Muitos serviços ainda usam SMS para envio de códigos de autenticação ou recuperação de acesso. Mas, no ecossistema da Microsoft, essa prática ficará no passado: a companhia confirmou que está substituindo o SMS por mecanismos mais seguros, como passkeys ou aplicativos como o Microsoft Authenticator.

A decisão já aparece nesta página de ajuda da Microsoft. Ali, a empresa afirma:

A Microsoft está comprometida com o avanço dos padrões de segurança e, por isso, começaremos a eliminar gradualmente o uso de SMS como método de autenticação e recuperação de contas pessoais da Microsoft.

Isso significa que, se você perder a senha de sua conta Microsoft ou estiver fazendo login em um serviço da empresa a partir de um dispositivo novo, não receberá mais um SMS com um código para completar o procedimento.

Como alternativa, a companhia incentiva que você crie uma passkey para a sua conta. Também chamada de chave de acesso, a passkey é um mecanismo que permite que você se autentique em serviços online sem ter que usar senhas.

Para tanto, o sistema de segurança cria uma credencial única e exclusiva em seu dispositivo com base no conceito de chaves públicas. No Windows, por exemplo, uma passkey pode ser fornecida via PIN de acesso ao sistema, impressão digital (em computadores com leitor) ou reconhecimento facial via Windows Hello.

A Microsoft também poderá enviar códigos ou links de validação em um e-mail verificado ou, ainda, permitir que você use softwares autenticadores como opção, a exemplo do já mencionado Microsoft Authenticator — geralmente, ferramentas do tipo também são compatíveis com passkeys.

Por que a Microsoft está abandonando códigos por SMS?

Por questões de segurança. Códigos por SMS são transmitidos por texto simples, sem criptografia, o que permite a sua captura em caso de interceptação da mensagem.

Além disso, códigos via SMS podem ser capturados por eventuais malwares que estiverem presentes no celular, bem como podem ser informados em páginas de phishing ou chats fraudulentos se o usuário não perceber que está diante de uma ameaça. Levemos em conta também que o SMS favorece golpes de SIM Swap.

Do ponto de vista do usuário, também existe o fator “aborrecimento”: nem sempre o SMS chega dentro do prazo esperado, o que o obriga a fazer uma nova solicitação de código.

É claro que essa migração pode trazer alguns transtornos, afinal, os usuários terão que ativar os métodos alternativos para continuar acessando os serviços da Microsoft, o que pode ser incômodo para pessoas leigas no assunto ou atarefadas.

Provavelmente, essa é uma das razões pelas quais a Microsoft decidiu abandonar o SMS de modo progressivo. A empresa não deu um prazo para concluir a migração, mas não estranhe se, a qualquer momento, você receber um e-mail da Microsoft pedindo para você ativar o uso de passkeys ou outros métodos de autenticação caso você ainda receba códigos por SMS.

Microsoft deixará de usar SMS para enviar códigos de autenticação