微软：传统密码逐渐不再安全，建议用户、企业转向通行密钥

5 月 8 日消息，每年 5 月第一个星期四（注：今年为 5 月 7 日），是世界密码日。微软当天发布安全博文，强调在 AI 等高级攻击手段不断发展的背景下，用户和企业应该从传统密码转向通行密钥。

微软表示，通行密钥的重要性正在上升。传统密码仍是网络安全中最薄弱的环节之一。面对凭据泄露和钓鱼攻击，微软建议用户放弃传统密码，改用通行密钥。

微软本身也是通行密钥的主要推动者。今年早些时候，微软宣布新 Microsoft 账户默认进入无密码模式，用户可以通过通行密钥、生物识别或安全密钥登录，不再依赖传统密码，现有用户也可以手动删除账户密码。

Windows 11 也加强了通行密钥集成，能够调用 1Password、Bitwarden 等第三方密码管理器中保存的通行密钥。微软还将支持用户通过 Edge 浏览器，把 Microsoft Password Manager 中的通行密钥同步到 iOS 和 Android。

据了解，通行密钥依赖指纹、面部识别或 PIN 等设备端验证，优势在于更简单、更安全。与传统密码不同，通行密钥可以抵御钓鱼攻击，也不容易被虚假登录页面窃取。

微软并不是唯一推动无密码登录的公司。过去一年，包括 FIDO 联盟成员在内的科技行业都在推动通行密钥普及。FIDO 联盟估计，目前全球已有 50 亿个通行密钥投入使用。

微软也表示，已经有“数亿用户”在 OneDrive、Xbox 和其他微软消费者服务中使用通行密钥。微软内部也已经切换到通行密钥。微软内部已经淘汰较弱的身份验证方式，并推出抗钓鱼身份验证，覆盖环境中 99.6% 的用户和设备。大幅简化登录流程：不需要输入验证码，不需要处理额外提示，所有人都能获得直接明了的体验。

微软还希望防止恶意攻击者通过钓鱼方式获取账户恢复信息。从 2027 年 1 月开始，安全问题将不再可用于重置 Microsoft Entra ID 密码。