再见，短信验证码！微软强推 Passkey 背后的技术演进与安全革命

Microsoft 正在取消个人账户的短信登录码

你可能没有注意到，我们在网上登录账户的方式正在悄然发生一场颠覆性的革命。

2026年5月，微软正式对外宣布：将停止为个人微软账户（MSA）发送短信验证码（SMS Codes），并将在 Windows 11 生态中全力推进通行密钥（Passkeys）的普及。 短信验证码作为曾经风靡全球的双重验证（2FA）与身份恢复的标准，正被微软无情地“判处死刑”。

无独有偶，资深安全专家 Sylvain Kerkour 也在其技术专栏中大声疾呼：“传统密码太烂了，Passkeys 不是安全的未来，而是安全的现在。”

为什么强如微软这样的科技巨头要如此激进地消灭短信验证码？被寄予厚望的 Passkeys 究竟是什么原理？它真的能让我们彻底告别密码吗？

一、 时代的眼泪：为什么传统密码与短信验证码“不得不死”？

要理解 Passkeys 的伟大，首先得明白我们现有的安全防线有多么脆弱。

1. 传统密码的“先天畸形”

传统密码最大的痛点在于对抗网络钓鱼（Phishing）无能为力。无论你的密码设得多复杂（比如包含大写、小写、数字和特殊字符），只要你不小心在一个高仿的钓鱼网站（例如 www-mybank.com 代替 mybank.com）输入了它，这个密码就瞬间落入黑客之手。此外，键盘记录器（Keyloggers）、中间人攻击（MitM）以及频繁发生的企业数据库泄露，都让密码成为了信息安全事故的罪魁祸首。

2. 短信验证码（SMS）的“安全幻觉”

Microsoft 在其官方公告中表示 ，“基于短信的认证现在已成为主要的欺诈来源。”

为了弥补密码的缺陷，业界引入了基于短信的双重验证（2FA）。然而，短信在设计之初就从未考虑过现代网络安全需求。

• 明文传输： 短信在蜂窝网络中是以明文形式传输的，极易受到基站拦截或中间人窃听。
• SIM 卡交换攻击（SIM-Swap）： 黑客只需通过社会工程学手段欺骗电信运营商，将你的手机号转导向他们控制的 SIM 卡。一瞬间，你所有的短信验证码都会被黑客“截胡”，账户防御瞬间土崩瓦解。

微软官方在公告中明确指出：“基于短信的身份验证现在已成为欺诈行为的主要源头。” 这就是为什么微软宁愿承担部分用户的抱怨，也要激进地将其砍掉。

二、 解密 Passkeys：密码学带来的安全革命

与传统密码或文本代码不同，通行密钥使用设备内置的生物识别硬件。

既然密码和短信都不靠谱，我们需要一种既具备极高密码学安全性，又不需要在网络上传输秘密的验证机制。

这正是 Passkeys（通行密钥） 的核心使命。

1. 什么是 Passkeys？

从市场营销角度看，它叫 Passkeys；从技术标准上看，它是基于 WebAuthn（Web Authentication） 协议的凭据。

Passkeys 的底层逻辑是现代密码学的基石——非对称加密（Asymmetric Cryptography）与数字签名（Digital Signatures）：

• 私钥（Private Key）： 保存在你的本地设备（如手机、电脑、硬件安全密钥）中，绝对不会发送给任何网络服务器，也不会在网络上传输。
• 公钥（Public Key）： 注册账户时发送给服务商（如微软、谷歌、银行），存储在服务商的数据库中。

2. Passkeys 的登录流程：挑战-应答机制（Challenge-Response）

当你尝试登录一个支持 Passkeys 的网站时，过程不再是“比对密码”，而是进行一次密码学“对暗号”：

1. 下发挑战值： 服务器生成一个随机的、一次性的字符串（称为“挑战值”，Challenge）。
2. 本地签名： 你的设备（手机或 PC）收到挑战值后，会要求你进行本地认证（如 Windows Hello 面部识别、指纹或本地 PIN 码）。
3. 硬件解锁并签名： 生物识别通过后，设备内的安全芯片（如电脑的 TPM 芯片）被解锁，使用私钥对这个挑战值进行加密签名，然后将签名发送给服务器。
4. 验证签名： 服务器用存储的公钥去解密和验证这个签名。如果验证成功，代表你确实拥有对应的私钥，允许登录。

3. 为什么 Passkeys 拥有完美的“抗钓鱼”属性？

因为 Passkeys 与域名（Domain）是深度绑定的。 当你在浏览器中访问一个网站时，浏览器会自动检测当前域名的真实性。如果是钓鱼网站，由于域名不匹配，你的 Passkeys 管理器根本不会调用对应的私钥去签署挑战值。黑客在钓鱼页面上拿不到密码（因为根本没有密码），也拿不到可以重复使用的验证码。这种机制从根本上物理断绝了网络钓鱼的可能性。

三、 Passkeys 的分类与日常使用形态

在实际应用中，Passkeys 主要分为两大类：

1. 软件同步型（Synced Passkeys）： 私钥存储在跨设备的密码管理器中（如 Apple iCloud 钥匙串、Google 密码管理器、微软凭据管理器或第三方软件 Bitwarden）。如果你换了新手机，只要登录云端账户，Passkeys 就会自动同步。
2. 硬件绑定型（Device-bound Passkeys）： 私钥被死死锁在特定硬件的物理安全芯片中。例如专门的硬件安全密钥（如 YubiKey），或者你笔记本电脑上的 TPM 芯片。这种类型的私钥绝不可能被导出或同步，安全性最高，常用于企业级高安全场景。

跨设备登录的妙用： Sylvain Kerkour 提到过一个极佳的使用场景：如果你在外度假，电脑和钱包都丢了，只剩下一部手机。你可以在任何一台不安全的公共电脑（如图书馆电脑）上登录你的核心账户。你只需要用手机扫描电脑屏幕上的 QR 码（二维码），通过手机上的生物识别，即可在电脑上安全登录，期间绝不会有任何凭据泄露给这台公共电脑。

四、 理想很丰满，现实很骨感：激进转型的阵痛

尽管 Passkeys 在技术上近乎完美，但微软全面取消短信验证码、强推 Passkeys 的决定，依然在技术圈引发了不小的争议。

其核心问题在于极端边界情况（Edge Cases）下的技术脱节：

1. 虚拟机与嵌套环境的噩梦

对于开发者、系统管理员和测试人员（如 Windows Insider 成员）来说，他们需要频繁地在 Windows 11 中克隆、配置和管理虚拟机（VM）。 在这些隔离的虚拟化环境中，物理生物识别硬件（红外摄像头、指纹识别器）是默认不存在或无法透传的。当微软强制要求使用 Passkeys 登录微软账户（MSA），而虚拟机又无法调用 Windows Hello 硬件，且本地 PIN 码登录频繁报错时，整个登录流就会彻底崩溃。

2. 备用兜底手段的缺失

在过去，当所有先进技术手段失效时，“输入发到手机上的 6 位数短信”是最后的、绝对通用的降维救命稻草。而现在，微软将其一刀切地移除，取而代之的是强制要求用户绑定“验证器 App（Authenticator）”和“经认证的备用电子邮箱”。一旦用户同时失去这些手段，账户恢复的门槛将大幅提高。

五、 深入密码学：Passkeys 的未来挑战与技术实现建议

对于技术专家和开发者而言，Passkeys 并不是一劳永逸的魔法，它同样需要面对技术迭代。

1. 抗量子计算（Post-Quantum Cryptography）

目前的 Passkeys 广泛采用 Ed25519 或 ECDSA (ES256) 签名算法。它们在传统计算机面前牢不可破，但面对未来的“密码学相关量子计算机（CRQC）”，基于离散对数和椭圆曲线的算法将会失效。 好在 NIST（美国国家标准与技术研究院）已于 2024 年发布了抗量子数字签名标准（如 ML-DSA）。FIDO 联盟和 W3C 目前正在积极制定抗量子版的 WebAuthn 标准。未来，软件形态的 Passkeys 只需通过软件更新和密钥轮转（Rotation）即可平滑过渡，但老旧的硬件安全密钥可能需要面临物理更换。

2. 服务端彻底转型的建议

许多网站在推行 Passkeys 时犯了一个致命错误：让密码和 Passkeys 并存。只要数据库里还留着用户的传统密码，黑客就可以继续通过钓鱼或撞库来攻击该账户，这让 Passkeys 沦为了摆设。

Sylvain Kerkour 建议开发者采取更彻底的激进转型策略：

• 删除数据库中的传统密码字段。
• 当用户没有 Passkeys 却尝试登录时，通过邮箱发送一次性免密链接（Magic Link）。
• 用户登录成功后，立刻弹窗强烈引导用户注册并绑定一个本地的 Passkey。

在这些高度技术化、边缘化的场景中，要求短信验证码是最终且万无一失的备选方案。它就是这样运作了。

总结

微软在 Windows 11 中对短信验证码的“绝杀”，是一场为了全体网络社会利益而进行的硬着陆。虽然短时间内，它会给习惯了 6 位数验证码的普通用户以及依赖虚拟机的极客带来阵痛，但它指明了无法逆转的未来。

告别脆弱的明文短信，拥抱基于现代密码学的 Passkeys，这不仅是微软生态的一次升级，更是我们数字生活防线的一次关键进化。

参考文章1【Microsoft is killing SMS codes for Microsoft account sign-in, aggressively pushes passkeys on Windows 11】：https://www.windowslatest.com/2026/05/19/microsoft-is-killing-sms-codes-for-microsoft-account-sign-in-aggressively-pushes-passkeys-on-windows-11/

参考文章2【Passwords suck. Can passkeys replace them?】：https://kerkour.com/passkeys

来源文章【再见，短信验证码！微软强推 Passkey 背后的技术演进与安全革命】：https://news.zyhorg.cn/articles/microsoft-is-killing-sms-codes-for-microsoft-account-sign-in-aggressively-pushes-passkeys-on-windows-11