微軟正加速將傳統密碼退場,企業身份管理會由「記住密碼」轉向「無法被釣魚的登入方式」。2026 年 5 月世界通行密鑰日前後,微軟與 FIDO Alliance 先後公佈產品更新及採用數據,英國 NCSC 亦在 4 月下旬將通行密鑰列為優先登入方式。事件涉及 Microsoft Entra ID、Windows Hello、Edge、Microsoft 帳戶及企業 SSPR 復原流程。全球已有 50 億個通行密鑰投入使用。
登入方式轉變 CEO 要將密碼視為營運風險
cnBeta 原文指出,微軟呼籲用戶全面轉用通行密鑰,並將無密碼登入擴展至消費和企業服務。微軟官方資料顯示,OneDrive、Xbox、Copilot 等服務已有數以億計用戶每日使用通行密鑰;同時,微軟內部已淘汰較弱的驗證方式,抗釣魚身份驗證覆蓋 99.6% 用戶及裝置。更重要是,微軟宣佈自 2027 年 1 月起,Microsoft Entra ID 會移除安全問題作為密碼重設選項;Microsoft Learn 技術文件列明,SSPR 安全問題將於 2027 年 3 月退役。兩個日期反映公告與執行文件的不同層次,企業應以租戶通知、Microsoft Learn 及內部測試為準,避免員工在帳戶復原時被鎖定。
忘記密碼不只是小麻煩 而是收入與客服成本
FIDO Alliance 行政總裁 Andrew Shikiar 指,通行密鑰進入主流,是因為它同時提升安全與體驗。該聯盟 2026 年研究涵蓋 10 個國家的 11,000 名消費者,以及 1,400 名參與員工登入決策的企業決策人,所有企業樣本均來自 500 人以上機構。研究顯示,75% 消費者已在至少一個帳戶啟用通行密鑰,68% 機構已部署、試行或正在推出員工通行密鑰。密碼仍然造成商業損失,47% 消費者表示,忘記密碼時可能放棄購買或登入。換言之,通行密鑰不只是 IT 安全工具,也影響成交率、員工登入效率、服務台工單量及品牌信任。
香港企業要先堵住 AI 釣魚與弱復原入口
微軟在官方網誌指出,AI 驅動釣魚活動的點擊率最高可達 54%,而通行密鑰只在原本建立的網站或應用程式生效,較難被假登入頁盜用。英國 NCSC 國家韌性總監 Jonathon Ellison 亦表示,當服務支援通行密鑰時,用戶應優先採用,因為它能帶來更簡單及更具韌性的登入體驗。香港風險同樣迫切,HKCERT 在 2026 年 1 月公佈,2025 年本港錄得 15,877 宗網安事故,按年升 27%,其中網絡釣魚佔 57%。生產力局首席數碼總監黎少斌亦提醒,AI 可令攻擊更隱蔽及更大規模。這條因果鏈很清楚:AI 令假訊息更真實,員工更容易輸入密碼,攻擊者再利用復原流程擴大權限,所以企業要同時升級登入與帳戶復原。
通行密鑰不是單一功能 而是身份架構重建
通行密鑰的普及並非一日完成。FIDO2、WebAuthn、Windows Hello、Microsoft Entra ID、第三方密碼管理器及零信任架構,正將登入從「共享秘密」改造成「裝置持有加本人生物識別或 PIN」。時間線上,微軟在 2025 年已將新 Microsoft 帳戶預設為無密碼;NCSC 在 2026 年 4 月 23 日建議用戶在可用時優先採用通行密鑰;微軟再於 2026 年 5 月 7 日宣佈 Entra passkeys on Windows 及 Entra External ID 通行密鑰會在 5 月底正式可用。記者以案頭採訪方式核對 cnBeta 原文、微軟公告、FIDO 報告、NCSC 建議、HKCERT 香港數據與 Microsoft Learn 文件,重點確認採用率、退役日期和企業影響,未有將單一廠商說法直接當成結論。
通行密鑰意味着企業要重新設計身份治理,而不只是要求員工定期更換密碼。未來一年,金融、零售、醫療、教育及 SaaS 企業會更重視抗釣魚 MFA、SSPR、帳戶復原、裝置管理與供應鏈身份風險。真正問題是:當密碼退場後,企業是否已準備好處理裝置遺失、跨平台同步、員工培訓與舊系統整合?
資料來源:Microsoft Security Blog、FIDO Alliance、UK National Cyber Security Centre、HKCERT、Microsoft Learn
