Microsoft acaba com autenticação de dois fatores via SMS! Esta é “uma fonte de fraude”

A Microsoft anunciou oficialmente o fim dos códigos de verificação por SMS. Segundo a empresa, estes códigos, utilizados há anos para confirmar a identidade, estão a ser amplamente utilizados para fraudes. A Microsoft está a promover, em vez disso, as chaves de acesso, uma tecnologia mais segura que utiliza reconhecimento facial, impressão digital ou PIN.

SMS são uma das fontes de fraude

Durante anos, a Microsoft enviou um código de seis dígitos por SMS para que os utilizadores pudessem aceder às suas contas. Este código permitia à Microsoft verificar a identidade, além da tradicional combinação de palavra-passe e nome de utilizador. Este é o princípio da autenticação de dois fatores, mas a Microsoft já não confia totalmente no código enviado por SMS.

Num documento oficial, a Microsoft afirma categoricamente que "a autenticação por SMS é atualmente uma das principais fontes de fraude". Como a empresa sublinha, as mensagens SMS nunca foram concebidas para segurança. Podem ser intercetadas, permitindo que os atacantes burlem o mecanismo de segurança. As mensagens SMS são também vulneráveis ​​a ataques de troca de SIM .

Fim desta autenticação de dois fatores

Nestes ataques, um hacker rouba o número de telefone e transfere-o para o próprio cartão SIM, obtendo acesso a todas as mensagens SMS. Desta forma, pode contornar qualquer sistema de autenticação que dependa do envio de SMS. Para ir além da segurança do SMS, a Microsoft promove a tecnologia Passkey. Esta tecnologia oferece a opção de autenticação utilizando o reconhecimento facial, a impressão digital ou um PIN local.

Independentemente do método, o processo gera uma chave criptográfica única, armazenada diretamente no seu dispositivo, que nunca é transmitida pela internet por motivos de segurança. Ao contrário das mensagens SMS, estas chaves não podem ser intercetadas. A Microsoft não vai desativar a autenticação por SMS de um dia para o outro. Anunciou uma transição gradual para as alternativas que está a promover.

Segurança com app Autenticator da Microsoft

Todos os titulares de contas Microsoft verão em breve um ecrã a solicitar que configurem uma palavra-passe. Este ecrã irá exibir a mensagem: "Faça login mais rápido com o seu rosto, impressão digital ou PIN". Em paralelo, a Microsoft incentiva os utilizadores a ligar um endereço de e-mail secundário verificado à sua conta. Este servirá como rede de segurança caso o utilizador perca o acesso aos seus dispositivos.

A Microsoft promove também a utilização da app Authenticator, que utiliza o envio de códigos de login. A longo prazo, a Microsoft quer eliminar não só os códigos de login via SMS, mas também as palavras-passe e já começou. As novas contas já não as possuem. Ao criar uma conta, é configurado um endereço de e-mail verificado e uma chave de acesso. A Microsoft recomenda que configurem já uma chave de acesso.