每年5月第一个星期四是"世界密码日",今年微软选在这一天放了个大招:新注册的Microsoft账户将直接进入无密码模式。这意味着用户再也看不到那个熟悉的密码输入框——取而代之的是通行密钥、指纹或面部识别。
微软的安全团队算了一笔账。传统密码仍是网络防护中最薄弱的环节,钓鱼攻击和凭据泄露事件层出不穷。而通行密钥的运作逻辑完全不同:它把验证过程锁死在设备端,攻击者就算伪造登录页面也偷不走任何东西。FIDO联盟的数据显示,全球已有50亿个通行密钥投入使用,微软内部更是覆盖了99.6%的用户和设备。
Windows 11正在打通生态壁垒。系统现在能直接调用1Password、Bitwarden等第三方工具里的通行密钥,Edge浏览器也支持把Microsoft Password Manager的密钥同步到iOS和Android。对普通用户来说,这是"一套密钥走天下";对企业IT部门来说,这意味着不用再教员工分辨真假登录页。
微软自己也在"吃狗粮"。公司内部已经淘汰了较弱的身份验证方式,员工登录时不用输验证码、不用处理额外提示。更狠的一招在2027年:Microsoft Entra ID将彻底禁用安全问题重置密码——这个被社会工程学攻击滥用了二十年的功能,终于要进历史博物馆了。
现有用户还没被强制迁移,但微软留了后门:可以手动删除账户密码。从"建议你用"到"默认不用",再到"彻底不用",这条路线图画得很清楚。科技行业的共识也在形成——过去一年,FIDO联盟成员集体押注通行密钥,无密码登录从边缘实验变成了主流基础设施。
一个细节值得玩味:微软说的是"更简单、更安全",而不是"绝对安全"。通行密钥确实能挡住钓鱼,但设备丢失、生物特征数据库泄露仍是潜在风险。不过对绝大多数人来说,从"123456"和重复使用密码的泥潭里爬出来,已经是巨大的安全跃迁。密码时代正在落幕,只是退场速度比预期更快。
