微软正在加速淘汰基于短信验证码的身份验证方式，并在 Windows 11 生态中大力推广“无密码登录”，通过通行密钥（Passkey）、验证器应用和备用邮箱来保护个人微软账户安全。 微软向媒体确认，公司将不再向个人账户发送短信验证码，这一调整不仅涉及双重验证流程，也包括账号找回环节。 今年早些时候悄然更新的支持文档已经明确写道，微软正“逐步停止将短信作为个人微软账户的身份验证和账户恢复方式”。

微软在最新的安全公告中直言，基于短信的身份验证“已经成为欺诈的主要来源之一”，不再符合其提升安全标准的长期策略。 短信最初并非为现代网络安全场景设计，其内容以明文形式在蜂窝网络中传输，极易被拦截和窃听。 此外，越来越常见的“SIM 卡交换攻击”也暴露了短信验证码的结构性弱点：攻击者只需诱骗运营商将受害者的号码转移到自己控制的设备上，就能瞬间接收所有短信验证码，轻松接管受害者的在线账户。 在微软看来，要应对这类威胁，靠继续修补短信体系已经不现实，彻底拥抱无密码方案才是更可行的路径。

在新的策略下，微软将以通行密钥为核心替代短信验证码，这一标准被视为具备抗网络钓鱼能力的现代登录方式。 与可以被截获或复用的传统密码和六位数字码不同，通行密钥依赖设备内置的生物识别硬件和本地 PIN 进行身份验证。 用户在登录微软账户时，可以通过 Windows Hello 面部识别、指纹识别或本地设备 PIN 完成验证，系统会在后台生成一对公私钥，其中私钥始终保存在本地设备的安全芯片等硬件中，不会通过网络传输，从而几乎杜绝远程钓鱼攻击的可能性。

通行密钥在具体实现上既可以采用“设备绑定”模式，也可以借助云服务在多设备间同步。 前者意味着私钥永不离开某一具体硬件，例如笔记本电脑的 TPM 安全芯片；后者则依托 Apple iCloud 钥匙串或 Google 密码管理器等服务，将密钥安全同步到用户的多台终端。 微软指出，即便用户丢失手机，只要此前配置过可信任的备用邮箱和跨设备同步的通行密钥，依然可以较为安全地恢复账户访问权限。

从安全理论角度看，微软放弃脆弱的短信验证码、转向生物识别加密通行密钥，是一次方向正确的升级，也顺应了整个行业“去密码化”的大趋势。 微软在公告中强调，公司“致力于提升安全标准”，并相信身份验证的未来应当是“无密码、安全且用户友好”。 文章作者也提到，在日常使用中，配合 Microsoft Edge、微软密码管理器和 Microsoft Authenticator 应用，再加上搭载红外摄像头的 Windows Hello 面部识别，无密码登录个人账户的体验“确实相当出色”，操作也更为顺手。

然而，这一看似理想的无密码未来，对重度用户和某些技术场景而言，可能并不平滑。 作者以自己作为 Windows Insider 的工作流程为例指出，他经常需要创建、配置和管理大量虚拟机，用于测试不同的系统版本和软件环境。 在这些隔离的虚拟机环境中，物理生物识别硬件通常不可用，安全密钥也并非随时可接入，导致通行密钥登录体验明显“掉线”。 当尝试在虚拟机中通过 PIN 使用通行密钥登录微软账户时，他屡次遇到错误提示，无法顺利完成登录过程。

在这种高度技术化、却又相对常见的边缘场景里，请求接收一条短信验证码，曾经是一个简单而可靠的“最后兜底方案”。 密码加短信验证码的组合已经深入人心，一串六位数字几乎成了全球用户日常操作中最自然的安全步骤之一。 作者认为，要真正改变这种多年养成的习惯，新技术不仅要更安全，也必须在几乎所有场景下做到“无感运转”，否则很容易在关键时刻让用户陷入困境。

微软近期在安装体验和账户策略上也做出其他调整，以配合这次安全方向的转变。 例如，有迹象显示，微软可能会在未来的 Windows 11 安装流程中取消强制要求登录微软账户的做法，从而减少用户在某些设置阶段必须在线登录的场景。 另一方面，公司也将通过系统弹窗主动提示所有个人账户用户，鼓励他们尽快配置通行密钥并验证备用邮箱，常见提示语包括“用面部、指纹或 PIN 更快登录”等。

可以预见，失去短信验证码这一“方便但脆弱”的工具，对部分用户来说短期内会带来不适和抱怨。 不过，在微软的表述中，这被视作是为应对现代安全威胁所必须付出的代价，也是强化 Windows 11 生态整体安全防线的关键一步。 随着通行密钥和无密码方案的进一步普及，账户安全的底层逻辑正在从“记住一个密码”转向“证明你就是你自己”，而这场迁移已经在微软的体系中全面展开。