微软近日宣布,将逐步停止通过短信(SMS)向个人Microsoft账户发送验证码用于身份认证和账户恢复,转而采用通行密钥(passkeys)、验证器应用以及已验证电子邮件等更安全的选项。这一举措是微软推进无密码认证战略的重要步骤。
短信认证的安全缺陷
微软在相关安全建议中明确指出,短信认证“是欺诈的主要来源”,并强调“SMS作为多重认证(MFA)手段在多个方面都非常脆弱”。公司表示,转移至无密码账户、通行密钥和已验证邮件,能帮助用户“抵御不断演变的威胁,同时让账户访问更简单、更无缝”。微软认为,身份验证的未来是无密码、安全且用户友好的。
微软在公告中称:“SMS认证是欺诈的主要来源,而通过转向无密码账户、通行密钥和已验证邮件,我们正在帮助用户抵御不断演变的威胁,同时让账户访问更简单、更无缝。”
新认证方式与迁移安排
根据微软公布的信息,目前新注册的个人Microsoft账户已不再将短信验证码作为可用的认证或账户恢复选项。现有用户将在登录过程中逐步看到“更快登录”提示,引导其创建通行密钥来替代短信验证码。微软同时推荐使用微软验证器应用或已验证电子邮件作为替代方案。
微软列举了通行密钥相比短信的四大优势:
- 提升安全:通行密钥天生抵抗网络钓鱼,消除短信相关的欺诈风险。
- 加速登录:无需等待短信验证码,通过生物识别或设备PIN即可瞬间登录,也支持Apple或Google账户一键登录。
- 缩小攻击面:短信是账户接管攻击最常用的媒介之一,淘汰SMS可大幅减少风险暴露。
- 强化账户恢复:通过已验证邮箱和通行密钥,用户即使更换手机号或遗失设备,也能顺利恢复账户访问。
通行密钥结合生物识别或设备PIN可实现即时登录,省去了等待短信码的环节。微软强调,这一方式在提升安全性的同时,也简化了用户操作。
微软尚未给出完全淘汰短信验证码的具体时间表,不过新账户的注册流程已默认不推荐该方式,现有用户也已开始逐步迁移。微软鼓励所有仍使用短信认证的用户尽早转向更安全的通行密钥或验证器应用。
本文参考来源:Windows Central
