На новой странице поддержки Microsoft сообщила, что личные аккаунты Microsoft постепенно лишатся возможности использовать SMS для входа и восстановления доступа. Пользователей будут переводить на passkeys и верифицированную электронную почту.

SMS-аутентификация давно считается слабым звеном в системе безопасности. Текстовые сообщения передаются без сквозного шифрования, что позволяет перехватывать их на пути к получателю. Один из наиболее распространённых сценариев атаки — SIM-своппинг: злоумышленник, завладев кодом из SMS, убеждает оператора связи перенести номер жертвы на другую SIM-карту. После этого все входящие коды подтверждения начинают поступать атакующему, и он последовательно захватывает привязанные к номеру аккаунты. «SMS-аутентификация стала одним из главных источников мошенничества», — говорится в заявлении Microsoft.

Passkeys — это альтернативный механизм входа, разработанный альянсом FIDO2 совместно с крупнейшими технологическими компаниями. Вместо пароля или одноразового кода пользователь подтверждает личность биометрией (лицо или отпечаток пальца), PIN-кодом или физическим ключом безопасности. Закрытый криптографический ключ хранится на устройстве и никогда не передаётся на серверы сервиса, что делает фишинг и перехват данных практически бессмысленными.

SMS уязвимы к SIM-своппингу: злоумышленник переносит номер на свою SIM и перехватывает коды.

Screenshot by Lance Whitney/ZDNET
Screenshot by Lance Whitney/ZDNET · Источник: ZDNet AI

Одно из практических ограничений passkeys — привязка к конкретному устройству. Если ключ создан на ноутбуке, использовать его на смартфоне напрямую не получится. Microsoft рекомендует хранить passkeys в менеджере паролей: большинство популярных решений уже поддерживают этот стандарт — Microsoft Password Manager в Edge, Google Password Manager, Apple Passwords, 1Password, NordPass, Bitwarden и Dashlane. Альтернативный вариант — физический ключ безопасности (например, YubiKey), который подключается к любому устройству через USB или NFC. На компьютерах с Windows passkeys также поддерживает встроенная система Windows Hello.

Переход Microsoft отражает более широкую тенденцию в отрасли: Google, Apple и ряд крупных банков уже внедрили passkeys как основной или дополнительный метод входа. Операторы связи, со своей стороны, предлагают SIM-защиту — блокировку номера от несанкционированного переноса, — однако это не устраняет фундаментальную уязвимость самого протокола SMS. Пользователи, которые хотят настроить passkey до того, как Microsoft начнёт принудительный перевод, могут сделать это уже сейчас через соответствующую страницу поддержки.