引子:两则脑洞大开的安全事件
在信息安全的世界里,想象力往往比技术更能点燃警惕的火花。下面的两则“假设案例”,虽然是基于真实趋势编撰,却足以让每一位职场人感受到潜在威胁的严峻与防御的必要。

案例一:“SMS 逆袭”——新型短信社工导致企业核心系统被渗透
2024 年底,一家国内大型金融企业在例行的多因素认证(MFA)中仍使用短信一次性密码(OTP)。某天晚上,公司的 IT 运营中心收到一条来自安全审计系统的警报:“异常登录尝试”。这位登录者使用了该企业财务系统的管理员账号,成功通过了短信 OTP 验证后立即发起了大额转账指令。
事后调查显示,攻击者先通过公开的社交媒体信息锁定了该管理员的个人资料,随后在一次伪装成银行客服的电话中骗取了管理员的手机 SIM 卡激活码(SIM Swap)。激活后,攻击者立即获取了该管理员的短信验证码,完成了登录。更令人惊讶的是,这位管理员在收到系统异常提示时,因为长期习惯“短信就是验证码”,直接使用了同一条验证码完成了审批流程,导致金额超过 1 亿元的资金被划走。
教训:短信 OTP 并非“金刚钻”,它容易成为社交工程和 SIM 卡劫持的突破口;一旦攻击者掌握了用户的手机,任何依赖短信的安全防线瞬间崩塌。
案例二:“通行金钥失控”——错误配置导致企业“一键泄密”
2025 年春,一家跨国制造业公司在实施 Microsoft Entra ID 的 Passkey(通行金钥)后,给员工配发了基于 FIDO2 标准的硬件安全密钥。公司 IT 团队为了提升部署效率,竟在内部自建了一套 Passkey 注册平台,试图批量导入密钥凭证。
该平台在设计时忽视了密钥的唯一性校验,并将密钥的公钥信息以明文形式写入了公司内部的共享文件系统。结果,内部一名新入职的研发工程师误操作,将整批公钥文件上传至公开的 GitHub 代码仓库。虽然是公钥,理论上不可直接用于登录,但攻击者抓取后利用了一个已知的 FIDO2 实现漏洞,对这些公钥进行“模仿攻击”,成功伪造了登录凭证,侵入了公司的研发管理系统,窃取了未公开的产品原型设计文档。
教训:Passkey 本身极为安全,但如果在管理、注册、存储环节出现失误,仍可能把“金钥”变成“金钥池”,造成大面积泄密。
一、密码、短信、通行金钥:从弱到强的演进逻辑
- 传统密码:凭记忆靠“脑子”,易受撞库、暴力破解、钓鱼等攻击。
- 短信 OTP:在密码之后加入二次验证,理论上提升安全性,却因为 SIM 卡劫持、短信拦截、运营商内部泄露等因素,导致安全属性大打折扣。
- 通行金钥(Passkey):基于 FIDO2、 WebAuthn 标准,使用非对称加密,凭证存储在设备安全区或硬件安全模块(HSM)中,根本不存在“口令”可被窃取,也不需要短信渠道的支持。
2024 年 7 月 13 日,微软正式宣布:自 2026 年 9 月 1 日起,Microsoft Entra ID 将把 Passkey 设为默认的 MFA 方式;2027 年 2 月 1 日起,微软将停止自行发送短信与语音验证码。届时,如果企业仍想使用短信/语音 OTP,必须通过 第三方电信运营商 购买服务。这一时间表,不仅是技术迭代,更是一次 安全治理的分水岭。
二、数智化时代的安全挑战与机遇
1. 数据化——信息资产的指数级增长
在 大数据、云计算 之下,组织的业务数据、用户行为日志、机器学习模型与业务决策全部搬进了云端。每一次数据流转,都可能成为攻击者的潜在入口。凭证泄露(无论是密码、短信 OTP 还是 Passkey)将直接导致对这些关键资产的非法访问。
2. 具身智能化——设备与人机融合
随着 物联网(IoT)、可穿戴设备、AR/VR 的普及,用户的身份验证已经不再局限于键盘或手机。智能眼镜、智能手表甚至车载系统,都可以成为 Passkey 的载体。若企业仍依赖传统的短信 OTP,难以应对这些新型交互方式的安全需求。
3. 数智化—— AI 与自动化的双刃剑
生成式 AI 可以帮助安全团队自动化漏洞扫描、威胁情报分析,但同样,黑客也能利用 AI 自动生成钓鱼邮件、密码破解脚本。身份验证 成为 AI 对抗的第一道防线:Passkey 天然具备防钓鱼特性,因为验证过程在本地设备完成,服务器端不接受伪造的凭证。
三、从“安全技术”到“安全意识”:全员参与的必由之路
技术是防御的“硬骨头”,而 安全意识 则是防御的“软组织”。以下四大维度,帮助每一位职工在数智化浪潮中保持警觉、提升防护能力。
(1)认知层——了解威胁,辨别风险
- 常见攻击手法速记:钓鱼邮件、SIM Swap、社交工程、Passkey 模仿攻击。
- 案例回顾:每月一次的内部安全简报,围绕真实案例(如上文两则)进行深度剖析,让“案例思维”渗透到日常工作。
- 安全格言:“未雨绸缪,方能防患于未然”。 用古语警醒:“防微杜渐,防止于未萌”。
(2)技能层——掌握工具,熟悉流程
- Passkey 注册与使用:每位员工在公司设备上完成一次 Passkey 配置,熟悉指纹/面容解锁、硬件密钥插拔的全过程。
- 多因素验证(MFA)切换:从短信 OTP 切换到 Passkey 的具体操作指南(包括第三方电信服务的申请与配置)。
- 应急演练:通过 Red/Blue Team 对抗演练,模拟账号被盗、凭证失效等情境,培养快速响应能力。
(3)行为层——养成习惯,形成闭环
- “密码不写纸”:所有密码必须通过密码管理器生成、保存,严禁纸笔记录。
- “短信不信任”:一旦收到异常验证码请求,立即通过官方渠道(如安全门户)核实,而非盲目输入。

- “金钥不外泄”:严禁将硬件安全密钥的图片、序列号或公钥文件上传至公共平台,任何 “共享” 行为都可能导致“金钥失控”。
(4) 文化层——打造安全氛围,激励自觉
- 安全之星:每季度评选“安全先锋”,对在安全防护、培训推广、风险报告方面表现突出的个人或团队进行表彰和奖励。
- 安全知识闯关:利用公司内部的学习平台,设计关卡式的安全微课程(如“Passkey 入门”“防钓鱼大作战”),完成后可获得积分兑换小礼品。
- 安全座右铭:“安全是最好的竞争力”。 用一句简短有力的话语,让安全成为企业成长的隐形推手。
四、行动指南:加入即将开启的安全意识培训
为了帮助全体员工顺利完成 “密码 → 短信 OTP → Passkey” 的安全升级,公司将于 2026 年 10 月 15 日 正式启动 《全员信息安全意识培训(数智化篇)》,培训分为以下三个模块:
| 模块 | 内容概述 | 时长 | 形式 |
|---|---|---|---|
| 1. 威胁洞察 | 解析最新的社交工程、SIM Swap、Passkey 模仿攻击案例 | 1.5 小时 | 线上直播 + 现场互动 |
| 2. 技术实操 | Passkey 注册、硬件密钥使用、第三方电信服务配置 | 2 小时 | 实体实验室 + 虚拟仿真 |
| 3. 应急响应 | 案例演练、日志分析、快速恢复流程 | 1 小时 | 案例研讨 + 桌面演练 |
报名方式:登录公司内部安全门户 → “培训报名” → 选择时间 → 完成确认。注意:所有参加人员在完成培训后,须在 30 天内完成 Passkey 的实际部署,否则默认继续使用短信 OTP,将在 2027 年 2 月 1 日后受到系统限制。
一句话总结:安全不只是 IT 部门的事,更是每一位同事的“日常任务”。只有当 技术、流程、文化 三位一体,企业才能在数智化浪潮中稳坐钓鱼台。
五、结语:以“通行金钥”为钥,开启安全新纪元
2026 年 9 月的技术切换,是一次 “密码时代的谢幕”。 正如《诗经·小雅》所云:“哀哀父母,生我勿忘。” 同理,企业的安全防线也需要不忘初心,持续进化。Passkey 不仅是技术的升级,更是 “防患未然,止于至善” 的安全哲学。
让我们共同努力:
- 认清风险,深刻反思:从案例中见微知著。
- 掌握技能,主动实践:用 Passkey 替代短信 OTP,用硬件密钥守护身份。
- 养成习惯,形成闭环:让安全意识渗透到每一次登录、每一次审批。
- 营造文化,激励自觉:让安全成为组织的共同价值观。
只有每个人都把 “安全意识” 当作 “业务能力” 的一部分,才能在数字化、智能化、数智化的全新生态中,真正实现 “以人为本、以技为盾、以智为剑” 的全面防护。
最后的号召:“请立即报名参加安全意识培训,让 Passkey 成为您工作中的第一道防线!”

随着数字化时代的到来,信息安全日益成为各行业关注的焦点。昆明亭长朗然科技有限公司通过定制培训和最新技术手段,帮助客户提升对网络威胁的应对能力。我们欢迎所有对信息安全感兴趣的企业联系我们。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898