Η Microsoft αλλάζει τον τρόπο με τον οποίο πραγματοποιείται η πολυπαραγοντική αυθεντικοποίηση στο Microsoft Entra ID, καταργώντας σταδιακά τις μεθόδους που βασίζονται σε SMS και τηλεφωνικές κλήσεις και προωθώντας τα passkeys ως την προεπιλεγμένη μέθοδο σύνδεσης από την 1η Σεπτεμβρίου 2026.
Η αλλαγή έρχεται ως απάντηση στην αύξηση των επιθέσεων ηλεκτρονικού ψαρέματος που αξιοποιούν τεχνητή νοημοσύνη. Σύμφωνα με τη Microsoft Threat Intelligence, οι εκστρατείες phishing με τη βοήθεια AI μπορούν να επιτύχουν ποσοστά κλικ έως και 54%, έναντι περίπου 12% στις παραδοσιακές επιθέσεις.
Microsoft: Αυτόματη μετάβαση των χρηστών σε passkeys
Από την 1η Σεπτεμβρίου 2026, οι χρήστες που έχουν ενεργοποιημένη την αυθεντικοποίηση μέσω SMS ή φωνητικών κλήσεων θα εγγράφονται αυτόματα στα passkeys. Κατά την επόμενη διαδικασία πολυπαραγοντικής αυθεντικοποίησης θα εμφανίζεται σχετική προτροπή για την καταχώριση νέας μεθόδου σύνδεσης.
Το χρονοδιάγραμμα της Microsoft περιλαμβάνει τα εξής στάδια:
- 1 Σεπτεμβρίου 2026: Ξεκινούν η αυτόματη ενεργοποίηση και οι προτροπές εγγραφής σε passkeys για χρήστες SMS και φωνητικής αυθεντικοποίησης.
- 18 Σεπτεμβρίου 2026: Η Microsoft θα δημοσιεύσει τις τιμές, τους εμπορικούς όρους και τη λίστα υποστηριζόμενων παρόχων τηλεπικοινωνιών μέσω του Microsoft Security Store.
- 30 Οκτωβρίου 2026: Οι διαχειριστές οργανισμών θα μπορούν να επιλέγουν και να ρυθμίζουν τρίτους παρόχους τηλεπικοινωνιών για περιπτώσεις όπου απαιτείται ακόμη η χρήση SMS ή φωνής.
- 1 Φεβρουαρίου 2027: Η παροχή υπηρεσιών SMS και φωνητικής αυθεντικοποίησης από τη Microsoft θα σταματήσει πλήρως.
- Μετά την 1η Φεβρουαρίου 2027: Η εγγραφή σε passkeys θα γίνει υποχρεωτική για όλους τους χρήστες σε όλους τους οργανισμούς χωρίς δυνατότητα εξαίρεσης.
Γιατί τα passkeys θεωρούνται ασφαλέστερα
Τα passkeys βασίζονται σε κρυπτογραφία δημόσιου κλειδιού και όχι σε κοινά μυστικά, όπως οι κωδικοί που αποστέλλονται μέσω SMS. Αυτό τα καθιστά ανθεκτικά στο phishing, καθώς οι επιτιθέμενοι δεν μπορούν εύκολα να υποκλέψουν ή να αναπαράγουν τα διαπιστευτήρια.
Αντίθετα, οι κωδικοί SMS και οι φωνητικές επιβεβαιώσεις μπορούν να αποτελέσουν στόχο επιθέσεων όπως η αντικατάσταση SIM ή η κοινωνική μηχανική, όπου οι δράστες προσπαθούν να εξαπατήσουν χρήστες ή παρόχους τηλεπικοινωνιών.
Η Microsoft υποστηρίζει ότι οι επιθέσεις με τη χρήση τεχνητής νοημοσύνης μπορούν πλέον να αυτοματοποιήσουν την αναζήτηση λογαριασμών, την κλιμάκωση προνομίων και την πλευρική μετακίνηση μέσα σε εταιρικά δίκτυα, αυξάνοντας τον κίνδυνο από κλεμμένα στοιχεία σύνδεσης.