Microsoft abandona SMS para autenticação e aposta em métodos mais seguros
A Microsoft anunciou que iniciará a eliminação gradual do uso de mensagens de texto (SMS) como método de autenticação e recuperação de contas pessoais. A medida significa que os usuários deixarão de receber códigos temporários por mensagem sempre que precisarem fazer login em um dispositivo novo ou recuperar o acesso a uma conta da empresa. Em vez do SMS, a companhia passará a oferecer alternativas consideradas mais robustas, como chaves de acesso digitais, aplicativos autenticadores e verificação por e-mail.
A decisão já consta em página oficial de suporte da Microsoft, na qual a empresa reafirma seu compromisso com o avanço dos padrões de segurança. Segundo a companhia, a autenticação baseada em SMS se tornou uma das principais fontes de fraudes e, por isso, não oferece mais o nível de proteção adequado para os usuários. A transição será feita de forma progressiva, sem que a Microsoft tenha divulgado um prazo final para a conclusão do processo.
Entre os principais motivos para o abandono do SMS estão vulnerabilidades técnicas já conhecidas. Os códigos enviados por mensagem de texto circulam sem criptografia, o que possibilita a interceptação por agentes mal-intencionados. Além disso, softwares maliciosos presentes no celular podem capturar esses códigos automaticamente. Há ainda o risco de o usuário inserir o código em páginas falsas projetadas para roubo de dados, prática conhecida como phishing, ou em conversas fraudulentas.
Outro fator relevante é a vulnerabilidade ao golpe de SIM Swap, no qual criminosos conseguem transferir o número de telefone da vítima para um chip controlado por eles, recebendo assim todas as mensagens, incluindo os códigos de verificação. Do ponto de vista prático, o SMS também gera frustração: nem sempre a mensagem chega dentro do prazo esperado, obrigando o usuário a solicitar um novo código repetidas vezes.
Como principal alternativa, a Microsoft incentiva a criação de chaves de acesso, também chamadas de passkeys. Trata-se de um mecanismo de autenticação que dispensa o uso de senhas tradicionais. O sistema gera uma credencial única e exclusiva vinculada ao dispositivo do usuário, com base no conceito de criptografia de chave pública. No ambiente Windows, por exemplo, uma chave de acesso pode ser ativada por meio de um PIN, da impressão digital — em computadores equipados com leitor biométrico — ou do reconhecimento facial via Windows Hello.
Além das chaves de acesso, a Microsoft também oferecerá a possibilidade de receber códigos ou links de validação em endereços de e-mail previamente verificados. Aplicativos autenticadores, como o próprio Microsoft Authenticator, continuam sendo uma opção viável e geralmente são compatíveis com o uso de chaves de acesso, ampliando as alternativas à disposição dos usuários.
A empresa reconhece que a transição pode causar transtornos, especialmente para pessoas menos familiarizadas com conceitos de segurança digital ou para aquelas que simplesmente não dispõem de tempo para configurar novos métodos de autenticação. Por isso, a adoção será gradual, e os usuários que ainda dependem de códigos por SMS poderão receber comunicações da Microsoft com instruções para ativar as novas formas de verificação.
Com essa mudança, a Microsoft se alinha a uma tendência crescente no setor de tecnologia, no qual grandes empresas buscam substituir métodos considerados ultrapassados por soluções mais modernas e seguras. A recomendação é que os usuários antecipem a configuração de chaves de acesso ou aplicativos autenticadores para garantir acesso ininterrupto aos serviços da empresa quando o SMS for definitivamente desativado.
