Microsoft 日前正式宣佈,將逐步淘汰個人帳戶的 SMS 手機文字訊息驗證碼功能。這項舉措意味著傳統透過手機接收六位數字驗證碼的雙重認證方式即將成為過去,官方將全面推動用戶轉用更安全、更現代化的 Passkey(金鑰)認證技術。
事實上,這項決定早已有跡可尋。Microsoft 自去年起已經開始對所有新註冊的個人帳戶強制實施 Passkey 認證,而這次則是進一步將範圍擴大至所有現存的舊有個人帳戶。Microsoft 在聲明中指出,傳統的 SMS 文字訊息驗證如今已成為網絡詐騙與黑客攻擊的主要源頭之一。由於流動通訊網絡存在被攔截、SIM 卡劫持(SIM-swapping)等安全漏洞,文字訊息早已不再是絕對安全的防線。
相比之下,Passkey 提供了截然不同的安全防護機制。傳統密碼只是一串容易被盜取或破解的字元,但 Passkey 採用了雙重密鑰架構。當用戶啟用此功能時,系統會產生一對獨一無二的密鑰,其中一個儲存於用戶的個人裝置上,並受到生物特徵(如面容識別、指紋解鎖)或手機 PIN 碼的嚴密保護;另一個密鑰則由網站或服務供應商保管。用戶每次登入時,必須同時配對這兩組密鑰才能成功進入帳戶,大大提升了黑客入侵的難度。
對於習慣依賴手機短訊解鎖的普通用戶而言,這項轉變代表著必須盡快調整習慣。雖然 Microsoft 目前尚未給出全面停用 SMS 驗證的具體時間表,僅以「即將實施」一詞帶過,但網絡安全專家均建議用戶應視之為當務之急,主動登入 Microsoft 帳戶並切換至 Passkey 設定,以免在服務正式終止時措手不及。不過,這項激進的全面過渡政策亦引發了科技界的一些疑慮。例如,當用戶需要在虛擬機器上登入 Windows 系統,或者在某些暫時無法支援生物特徵與智能裝置配對的特定環境下,缺乏了 SMS 驗證作為後備方案,可能會令部分用戶陷入無法登入的困境。Microsoft 目前尚未對這類特殊情況提出明確的解決方案,外界正密切留意官方後續會否推出相應的配套措施。不論如何,Microsoft 這次大刀闊斧的舉動,無疑為個人密碼時代的終結按下了加速鍵。
