Microsoft 宣佈將分階段停止向個人帳戶發送短訊驗證碼,改用 Passkey 通行密鑰、已驗證備用電郵及生物識別驗證取代,標誌其「無密碼、更安全、更易用」身份驗證策略正式全面落實。
短訊驗證漏洞問題
Microsoft 在官方支援文件中明確指出,短訊身份驗證「已成為帳戶欺詐主要來源之一」。黑客容易利用釣魚攻擊及 SIM 卡交換攻擊入侵 SMS,令帳戶面臨極高風險。攻擊者在 SIM 卡交換攻擊中,會誘騙電訊商將受害者號碼轉移至其控制裝置,從而即時截取所有短訊驗證碼並輕易盜取帳戶。密碼相關網絡攻擊至今仍是黑客入侵主要手段,促使 Microsoft 加快轉型步伐。
Passkey 成核心替代方案
Microsoft 以 Passkey 作為核心替代方案。Passkey 基於 FIDO 聯盟制訂公鑰/私鑰加密技術,用戶登入時裝置會以私鑰簽署伺服器發出挑戰訊息,並配合臉部識別、指紋等生物識別或本地 PIN 完成驗證。私鑰始終儲存於本地裝置安全晶片,不經網絡傳輸,幾乎杜絕遠端釣魚攻擊。截至 2024 年底,全球已有逾 150 億用戶帳戶可使用 Passkey 登入。
自 2025 年 5 月 1 日(世界密碼日)起,所有新建 Microsoft 帳戶預設採用無密碼登入,新用戶毋須設定密碼。Microsoft 亦改良登入介面,系統會自動偵測帳戶可用最佳驗證方式並設為預設。例如帳戶同時設有密碼和一次性驗證碼時,系統會優先提示使用驗證碼,登入後再引導用戶設定 Passkey。Microsoft 指出此改動令密碼使用率在測試中降低逾 20%。2026 年 3 月,Microsoft 進一步向所有支援裝置推出 Microsoft Entra Passkeys,與 Windows Hello 深度整合。
過渡期安排
Microsoft 採取分階段推行策略,現有用戶不會即時失去帳戶存取權。系統會在登入時主動提示設定 Passkey 及驗證備用電郵,讓用戶在淘汰短訊驗證前完成過渡。現有用戶亦可在帳戶設定中主動刪除密碼,完全轉用無密碼登入。Windows 11 亦已於 Insider Preview 版本加入第三方 Passkey 插件支援,包括 Bitwarden 及 1Password,進一步擴展使用場景。
資料來源:cnBeta
|
鍾意就快D Share啦!
|
|
|
