微軟砍掉短信驗證：安全升級還是逼你交更多數據？

微軟又動手了。這次不是砍什么功能，是直接把你用了十幾年的短信驗證碼給廢了。

說實話，剛看到這個消息的時候，我第一反應不是"哇安全升級"，而是"完了，我那些綁了微軟賬號的老游戲存檔怎么辦"。畢竟作為一個密碼能忘三次的人，短信驗證碼是我最后的救命稻草——現在連這根稻草都要被抽走了。

根據微軟的說法，SMS-based authentication is now a leading source of fraud。短信認證現在是欺詐的主要來源，所以他們要徹底轉向"無密碼未來"。登錄的時候收不到六位數字了，找回密碼的時候也別指望短信救場。微軟的原話是：by moving to passwordless accounts, passkeys, and verified email, we're helping you stay ahead of evolving threats。

聽起來很美好，但咱們拆開看看這盤棋到底怎么下。

第一，替代方案是什么？

Passkeys，也就是密鑰。可以是PIN碼，也可以是生物識別——指紋、面容識別這些。微軟的賣點很直白：faster, "phishing-resistant" way to log in，用的是設備本地的built-in authentication (like Face ID, fingerprint, or PIN)。

邏輯上確實說得通。短信驗證碼是明文傳輸，跑在移動網絡上，有心人要截獲不算太難。設備本地驗證砍掉了這條暴露的傳輸鏈，理論上更安全。

但問題是，這等于把你的身份驗證完全綁死在硬件上。手機丟了？面容識別壞了？PIN碼忘了？微軟給你準備的退路是verified email，也就是驗證過的郵箱。換句話說，以前短信+郵箱雙保險，現在只剩郵箱一根獨苗。

而且生物識別這事，說白了就是把你的臉、你的指紋，再打包一份交給科技巨頭。微軟當然會說數據存在本地、加密存儲，但Windows Recall的前車之鑒還熱乎著呢——安全研究人員早就曝光過，Windows Recall could be leveraged by bad actors to get around Microsoft's best security intentions。你設備上的安全措施再嚴密，也架不住系統本身被攻破。

第二，微軟為什么急著推這個？

這不是微軟第一次喊"無密碼"了。從Windows Hello到FIDO聯盟，這家公司至少在密碼替代方案上折騰了七八年。這次把短信驗證碼徹底砍掉，算是動真格的。

表面理由是安全。短信欺詐確實猖獗，SIM卡 swapping、運營商內鬼、偽基站，攻擊鏈路一長串。但更深層的算盤可能是生態綁定——Passkeys這玩意，蘋果推、谷歌推、微軟推，本質上都是讓你更深地扎進各自的硬件-軟件閉環。你的iPhone Face ID、你的Windows Hello、你的Pixel指紋，換平臺就換驗證方式，遷移成本陡增。

對普通用戶來說，這意味著什么？

· 安卓用戶想用微軟賬號，得確保谷歌的Passkey服務和微軟的能打通

· 蘋果用戶相對省心，但跨設備登錄的時候還是會別扭

· 沒有生物識別設備的老電腦、老手機，基本被宣判死刑

微軟沒說的是，No authentication measure is 100% secure。這話是原文里老老實實寫著的，但公關稿里不會放大。

第三，玩家群體受影響有多大？

這里得掰扯清楚。微軟賬號綁了多少東西？Xbox游戲庫、PC Game Pass、Minecraft、各種第一方游戲的存檔和成就。對國內玩家來說，可能還有Office 365、OneDrive這些生產力工具。

短信驗證一砍，幾類人會很難受：

· 多設備黨：手機平板PC來回切的人，Passkey的同步邏輯還沒短信那么無腦

· 海淘/外服玩家：本來收短信就折騰，現在連這條路都堵了

· 賬號買賣/共享的灰色地帶：雖然官方明令禁止，但二手賬號交易客觀存在，Passkey綁硬件之后這生意更難做

當然，微軟可能根本不在乎最后那類人。但前兩類正經付費用戶，體驗確實會打折。

有個細節值得玩味：原文提到some of my colleagues swear by them (the two Jacobs swear by BitWarden)，作者同事里有用BitWarden密碼管理器的。但緊接著就潑冷水——security researchers argue such services are vulnerable to 'a cornucopia of practical attacks'。密碼管理器也不安全，生物識別也不絕對安全，短信已經被判死刑，那普通人到底該信什么？

微軟給的答案是：信我。

第四，行業風向怎么看？

這不是微軟一家的事。蘋果在iOS 16就開始強推Passkey，谷歌安卓跟進，現在微軟Windows生態也徹底倒向。FIDO聯盟的標準化推進了這么多年，"無密碼"終于從概念變成強制措施。

對游戲行業的影響是連鎖的。Steam、Epic、PlayStation、Nintendo，這些平臺的賬號體系會不會跟進？理論上Passkey是跨平臺標準，但各家 implementation 的細節差異，足夠讓用戶頭疼。

更現實的問題是：國內玩家怎么辦？中國大陸的微軟服務本來就特殊，Outlook、OneDrive的訪問體驗一言難盡。Passkey依賴的系統級服務，在墻內能不能順暢跑起來，得打個大問號。如果微軟中國區的Passkey實現需要特殊適配，那"全球統一體驗"就是個笑話。

而且別忘了，生物識別數據在中國有額外的合規要求。《個人信息保護法》對人臉、指紋這些敏感信息的采集、存儲、跨境傳輸都有嚴格限制。微軟這套方案落地國內，要么閹割功能，要么本地化處理，要么干脆延遲上線。玩家能做的只有等。

第五，普通用戶現在該做什么？

原文沒給操作指南，但基于已有信息，可以理幾條務實的：

· 檢查你的微軟賬號恢復選項，確保備用郵箱是活的、能收郵件的

· 如果還在用短信驗證，趁徹底下線之前，把Passkey設好

· 多設備用戶測試一下跨設備登錄的流程，別等急用的時候抓瞎

· 考慮硬件安全密鑰（YubiKey之類）作為終極備份，雖然這又要花錢

說到底，微軟這次改動是phasing out，逐步淘汰，不是明天就關燈。但方向很明確：短信驗證碼的棺材板已經釘上了，只是還沒埋。

最后說句個人感受。作為一個"菜但癮大"的玩家，我對賬號安全的容忍度其實挺高的——別讓我丟存檔，別讓我氪的金打水漂，別的都好說。但微軟這套組合拳打下來，總有種被推著往前走的感覺。安全是更安全了，但方便的選項越來越少，數據交得越來越多，設備換起來越來越麻煩。

可能這就是"無密碼未來"的真相：不是沒有密碼了，是把密碼換成了更難更換、更難遺忘、也更難控制的東西。你的臉，你的指紋，你的設備，成了新時代的密碼。而這套密碼，寫在硬件里，寫在生態閉環里，寫在你和科技巨頭的綁定關系里。

微軟說這是simpler and more seamless。簡不簡單另說，無縫是真的——無縫地把你縫進他們的生態，想拆都費勁。