Microsoft отказывается от SMS-верификации: пользователей переводят на ключи доступа

1 час назад / Технологии → Новости / Технологии

Microsoft официально объявила о прекращении использования SMS-кодов для подтверждения входа в личные аккаунты. В официальной технической документации компания подтвердила, что поэтапно отказывается от SMS-верификации как метода двухфакторной аутентификации и восстановления учетных записей.

В будущем Microsoft будет принудительно внедрять альтернативные методы без использования паролей, требуя от пользователей личных аккаунтов применять ключи доступа (passkeys), приложения-аутентификаторы и подтвержденные дополнительные адреса электронной почты.

В официальном заявлении Microsoft отмечается, что SMS-аутентификация стала основным источником мошенничества. SMS изначально не разрабатывалась с учетом требований современной кибербезопасности: данные передаются в открытом виде через уязвимые сотовые сети, что делает их легкой мишенью для перехвата.

Злоумышленники также активно используют SIM-свопинг (SIM swap attack) — метод, при котором они обманом заставляют мобильных операторов перенести номер телефона жертвы на устройство, контролируемое атакующим. Это позволяет им перехватывать все SMS с кодами двухфакторной аутентификации и захватывать учетные записи.

В качестве замены Microsoft активно продвигает ключи доступа (passkeys). Эта технология использует встроенные биометрические датчики устройств: для входа в систему пользователю необходимо подтвердить личность с помощью Windows Hello (распознавание лица), сканера отпечатков пальцев или локального PIN-кода устройства.

При этом генерируется пара криптографических ключей, где приватный ключ хранится в физическом оборудовании, например, в защищенном чипе TPM ноутбука, и никогда его не покидает. Это полностью блокирует возможность удаленных фишинговых атак.

Ключи доступа также можно синхронизировать в зашифрованном виде между устройствами пользователя через такие сервисы, как Apple iCloud Keychain или Google Password Manager. Это гарантирует, что в случае потери телефона пользователь сможет восстановить доступ к аккаунту через подтвержденную электронную почту и синхронизированные ключи.

Принудительный переход может вызвать трудности у продвинутых пользователей в специфических технических сценариях. Например, участники программы Windows Insider при запуске и настройке новых виртуальных машин в изолированных средах могут столкнуться с проблемами: виртуальная машина не имеет доступа к биометрическому оборудованию хоста или к ключам безопасности, поэтому попытки входа с помощью ключа доступа или PIN-кода будут приводить к частым ошибкам.

В таких специфических ситуациях SMS-код оставался последним запасным вариантом. Microsoft в ближайшее время начнет показывать всем владельцам личных аккаунтов экраны с предложением настроить ключ доступа и подтвердить резервный адрес электронной почты.