A Microsoft confirmou nesta terça-feira (19) que vai descontinuar o envio de códigos por SMS como método de autenticação e recuperação para contas pessoais. A mudança foi detalhada em um documento de suporte publicado pela empresa e inicia a transição para alternativas sem senha, como passkeys, aplicativos autenticadores e endereços de e-mail secundários verificados.
- Microsoft admite que Windows 11 "faz mal" para a bateria de notebooks
- Microsoft derruba esquema que transformava malware em software “confiável”
A empresa não divulgou uma data específica para o encerramento, apenas indicou que a mudança ocorrerá "em breve".
A justificativa oficial está em um aviso de segurança publicado pela própria Microsoft, que afirma que "a autenticação baseada em SMS é hoje uma das principais fontes de fraude".
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
A vulnerabilidade mais comum é o “SIM swap”, ataque em que criminosos convencem a operadora de telefonia a transferir o número da vítima para um chip sob controle deles, obtendo acesso a todos os códigos enviados por mensagem.
O SMS nunca foi projetado com segurança cibernética em mente. As mensagens trafegam em texto simples pelas redes celulares, o que facilita a interceptação por diferentes vetores de ataque.
Como as passkeys funcionam
As passkeys funcionam com um par de chaves criptográficas. Uma fica armazenada no dispositivo do usuário, protegida por biometria como reconhecimento facial, leitura de impressões digitais ou um PIN local. A outra fica com o serviço ou plataforma onde a conta foi criada. As duas são necessárias para o login ser concluído.
A chave privada nunca sai do hardware do dispositivo, o que torna ataques de phishing remoto inviáveis. Dependendo da configuração, as passkeys podem ser vinculadas a um único aparelho ou sincronizadas entre dispositivos via serviços como o iCloud Keychain, da Apple, ou o Google Password Manager.
Segundo o Windows Latest, que primeiro identificou o documento e obteve confirmação direta da Microsoft, a empresa começará a exibir para todos os usuários de contas pessoais uma tela solicitando a configuração de uma passkey e de um e-mail de recuperação verificado.
Casos em que a mudança complica o acesso
Em máquinas virtuais, por exemplo, o hardware biométrico não está disponível, e tentativas de autenticação via PIN tendem a retornar erros. Para esses cenários, o SMS era a alternativa de segurança mais simples e confiável.
Até o momento, a Microsoft não informou como tratará esses casos após o encerramento do SMS.
A iniciativa segue uma tendência já em andamento internamente: há cerca de um ano, a Microsoft passou a exigir passkeys no cadastro de novas contas pessoais.
Leia a matéria no Canaltech.