Репортаж от Wedoany，Американская корпорация Microsoft 19 мая официально подтвердила в технической документации, что начнет постепенно отказываться от использования SMS-кодов в качестве метода двухфакторной аутентификации и восстановления учетных записей для личных аккаунтов Microsoft, полностью переходя на беспарольную систему входа, основанную на ключах доступа. Это официальное объявление было встроено в виде документа на странице управления учетной записью Microsoft и не было опубликовано через традиционные каналы новостей, однако содержание документа подтверждает стратегический отказ от SMS-аутентификации: «Аутентификация на основе SMS в настоящее время стала одним из основных источников мошеннических действий».

В официальном документе Microsoft систематически излагаются недостатки безопасности SMS-кодов. SMS изначально не разрабатывались с учетом современной среды кибербезопасности, их содержимое передается в открытом виде по сотовым сетям и может быть легко перехвачено и прослушано. Еще более серьезная угроза исходит от атак с подменой SIM-карты — злоумышленник, обманом заставив мобильного оператора перенести номер телефона пользователя на свое устройство, может напрямую получать все SMS-коды, отправленные на этот номер, тем самым захватывая учетную запись пользователя. Старший менеджер программ технического сообщества Microsoft Джонатан Эдвардс отметил, что одноразовые проверочные коды, отправляемые по SMS, уязвимы для перехвата, подмены SIM-карты и атак с использованием дефектов маршрутизации, и эти векторы атак по-прежнему часто успешно реализуются на практике. Отчет британской антифродовой организации Cifas показывает, что только за последний год количество атак с подменой SIM-карты выросло на 38%, и основной причиной таких атак является широкая зависимость обычных пользователей от SMS-верификации.

Альтернативное решение, определенное Microsoft для личных учетных записей, состоит из трех компонентов: ключи доступа позиционируются как предпочтительный метод входа, приложение Microsoft Authenticator служит дополнением для мобильной верификации, а подтвержденный резервный адрес электронной почты выполняет функцию восстановления учетной записи. Ключи доступа построены на стандарте FIDO2 и используют технологию шифрования с открытым ключом. При входе система генерирует пару криптографических ключей — открытый ключ отправляется на сервер, а закрытый ключ хранится в физическом оборудовании, таком как доверенный платформенный модуль (TPM) или защищенный чип на устройстве пользователя, никогда не покидая устройство и не передаваясь по сети. После того как пользователь проходит аутентификацию с помощью Windows Hello (распознавание лица, сканер отпечатков пальцев или локальный PIN-код устройства), устройство может выполнить операцию подписи. Поскольку закрытый ключ никогда не раскрывается в сети, даже если злоумышленник создаст поддельную страницу входа, он не сможет обойти механизм криптографической проверки ключей доступа, привязанный к конкретному домену.

Ключи доступа предлагают два режима развертывания. В режиме привязки к устройству закрытый ключ навсегда заблокирован в конкретном оборудовании, таком как чип TPM ноутбука, и не может быть скопирован или перемещен. В режиме облачной синхронизации закрытый ключ может быть зашифрован и синхронизирован между несколькими авторизованными устройствами пользователя через такие сервисы, как Apple iCloud Keychain или Google Password Manager, сочетая безопасность и удобство. Microsoft также поддерживает кросс-устройственную синхронизацию через браузер Microsoft Edge и Microsoft Password Manager, а сторонние менеджеры паролей, такие как Bitwarden и 1Password, уже подключены к API провайдера ключей доступа в Windows 11. Потеряв телефон, пользователь все еще может восстановить доступ к учетной записи с помощью подтвержденного резервного адреса электронной почты и синхронизированных ключей доступа.

Сопутствующая миграция на корпоративном уровне имеет четкий график. Поддержка ключей доступа в Microsoft Entra ID уже находится на стадии публичного бета-тестирования, ключи доступа с привязкой к устройству уже позволяют пользователям хранить ключи в Windows Hello и могут использоваться как на управляемых, так и на личных устройствах. Согласно плану миграции Microsoft Entra ID, организации-арендаторы, все еще использующие устаревшие методы аутентификации, должны перенести настройки управления пользователями на новые политики аутентификации до 30 сентября 2026 года. С 1 октября 2026 года процессы, все еще полагающиеся на устаревшие SMS или голосовые коды, перестанут работать, что может привести к невозможности входа пользователей в систему. Кроме того, с января 2027 года Microsoft Entra ID больше не будет поддерживать сброс пароля через контрольные вопросы, предотвращая получение злоумышленниками информации для восстановления учетной записи с помощью фишинга.

В особых технических сценариях SMS-коды по-прежнему будут сохранены в качестве крайнего резервного варианта. Для потребностей входа участников программы Windows Insider в изолированных вложенных средах, таких как создание и управление виртуальными машинами — поскольку виртуальная машина не может считывать биометрическое оборудование хоста и не имеет доступа к ключам безопасности, вход с использованием ключа доступа или PIN-кода часто приводит к ошибкам — SMS-коды продолжат использоваться в качестве запасного средства, но это исключение применимо только к очень ограниченным техническим сценариям.

Инженерные данные Microsoft по проверке продвижения беспарольной технологии были обнародованы. Во Всемирный день ключей доступа в мае 2026 года Microsoft сообщила, что после установки ключей доступа в качестве опции по умолчанию для новых учетных записей, показатель успешной беспарольной аутентификации внутри Microsoft достиг 95%, а скорость входа увеличилась в 14 раз по сравнению с традиционными методами. Во внутренней среде Microsoft 99,6% пользователей и устройств перешли на фишинг-устойчивые методы аутентификации, а старые методы проверки по SMS и голосу были в основном исключены из основных процессов. Для новых учетных записей по умолчанию используется регистрация с ключом доступа вместо пароля. Альянс FIDO в тот же период оценил, что во всем мире уже используется 50 миллиардов ключей доступа, а такие технологические компании, как Google, Apple и Meta, уже включили ключи доступа в свои потребительские системы аутентификации, и вся отрасль ускоренно переходит от эры паролей к эре без паролей.

Microsoft вскоре начнет рассылать всем владельцам личных учетных записей интерфейс с предложением настроить ключ доступа и подтвердить действительность резервного адреса электронной почты.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com