微軟個人帳號停用SMS驗證強制推行Passkey無密碼登入

微軟宣布將停止以 SMS(簡訊)作為 Windows 11 個人版微軟帳號的驗證及帳號回復方式,要求用戶改用通行密鑰(Passkey)等無密碼驗證機制,2026 年 5 月起逐步實施。

背景

SMS 驗證(OTP via SMS)長期以來作為雙因素驗證(2FA)的常見方式,但已被安全研究人員指出存在嚴重風險:

  • SIM-swap 攻擊:攻擊者欺騙電信業者將受害者號碼轉移至攻擊者控制的 SIM 卡
  • 釣魚攻擊:透過假網站誘騙用戶輸入 SMS OTP
  • 詐騙濫用:SMS 驗證流程被不法人士大量利用進行帳號盜取

替代方案

方式安全性便利性
Passkey(通行密鑰)⭐⭐⭐⭐⭐⭐⭐⭐⭐
生物驗證(指紋/Face ID)⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐
電子郵件 2FA⭐⭐⭐⭐⭐⭐
Apple/Google 帳號 SSO⭐⭐⭐⭐⭐⭐⭐⭐⭐

影響

  • 個人帳號用戶須在 Windows 11 平台上完成驗證方式遷移
  • 與業界趨勢一致:FIDO2/WebAuthn 標準成為主流
  • Google 自 2023 年已鼓勵無密碼驗證,趨勢加速

相關頁面

來源文章