5月11日世界密码日之际,微软在其官方博客发布了一项重要声明,预示着依赖传统密码进行身份验证的时代可能即将落幕。这家科技巨头明确指出,面对日益复杂的网络威胁环境,特别是由人工智能驱动的钓鱼攻击和凭证泄露事件层出不穷,传统密码已成为当前在线安全体系中最薄弱的环节。
为此,微软正全力推动用户转向更为安全可靠的“通行密钥”(Passkey)认证方式。事实上,微软自身已成为这一安全变革的先行者。今年初,公司已宣布所有新注册的微软账户将默认采用无密码登录方案。用户可以直接通过通行密钥、生物识别技术(如Windows Hello面部识别或指纹)或物理安全密钥来访问自己的账户。对于现有的数亿用户,微软也提供了手动移除账户密码的选项,积极引导大家升级至更先进的认证方式。
技术生态的深度整合是推广通行密钥的关键。Windows 11操作系统已显著增强了对通行密钥的原生支持。目前,系统能够无缝调用并管理存储在1Password、Bitwarden等主流第三方密码管理器中的通行密钥。此外,通过微软Edge浏览器,用户还能轻松地将通行密钥安全同步至自己的iOS或Android移动设备,真正实现了跨Windows、iOS和Android平台的便捷与安全登录体验。
那么,通行密钥相比传统密码究竟有何优势?其核心安全特性在于“设备端验证”。与需要用户记忆、手动输入并在网络中传输的传统密码不同,通行密钥的验证过程(例如通过指纹、面部识别或设备PIN码)完全发生在用户自己的设备本地。这种机制使其天生具备对钓鱼攻击的免疫力——即使攻击者伪造出外观一模一样的虚假登录页面,也无法窃取到任何有效的验证凭据。
市场对通行密钥的接受度正在迅速提升。根据FIDO联盟的估算,全球范围内已投入使用的通行密钥数量已突破50亿大关。微软方面也分享数据称,其消费级服务,如OneDrive云存储、Xbox游戏平台等,已有“数亿活跃用户”成功切换至这种新的无密码登录方式。更值得关注的是,微软内部IT环境几乎已完成全面迁移,数据显示,高达99.6%的员工账户和设备已经启用了能有效防范网络钓鱼的现代认证方式。
除了大力推广通行密钥,微软也在同步收紧其他可能存在的安全漏洞。公司正式宣布,自2027年1月开始,将不再允许用户通过设置“安全问题”来重置Microsoft Entra ID(原Azure Active Directory)的密码。这一政策调整旨在从根本上防范攻击者通过社会工程学或钓鱼手段,轻易获取并利用账户恢复信息进行未授权访问。
