Microsoft vai abandonar SMS para autenticação

Fazendo aquilo que os especialistas de segurança recomendam há muito, a Microsoft vai deixar de usar os SMS como forma de autenticação.

A Microsoft confirmou que vai eliminar gradualmente os códigos SMS como método de autenticação e recuperação para contas pessoais Microsoft. A mudança faz parte da aposta da empresa no uso de passkeys e sistemas passwordless no Windows 11 e restantes serviços do ecossistema.

Segundo a empresa, os códigos enviados por SMS tornaram-se um dos principais alvos de fraude online, especialmente através de ataques SIM swap, onde criminosos conseguem transferir o número de telefone da vítima para outro cartão SIM e receber todos os códigos de autenticação. Por esse motivo, a Microsoft considera que o futuro passa por métodos mais seguros como passkeys, códigos de autenticação temporários, e emails secundários verificados.

As passkeys utilizam autenticação biométrica através do Windows Hello, impressões digitais ou PIN local do dispositivo. Em vez de depender de passwords ou códigos temporários, o sistema cria chaves criptográficas protegidas pelo próprio hardware do computador ou smartphone, dificultando os ataques de phishing e resistindo ao vector de roubo de passwords. Vão também tendo gestão facilitada a nível de transferência para novos dispositivos.

Apesar das vantagens de segurança, a decisão poderá causar problemas para utilizadores avançados e ambientes mais técnicos. Máquinas virtuais, sistemas sem biometria ou configurações específicas podem complicar o uso de passkeys, o que fazem com que, apesar de desaconselhados, os códigos SMS continuem a ser uma solução prática. Ainda assim, a Microsoft está determinada em acelerar a transição para a era "pós-passwords", e com isso, pode ser que outras empresas sigam o exemplo.