A Microsoft está oficialmente se afastando da autenticação baseada em SMS para contas pessoais, à medida que a empresa incentiva os usuários a usar chaves de acesso, aplicativos autenticadores e métodos de login sem senha.
Em um aviso de suporte recentemente atualizado, a Microsoft confirmou que gradualmente deixará de usar códigos SMS para autenticação e recuperação de contas pessoais da Microsoft. A empresa afirmou que “a autenticação baseada em SMS agora é uma das principais fontes de fraude”, citando riscos crescentes ligados a ataques de phishing, troca de SIM e tomadas de controle de contas por dispositivos móveis.
A mudança afeta contas de consumo da Microsoft usadas em serviços como Outlook, OneDrive, Xbox e Windows. Usuários que atualmente dependem de códigos de verificação por mensagem de texto para autenticação em dois fatores serão cada vez mais incentivados a migrar para chaves de acesso, métodos verificados de recuperação de e-mail ou o aplicativo Microsoft Authenticator.
A Microsoft ainda não anunciou um prazo final para remover completamente o suporte à verificação por SMS. No entanto, relatos indicam que a empresa já começou a limitar as opções de login por SMS para contas pessoais recém-criadas, enquanto promove ativamente alternativas sem senha por meio de prompts de login para contas do Windows 11 e Microsoft.
A empresa descreveu as chaves de acesso como um método de autenticação mais seguro porque dependem de credenciais criptográficas armazenadas diretamente nos dispositivos do usuário, em vez de códigos únicos transmitidos por redes móveis. As chaves de acesso normalmente utilizam sistemas de autenticação baseados em dispositivos, como impressões digitais, reconhecimento facial ou verificação de PIN.
Pesquisadores de segurança há muito tempo alertam que a autenticação por SMS apresenta riscos significativos. Ataques de troca de SIM permitem que criminosos sequestram números de telefone ao enganar operadoras móveis para transferir o número da vítima para dispositivos controlados pelo atacante. Quando bem-sucedidos, os atacantes podem interceptar códigos de autenticação e burlar as proteções da conta.
A decisão da Microsoft reflete uma mudança mais ampla do setor em relação à autenticação de dois fatores baseada em SMS. Empresas como Google, Apple e várias grandes instituições financeiras têm adotado cada vez mais chaves de acesso e sistemas de autenticação baseados em hardware como parte de iniciativas mais amplas de segurança sem senha.
Apesar das vantagens de segurança, alguns usuários expressaram preocupações sobre depender totalmente de chaves de acesso e sistemas de autenticação baseados em dispositivos. Críticos argumentam que usuários que perdem acesso a dispositivos confiáveis podem enfrentar dificuldades para recuperar a conta se os métodos de backup não forem configurados corretamente.
A Microsoft disse que os usuários devem adicionar múltiplos métodos de recuperação às suas contas antes que a verificação por SMS seja totalmente eliminada. A empresa recomenda habilitar aplicativos autenticadores, endereços de e-mail de backup e chaves de acesso para reduzir o risco de bloqueios e melhorar a segurança da conta.