Microsoft, kullanıcıları şifreli anahtarlara, kimlik doğrulama uygulamalarına ve şifresiz giriş yöntemlerine yönlendirerek kişisel hesaplar için SMS tabanlı kimlik doğrulamadan resmen uzaklaşıyor.
Yeni güncellenen bir destek danışmanında, Microsoft, kişisel Microsoft hesaplarında hesap doğrulama ve kurtarma için SMS kodlarını kademeli olarak sona erdireceğini doğruladı. Şirket, “SMS tabanlı kimlik doğrulama artık dolandırıcılığın önde gelen bir kaynağı” olduğunu belirtti ve oltalama saldırıları, SIM değiştirme ve mobil tabanlı hesap ele geçirmeleriyle bağlantılı artan riskleri dile getirdi.
Bu değişiklik, Outlook, OneDrive, Xbox ve Windows gibi hizmetlerde kullanılan Microsoft tüketici hesaplarını etkiliyor. Şu anda iki faktörlü kimlik doğrulama için metin mesajı doğrulama kodlarına güvenen kullanıcılar, giderek daha fazla şifrelere, doğrulanmış e-posta kurtarma yöntemlerine veya Microsoft Authenticator uygulamasına geçmeleri teşvik edilecek.
Microsoft, SMS doğrulama desteğinin tamamen kaldırılması için henüz son teslim tarihini açıklamadı. Ancak raporlar, şirketin yeni oluşturulan kişisel hesaplar için SMS giriş seçeneklerini kısıtlamaya başladığını ve Windows 11 ile Microsoft hesap giriş istemleri aracılığıyla şifresiz alternatifleri aktif olarak teşvik ettiğini gösteriyor.
Şirket, şifreleri daha güvenli bir kimlik doğrulama yöntemi olarak tanımladı; çünkü şifreler, mobil ağlar üzerinden bir kerelik iletilen kodlar yerine doğrudan kullanıcı cihazlarında saklanan kriptografik kimlik bilgilerine dayanıyordu. Şifreler genellikle parmak izi, yüz tanıma veya PIN doğrulama gibi cihaz tabanlı kimlik doğrulama sistemleri kullanır.
Güvenlik araştırmacıları uzun süredir SMS kimlik doğrulamanın önemli riskler taşıdığı konusunda uyarıda bulunuyor. SIM kartı değiştirme saldırıları, suçluların mobil operatörleri bir mağdurun numarasını saldırganın kontrolündeki cihazlara aktarmaya kandırarak telefon numaralarını ele geçirmesine olanak tanır. Başarılı olduklarında, saldırganlar kimlik doğrulama kodlarını ele geçirebilir ve hesap korumalarını aşabilir.
Microsoft’un bu hamlesi, SMS tabanlı iki faktörlü kimlik doğrulamadan uzaklaşan daha geniş bir sektör kaymasını yansıtıyor. Google, Apple ve birkaç büyük finans kurumu gibi şirketler, daha geniş şifresiz güvenlik girişimlerinin bir parçası olarak şifreli anahtarlar ve donanım tabanlı kimlik doğrulama sistemlerini giderek daha fazla benimsedi.
Güvenlik avantajlarına rağmen, bazı kullanıcılar tamamen şifreli anahtarlara ve cihaz tabanlı kimlik doğrulama sistemlerine güvenmek konusunda endişelerini dile getirdi. Eleştirmenler, güvenilir cihazlara erişimini kaybeden kullanıcıların yedekleme yöntemleri doğru şekilde ayarlanmazsa hesap kurtarma zorluklarıyla karşılaşabileceğini savunuyor.
Microsoft, kullanıcıların SMS doğrulaması tamamen kaldırılmadan önce hesaplarına birden fazla kurtarma yöntemi eklemeleri gerektiğini söyledi. Şirket, kilitleme riskini azaltmak ve hesap güvenliğini artırmak için kimlik doğrulama uygulamalarının, yedek e-posta adreslerinin ve şifreli anahtarların etkinleştirilmesini öneriyor.