A Microsoft anunciou oficialmente o fim dos códigos de verificação por SMS. Segundo a empresa, estes códigos, utilizados há anos para confirmar a identidade em processos de autenticação de dois fatores, estão a ser amplamente explorados por criminosos. Num documento oficial direcionado a administradores de TI, a Microsoft afirma categoricamente que a autenticação por SMS é atualmente uma das principais fontes de fraude a nível global.
As mensagens SMS nunca foram concebidas para segurança. Podem ser intercetadas através de vulnerabilidades na rede SS7, permitindo que atacantes burlem o mecanismo de verificação sem deixar rasto. Os ataques de troca de SIM (SIM swap) são particularmente eficazes: um hacker transfere o número de telefone para o seu próprio cartão e passa a receber todas as mensagens SMS da vítima, incluindo os códigos de autenticação. Em 2025, este tipo de ataque cresceu 400 por cento a nível mundial, segundo dados do FBI.
As passkeys substituem os códigos SMS como método de autenticação.
O futuro são as passkeys
Em alternativa, a Microsoft promove as chaves de acesso, ou passkeys, uma tecnologia mais segura que utiliza reconhecimento facial, impressão digital ou PIN para autenticar o utilizador. Ao contrário das passwords e dos códigos SMS, as passkeys não podem ser intercetadas nem roubadas por phishing, porque estão ligadas ao dispositivo físico do utilizador através de criptografia de chave pública. Empresas como a Apple e a Google já adotaram a mesma tecnologia.
Os ataques de SIM swap cresceram 400% a nível mundial em 2025.
A transição já começou, mas não vai ser instantânea. A Microsoft vai manter temporariamente o suporte a SMS para contas empresariais que ainda dependam deste método, mas a recomendação é clara: quem ainda usa SMS para autenticação deve mudar para passkeys ou para aplicações de autenticação como a Microsoft Authenticator ou Google Authenticator.
Para o utilizador comum, a mudança significa mais segurança, mas também um período de adaptação. Quem nunca configurou o reconhecimento facial no telemóvel ou a impressão digital no computador vai ter de o fazer. Mas, num mundo onde os ciberataques são cada vez mais sofisticados e as quebras de segurança afetam milhões de pessoas, este é um sacrifício pequeno para uma proteção muito maior. E o SMS? Passa à história como mais uma tecnologia que já não serve o propósito para que foi adaptada.
As mensagens SMS utilizam o protocolo SS7 (Signaling System 7), uma tecnologia de 1975 que não foi concebida para segurança. As vulnerabilidades deste protocolo permitem que atacantes intercetem mensagens com custos inferiores a 50 dólares, utilizando equipamento disponível comercialmente.
As passkeys, alternativa proposta pela Microsoft, utilizam criptografia de chave pública assimétrica com curvas elípticas (ECDSA P-256). Cada passkey é única por dispositivo e serviço, o que significa que mesmo que um servidor seja comprometido, a chave não pode ser reutilizada noutro serviço.
As passkeys utilizam criptografia ECDSA P-256 com chaves únicas por dispositivo e serviço, armazenadas no chip TPM 2.0. Em testes da Microsoft, a adoção de passkeys reduziu em 99.7% os ataques de phishing bem-sucedidos. O protocolo SS7, que baseia o SMS, tem vulnerabilidades exploráveis com equipamento de 50 dólares e não recebe atualizações de segurança desde 2018.
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!