微软力推 Windows 11 通行密钥：短信验证时代终结，无密码登录成新趋势

5 月 19 日消息：微软已正式宣布，将停止使用短信验证码进行个人账户登录验证。微软官方发布的最新技术支持文档证实，其正在逐步淘汰短信验证码，不再将其作为双因素身份验证和账户恢复的方式。

未来微软将强制推行无密码替代方案，强制个人账户用户使用通行密钥、身份验证器应用程序以及已验证的辅助电子邮件地址。

微软官方公告指出，基于短信的身份验证现在已经成为欺诈的主要来源。短信在设计之初并未考虑现代网络安全，其以明文形式通过脆弱的蜂窝网络传输，极易被拦截。

恶意攻击者还经常使用SIM卡交换攻击，通过诱骗移动运营商将用户的手机号码转移到攻击者控制的设备上，从而直接接收所有的短信双重验证码并劫持账户。

作为替代方案，微软正在全面推广通行密钥。通行密钥使用设备内置的生物识别硬件，用户登录时需要通过Windows Hello面部识别、指纹扫描器或本地设备PIN码验证身份。

这会生成一个加密密钥对，其中私钥保存在笔记本电脑的TPM安全芯片等物理硬件中，永远不会离开物理硬件，以此阻断远程网络钓鱼攻击。

通行密钥还可以通过Apple iCloud钥匙串或Google密码管理器等服务在用户设备之间进行加密同步，确保用户在丢失手机时仍能通过已验证的电子邮件和同步的通行密钥恢复账户。

这项强制转型会导致部分高级用户在极端技术场景下遭遇登录障碍。在Windows Insider项目成员启动、配置和管理新的虚拟机等隔离嵌套环境时，由于虚拟机无法读取主机的生物识别硬件，也无法访问安全密钥，使用通行密钥或PIN码登录会频繁显示错误信息。

在这种特定场景下，短信验证码是最终的备用方案。微软很快将向所有个人账户持有者推送提示屏幕，要求用户设置通行密钥并验证备用电子邮件地址。