微軟個人帳號停用SMS驗證強制推行Passkey無密碼登入
微軟宣布將停止以 SMS(簡訊)作為 Windows 11 個人版微軟帳號的驗證及帳號回復方式,要求用戶改用通行密鑰(Passkey)等無密碼驗證機制,2026 年 5 月起逐步實施。
背景
SMS 驗證(OTP via SMS)長期以來作為雙因素驗證(2FA)的常見方式,但已被安全研究人員指出存在嚴重風險:
- SIM-swap 攻擊:攻擊者欺騙電信業者將受害者號碼轉移至攻擊者控制的 SIM 卡
- 釣魚攻擊:透過假網站誘騙用戶輸入 SMS OTP
- 詐騙濫用:SMS 驗證流程被不法人士大量利用進行帳號盜取
替代方案
| 方式 | 安全性 | 便利性 |
|---|---|---|
| Passkey(通行密鑰) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| 生物驗證(指紋/Face ID) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| 電子郵件 2FA | ⭐⭐⭐ | ⭐⭐⭐ |
| Apple/Google 帳號 SSO | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
影響
- 個人帳號用戶須在 Windows 11 平台上完成驗證方式遷移
- 與業界趨勢一致:FIDO2/WebAuthn 標準成為主流
- Google 自 2023 年已鼓勵無密碼驗證,趨勢加速
相關頁面
- microsoft — 微軟公司實體頁