2026年9月1日起,你綁定了手機號的微軟企業賬號,登錄時的默認驗證方式就不是短信了——微軟正式把Entra ID的默認多因素認證切到passkey,短信和語音驗證碼從“主力”退居二線。
這個時間節點背后,是一組讓安全團隊坐不住的數據。微軟威脅情報部門監測到,利用AI生成的釣魚郵件,點擊率已經干到了54%。做個對比:傳統手工釣魚郵件的點擊率大概12%。不是釣魚變多了,是魚餌長得太像真的了。
![]()
微軟給出的路線圖分五步走,每一步都有明確的時間點。第一步,2026年9月1日當天,所有之前在用短信或語音驗證的用戶,會在下次登錄觸發MFA時自動進入passkey注冊流程。系統會推著你設置,但當天還不強制完成。
兩周后,9月18日是個商業動作——微軟通過自家的安全商店公布定價、商用條款和支持的電信運營商名單。這個動作意味著,如果有人必須堅持用短信,微軟會給你指條路,但這條路要另算錢了。
10月30日,管理員可以正式在后臺勾選第三方電信運營商,為那些確實繞不開短信的組織留了扇側門。真正斷供是在2027年2月1日——微軟自有的短信和語音驗證通道這天關閉。此后所有租戶的所有用戶,passkey注冊提示變成必選項,沒法再跳過。
這條Passkey路線不是突然冒出來的。往前推半年,2026年3月微軟已經給企業租戶默認開了passkey配置文件,5月又把系統首選認證的覆蓋范圍擴到了第一因素登錄全球生效。9月的這次切換,是把最后一批蹲在短信驗證上的用戶往passkey方向推。
理解passkey為什么被按頭推,得先看短信驗證的窟窿有多大。短信和語音驗證碼依賴“共享秘密”——你知道那六個數字,微軟也知道。AI加持的攻擊者一旦通過釣魚頁面騙到手,自動化程度已經不同往日。微軟說,現在拿到一個可釣魚的憑據后,攻擊者能用AI把網絡發現、提權、橫向移動這套流程跑得飛快。SIM卡掉包和社交工程竊取驗證碼,對AI來說更像批量作業。
Passkey的底層是公鑰密碼學,不是共享秘密。私鑰留在你設備上,服務器只存公鑰。釣魚頁面騙不到私鑰,這是結構性的防釣能力。微軟內部先拿自己開了刀,據稱已經干掉了傳統驗證方式,自家99.6%的用戶和設備都達到了防釣魚認證覆蓋率。
部署上,微軟給了兩套選擇。同步passkey存在平臺憑據管理器里——iCloud鑰匙串、Google密碼管理器都可以——適合跨設備用。設備綁定passkey則鎖在微軟Authenticator、Windows上的Entra通行密鑰或者FIDO2物理安全密鑰里,安全性更硬。組織自己根據場景選。
還有一個推動力來自監管。分析師指出,歐盟的NIS2合規要求正在把組織往無密碼認證方向推。有意思的是,passkey出來超過一年了,企業自發遷移的積極性并不高,最后還得靠合規這根鞭子。那些確實有合規或技術理由必須保留短信的組織,可以走10月30日開通的第三方運營商通道,但這部分的通信費要自己扛。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.