源：微软官网、网络。

在这个技术快速更迭的时代，云栈社区也观察到越来越多的开发者和用户开始关注身份认证的未来走向。如果你对通行密钥或微软的这类新调整有什么独到见解与实操经验，欢迎常来社区里和大家一起聊聊，分享你的迁移心得。