2026年5月19日消息，微软确认，继企业用户之后，个人用户 Microsoft 账户的短信验证码也将被逐步淘汰。

微软表示：短信验证码已成为网络诈骗的主要方式之一。

短信 SMS 验证码为何不再安全

短信验证（SMS one-time passcode，OTP）曾是两步验证的主流选项，但其设计之初并未考虑现代网络安全环境。短信以明文形式在脆弱的基础通信网络中传输，容易被拦截。

除此之外，还有日益严重的 SIM 卡交换攻击（SIM swap attack），攻击者可通过多种方式欺骗移动运营商，从而截获所有发送至该号码的短信验证码。

微软技术社区高级项目经理 Jonathan Edwards 指出，“通过短信发送的一次性验证码容易受到拦截、SIM 卡交换和路由缺陷的攻击，这些攻击路径在实际场景中依然频繁得逞。”

英国 Cifas 报告显示，仅在过去一年内，SIM 卡交换攻击增长了 38%，而此类攻击的主要原因正是普通用户对短信验证的广泛依赖。