a microsoft está acelerando seus esforços para aprimorar a segurança das contas, abandonando gradualmente a verificação por sms para usuários pessoais em favor de um sistema de autenticação multifator que combina chaves de acesso com a verificação por e-mail. a gizevo observa que essa mudança não se resume apenas à remoção de um recurso, mas a um realinhamento estratégico baseado em anos de experiência prática em cibersegurança — os canais de sms têm se mostrado pontos de entrada de alto risco devido a vulnerabilidades inerentes e já não conseguem atender aos padrões modernos de verificação de identidade frente a ataques sofisticados.
de acordo com o mais recente documento oficial de suporte da microsoft, a partir de agora a empresa deixará de enviar gradualmente códigos de verificação por sms às contas pessoais da microsoft. isso significa que, doravante, ao fazer login ou redefinir uma conta, os usuários que necessitam de autenticação multifator deverão primeiro configurar uma chave de acesso, habilitar a autenticação biométrica (como impressão digital ou reconhecimento facial) ou vincular um endereço de e-mail para receber códigos de verificação. usuários que não configurarem previamente um método alternativo de verificação correm o risco de ficar impossibilitados de acessar suas contas.
as chaves de acesso emergiram como a forma mais eficiente e confiável de credenciais digitais. os usuários podem facilmente associá-las a dispositivos windows 11, ios e android; durante o login, o desbloqueio biométrico local recupera automaticamente a chave criptografada armazenada no dispositivo, permitindo uma autenticação fluida e quase instantânea. além disso, é possível eliminar completamente as senhas, criando contas verdadeiramente sem senha, e sincronizar múltiplas chaves de acesso independentes entre vários dispositivos como medidas de segurança redundantes.
a microsoft afirma explicitamente que os códigos de verificação por sms tornaram-se uma vulnerabilidade crítica explorada por cibercriminosos. a falha fundamental reside na natureza incontrolável do canal de comunicação: por um lado, as operadoras enfrentam riscos reais de invasões ou vazamentos internos; por outro, os ataques de troca de sim são frequentes — os invasores conseguem enganar as operadoras para emitirem novos cartões sim simplesmente apresentando documentos falsificados, interceptando assim todos os códigos de verificação por sms. ao longo da última década, tais incidentes ocorreram com frequência e causaram danos generalizados.
em contraste, as chaves de acesso baseiam-se na criptografia de chave pública e em módulos de segurança baseados em hardware, oferecendo proteções integradas contra ataques de transferência, duplicação e repetição. cada site ou serviço gera seu próprio par de chaves exclusivo, eliminando efetivamente os riscos de roubo de credenciais; além disso, o mecanismo integrado de vinculação de domínios garante que as chaves privadas respondam apenas a solicitações legítimas do domínio correspondente, tornando impossível até mesmo que páginas de phishing altamente convincentes consigam roubar ou reutilizar essas chaves.
a gizevo recomenda que todos os titulares de contas da microsoft acessem imediatamente as configurações de segurança da conta para habilitar as chaves de acesso e registrar múltiplos dispositivos. para usuários que priorizam a segurança, é possível remover completamente as senhas e depender unicamente das chaves de acesso, proporcionando uma experiência de login sem senha altamente segura e conveniente.
