你刚收到的短信验证码，真的能保住你的账号吗？答案越来越不乐观。微软近日在支持页宣布，将逐步淘汰短信（SMS）作为个人微软账号的身份验证与找回方式，改用通行密钥与已验证邮箱来提升安全性与便捷性。该措施影响数亿账户，用户需在近期完成验证方式迁移。

发生了什么：微软停止短信验证。为什么要改：短信传输不加密，易被拦截或通过SIM 换卡（SIM swap）等手段被滥用，成为账号接管的主要来源之一。如何替代：使用通行密钥（passkey，免密码密钥）和已验证邮箱，并可配合密码管理器或物理安全密钥实现跨设备使用。

短信为什么不可靠：短信在传输链路缺乏端到端加密，存在信令系统漏洞、运营商内外部欺诈与钓鱼引导回复等风险。黑客常用的手法包括偷换SIM卡和利用运营商流程劫持手机号，导致即便你绑定了手机号，也可能被人接管。

通行密钥是什么：通行密钥基于公钥加密，设备本地生成私钥并受保护，私钥不走网络；登录时用指纹、人脸或PIN解锁私钥，向服务端证明拥有权即可。通行密钥绑定网站域名，难以被中间人或钓鱼站点伪造。其底层标准包括FIDO与WebAuthn，多个平台已开始支持。

现实问题与解决方案：通行密钥通常与设备绑定，跨设备使用是痛点。解决办法包括：使用支持通行密钥同步的密码管理器（微软密码管理器、谷歌密码管理器、苹果密码管理器、1Password、Bitwarden、Dashlane、NordPass等）；将密钥存到物理安全密钥；在手机上保存并用扫码或蓝牙在电脑登录；Windows Hello（Windows 生物识别登录）也支持通行密钥。

微软用户三步上手（立即可做）：1）确认并添加已验证邮箱，确保账号找回通道；2）在常用设备上根据微软提示设置通行密钥（Edge/Windows Hello或手机浏览器）；3）为重要账号准备备份方案：启用密码管理器云同步或购买物理安全密钥，并记录恢复方法。

常见问答：丢失设备怎么办？使用已验证邮箱、备用设备或物理安全密钥恢复；通行密钥会不会更难用？短期需适应，但长期更便捷；企业或学校账号？组织可按自身节奏部署，个人账号优先；能否被钓鱼或破解？通行密钥抗钓鱼能力强，但设备被攻破仍有风险。

给普通用户的五条建议：立即验证邮箱；尽快在常用设备上设置通行密钥；使用支持通行密钥的密码管理器并开启云同步；为手机号启用运营商的SIM保护；备一把物理安全密钥并妥善保管。

影响与判断：微软此举加速无密码生态落地，有助于减少因短信而起的大规模账号劫持风险。对普通用户而言，短期需要迁移与学习，长期将获得更安全、更顺手的登录体验。若你仍在依赖短信验证码，现在就该开始准备迁移路线。