Microsoft stapt officieel weg van SMS-gebaseerde authenticatie voor persoonlijke accounts, nu het bedrijf gebruikers aanspoort naar toegangssleutels, authenticator-apps en wachtwoordloze aanmeldmethoden.
In een recent bijgewerkte ondersteuningsadviezing bevestigde Microsoft dat het geleidelijk zal stoppen met het gebruik van SMS-codes voor accountauthenticatie en herstel op persoonlijke Microsoft-accounts. Het bedrijf verklaarde dat “SMS-gebaseerde authenticatie nu een toonaangevende bron van fraude is,” en verwees naar de groeiende risico’s die verband houden met phishingaanvallen, SIM-swapping en mobiele accountovernames.
De wijziging beïnvloedt Microsoft-consumentenaccounts die worden gebruikt in diensten zoals Outlook, OneDrive, Xbox en Windows. Gebruikers die momenteel vertrouwen op verificatiecodes voor tweefactorauthenticatie via sms-berichten zullen steeds vaker worden aangemoedigd om over te schakelen op toegangssleutels, geverifieerde methoden voor e-mailherstel of de Microsoft Authenticator-app.
Microsoft heeft nog geen definitieve deadline aangekondigd om de ondersteuning voor SMS-verificatie volledig te verwijderen. Uit rapporten blijkt echter dat het bedrijf al is begonnen met het beperken van de sms-inlogopties voor nieuw aangemaakte persoonlijke accounts, terwijl het actief wachtwoordloze alternatieven promoot via Windows 11 en Microsoft-accountinlogprompts.
Het bedrijf beschreef passkeys als een veiligere authenticatiemethode omdat ze vertrouwen op cryptografische credentials die direct op gebruikersapparaten zijn opgeslagen, in plaats van eenmalige codes die via mobiele netwerken worden verzonden. Passkeys gebruiken doorgaans apparaatgebaseerde authenticatiesystemen zoals vingerafdrukken, gezichtsherkenning of PIN-verificatie.
Beveiligingsonderzoekers waarschuwen al lang dat SMS-authenticatie aanzienlijke risico’s met zich meebrengt. SIM-swapping-aanvallen stellen criminelen in staat telefoonnummers te kapen door mobiele providers te misleiden zodat ze het nummer van een slachtoffer overzetten naar apparaten die door aanvallers worden gecontroleerd. Zodra dit lukt, kunnen aanvallers authenticatiecodes onderscheppen en accountbeveiligingen omzeilen.
De stap van Microsoft weerspiegelt een bredere verschuiving in de sector weg van SMS-gebaseerde tweefactorauthenticatie. Bedrijven zoals Google, Apple en verschillende grote financiële instellingen hebben steeds vaker passkeys en hardwaregebaseerde authenticatiesystemen ingevoerd als onderdeel van bredere beveiligingsinitiatieven zonder wachtwoord.
Ondanks de beveiligingsvoordelen hebben sommige gebruikers hun zorgen geuit over het volledig vertrouwen op toegangssleutels en apparaatgebaseerde authenticatiesystemen. Critici stellen dat gebruikers die de toegang tot vertrouwde apparaten verliezen, problemen kunnen krijgen met accountherstel als back-upmethoden niet correct zijn ingesteld.
Microsoft zei dat gebruikers meerdere herstelmethoden aan hun accounts moeten toevoegen voordat SMS-verificatie volledig wordt afgeschaft. Het bedrijf raadt aan authenticator-apps, back-up e-mailadressen en passkeys in te schakelen om het risico op lockouts te verminderen en de accountbeveiliging te verbeteren.