Durante anos, o código de seis dígitos enviado por mensagem de texto foi o método mais comum para confirmar identidades online. Familiar, simples e amplamente adotado, o SMS se tornou uma espécie de segundo fator universal. A Microsoft, no entanto, decidiu encerrar esse ciclo: a empresa confirmou que deixará de utilizar o SMS como forma de autenticação para contas pessoais, dando início a uma transição para alternativas consideradas mais seguras.
Por que o SMS se tornou um problema
A justificativa da Microsoft está em um documento oficial publicado pela empresa, que classifica a autenticação via SMS como uma das principais fontes de fraude atualmente. O problema não é novo: mensagens de texto nunca foram projetadas com segurança em mente e apresentam vulnerabilidades conhecidas há anos. Uma delas é o ataque de troca de SIM, em que um agente malicioso consegue transferir o número de telefone da vítima para um cartão sob seu controle, obtendo acesso a todos os códigos recebidos. Além disso, os códigos podem ser interceptados durante a transmissão, tornando o método cada vez menos confiável diante das ameaças atuais.
O que vai substituir o SMS
A Microsoft está direcionando seus usuários para três alternativas principais: as passkeys, o aplicativo Microsoft Authenticator e endereços de e-mail secundários verificados. As passkeys funcionam com um par de chaves criptográficas, sendo que uma delas fica armazenada no dispositivo do usuário e protegida por biometria, como reconhecimento facial, impressão digital ou PIN local. A outra chave permanece com o serviço onde a conta foi criada. Como a chave privada nunca sai do hardware do aparelho, ataques de phishing remoto se tornam inviáveis: não há código transmissível para ser interceptado.
Pontos de atenção na transição
A mudança, ainda sem data definitiva, ocorrerá de forma gradual. Os usuários verão em breve uma notificação solicitando a configuração de um método alternativo de acesso. Um ponto de atenção diz respeito a ambientes de máquinas virtuais, nos quais o hardware biométrico não está disponível e o PIN costuma retornar erros. Nesses cenários, o SMS era a alternativa mais simples, e a Microsoft ainda não informou como tratará esses casos após a descontinuação. Para a maioria dos usuários, no entanto, a transição representa um ganho real de segurança, desde que a empresa garanta clareza no processo e alternativas acessíveis para recuperação de conta.
