A Microsoft não irá mais enviar códigos SMSs como método de autenticação e recuperação de contas. A companhia afirmou que essa forma de autenticação se tornou uma das maiores fontes de fraudes.

Os SMSs serão substituídos por verificação por e-mail e chaves de acesso, como biometria digital, reconhecimento facial ou PIN. “A Microsoft acredita que o futuro da autenticação é sem senha, seguro e amigável para usuários”.

As novas formas de autenticação têm maior resistência a phishing e eliminam o risco de fraude, defende a companhia. Mesmo antes de banir o SMS como forma de dupla autenticação, a Microsoft já desencorajava sua utilização.

Uma vez considerada uma evolução na segurança online, o SMS perdeu eficiência na proteção da conta de usuários.

Dados de uma das maiores casas de câmbio, Coinbase, por exemplo, mostram que a grande maioria dos ataques que conseguiram assumir a contra de usuários vieram a partir da autenticação do SMS, correspondendo a cerca de 95% dos casos.

Aplicativos autenticadores, como Google Authenticator, são mais seguros do que os SMSs porque geram códigos de forma local. Os SMSs não contam com criptografia. Eles permitem que criminosos clonem chips indo até as operadoras e as convencendo de que se tratam da vítima. Os criminosos podem também interceptar dados do wi-fi para ter acesso ao código, diz artigo da empresa de segurança cibernética Keeper Security.

O movimento de abandonar os SMSs como forma de autenticação não foi exclusivo da Microsoft. O Banco Central dos Emirados Árabes requereu que todas as instituições financeiras licenciadas deixem de usar SMSs e e-mail como forma de autenticação.

No ano passado, o Google disse que pretendia mudar a forma de autenticação e substituir códigos enviados por SMSs por QR Codes, o que iria reduzir o risco de usuários compartilharem o código de segurança com terceiros e remover a dependência da segurança em operadoras de telefone. Mas, depois disso, não anunciou a implementação da medida.