啟用雙重認證(2FA)向來被視為保護帳號安全的基本手段,但不同驗證方式之間的安全性差異其實相當巨大。過去 10 年,簡訊驗證碼一直是最普及、也最容易理解的 2FA 方法:當你登入帳號時,系統會傳送一組一次性密碼到你的手機,輸入後即可完成驗證,這種方式曾經被視為「安全性高」,但隨著攻擊手法不斷演進,它的弱點也逐漸暴露。
微軟正在取消簡訊雙重認證,提高安全性並減少詐騙
如今,簡訊 2FA 已不再是安全堡壘,反而成為駭客最常利用的攻擊入口之一。SIM 卡交換(SIM swapping)、簡訊攔截、社交工程詐騙等手法層出不窮,只要攻擊者能取得你的手機號碼或成功欺騙電信業者,就能輕易奪取你的帳號,也因此,微軟正式宣布將逐步淘汰簡訊雙重認證,未來將全面改採電子郵件與密碼金鑰等更安全的方式。
根據 Windows Latest 的報導,微軟近期發布了一份題為「微軟將停止向個人帳戶發送簡訊驗證碼」的官方文件,詳細說明公司未來的 2FA 策略調整。微軟坦言,簡訊驗證碼已經無法應對現代威脅,而公司希望推動的方向,是更安全、也更符合未來趨勢的「無密碼」驗證模式。文件中寫道,微軟認為未來的身份驗證應該具備三項特質:無密碼、安全、且使用者友好。簡訊驗證碼如今已成為詐騙的主要來源之一,因此微軟選擇將重心轉向通行金鑰(passkeys)、已驗證的電子郵件,以及其他不依賴簡訊的方式。這些方法不僅能降低攻擊風險,也能讓登入流程更順暢。
事實上,微軟推動「無密碼化」並非空穴來風。新註冊的 Microsoft 帳戶已預設不需要傳統密碼,而是以電子郵件驗證與通行金鑰作為主要登入方式。通行金鑰是一種基於公開金鑰加密技術的驗證方法,登入時會在你的裝置與伺服器之間進行一段不可見的「秘密握手」,不需要輸入任何密碼,也不會產生可被釣魚的字串。換句話說,即使駭客想偷,也沒有密碼可偷。
微軟建議所有使用者儘早建立自己的密碼金鑰,這種方式不僅能有效抵禦釣魚攻擊,也能避免簡訊被攔截或 SIM 卡遭冒用的風險。對一般使用者而言,設定通行金鑰的流程相當簡單,只需使用支援的裝置(如手機、生物辨識或安全金鑰)即可完成。
微軟的這項政策調整,反映了整個科技產業的共同趨勢:密碼正在逐漸退出舞台,而更安全的無密碼技術正成為主流。Google、Apple、Meta 等大型科技公司也都在推動通行金鑰標準,試圖打造一個更安全、也更不依賴記憶密碼的網路環境。對使用者而言,這項變革意味著兩件事:第一,簡訊驗證碼將不再是可靠的安全工具;第二,未來的帳號保護將更仰賴裝置本身的安全性與生物辨識技術。雖然這需要一段適應期,但從安全角度來看,這確實是必要的進化。