微软于2026年5月19日正式宣布，将全面终止短信验证码在个人账户登录验证中的使用。根据其最新发布的技术支持文档，短信验证方式正被逐步移出双因素身份验证及账户恢复流程。

今后，所有个人账户用户须启用无密码登录机制，包括通行密钥、身份验证器应用程序以及经验证的备用电子邮箱地址。微软明确指出，基于短信的身份验证已日益成为网络欺诈活动的关键突破口。该技术诞生于早期通信环境，未针对现代安全需求设计；其验证信息以明文形式经由安全性薄弱的蜂窝网络传输，存在被截获的显著风险。此外，SIM卡劫持攻击屡见不鲜——攻击者通过欺骗电信运营商，将用户手机号迁移至其控制的设备，从而直接接收全部短信验证码，实现账户接管。

作为核心替代方案，微软正加速部署通行密钥体系。该机制依托终端设备内置的生物识别模块，用户登录时需通过Windows Hello面部识别、指纹识别或本地设备PIN码完成身份确认。系统随即生成加密密钥对，其中私钥严格存储于笔记本电脑的TPM安全芯片等物理硬件内，永不离开设备，从根本上抵御远程钓鱼与中间人攻击。

通行密钥亦支持跨设备加密同步，可借助Apple iCloud钥匙串或Google密码管理器等可信服务，在用户多台已授权设备间安全流转。即使手机遗失，用户仍可通过已验证的备用邮箱及同步后的通行密钥完成账户恢复。

需要说明的是，在极少数高度专业化场景中，部分用户可能面临临时性登录限制。例如，在Windows Insider项目中启动、配置或管理虚拟机等隔离式嵌套计算环境时，由于虚拟机无法调用主机的生物识别能力，亦无法访问硬件级安全密钥，通行密钥与本地PIN码可能出现验证失败提示。在此类特定技术情境下，短信验证码将作为最终兜底手段予以保留。

微软即将向全体个人账户用户推送引导界面，要求用户完成通行密钥的初始设置，并确认备用电子邮箱的有效性。