A Microsoft vai desligar o código por SMS: as passkeys passam a predefinição no Entra ID

O código que recebe por SMS quando entra na conta profissional tem os dias contados. A Microsoft anunciou que vai transformar as passkeys no método de autenticação predefinido do Microsoft Entra ID — o serviço de gestão de identidades usado por milhões de organizações em todo o mundo — e começar a retirar progressivamente a autenticação por SMS e chamada de voz. A mudança arranca a 1 de setembro de 2026 e culmina a 1 de fevereiro de 2027, data em que a Microsoft deixa de fornecer nativamente estes métodos.

Em resumo: A partir de 1 de setembro de 2026, a Microsoft torna as passkeys o método de autenticação predefinido no Entra ID. A 1 de fevereiro de 2027 deixa de fornecer nativamente a autenticação por SMS e voz. As organizações que precisem de manter SMS ou voz terão de contratar um operador terceiro através da Microsoft Security Store, suportando os custos associados.

A decisão, comunicada pela empresa a 13 de julho, tem uma justificação clara: os códigos enviados por SMS ou voz assentam em segredos partilhados que os atacantes conseguem intercetar, e deixaram de oferecer proteção suficiente perante ameaças potenciadas por inteligência artificial.

Porque é que o SMS deixou de chegar

O argumento central da Microsoft é a velocidade e a escala da nova geração de ataques. Segundo a inteligência de ameaças da empresa, as campanhas de phishing potenciadas por IA estão a atingir taxas de cliques até 54%, contra cerca de 12% nas campanhas tradicionais. Uma vez comprometida uma credencial vulnerável, um ataque automatizado consegue realizar reconhecimento, escalar privilégios e mover-se lateralmente pela rede muito mais depressa do que um atacante humano.

Técnicas como o SIM swapping (transferência fraudulenta do número de telemóvel) e o contorno da autenticação multifator tornaram-se, entretanto, mais acessíveis e repetíveis. É neste contexto que os códigos por SMS e voz passam a ser vistos como um elo fraco.

O que são passkeys e porque resistem ao phishing

Ao contrário dos códigos temporários, as passkeys assentam em criptografia de chave pública e não em segredos partilhados. Na prática, não existe nenhum código que possa ser intercetado, copiado ou obtido por engenharia social — o que as torna resistentes ao phishing por conceção. Oferecem ainda uma experiência de início de sessão mais rápida e simples para o utilizador.

O Entra ID suporta dois tipos. As passkeys sincronizadas ficam guardadas em gestores de credenciais como o iCloud Keychain ou o Google Password Manager. As passkeys ligadas ao dispositivo incluem o Microsoft Authenticator, a Entra passkey no Windows e as chaves de segurança físicas FIDO2. As organizações podem escolher o modelo consoante os dispositivos e fluxos de trabalho dos utilizadores.

O calendário da transição, passo a passo

  • 1 de setembro de 2026: os utilizadores com SMS ou voz ativados passam a ser automaticamente habilitados para passkeys e recebem um convite para registar uma no próximo início de sessão com autenticação multifator.
  • 18 de setembro de 2026: a Microsoft divulga preços, condições comerciais e a lista de operadores de telecomunicações parceiros através da Microsoft Security Store.
  • 30 de outubro de 2026: os administradores passam a poder selecionar e configurar um operador terceiro, para as organizações que ainda precisem de SMS ou voz.
  • 1 de fevereiro de 2027: a Microsoft termina o fornecimento nativo de autenticação por SMS e voz.
  • Após 1 de fevereiro de 2027: o registo de uma passkey passa a ser obrigatório para todos os utilizadores de todos os inquilinos, sem possibilidade de exclusão.

A empresa ressalva que este calendário se aplica apenas ao Entra ID na cloud pública. Os ambientes de cloud governamental seguirão datas próprias, a anunciar mais tarde.

Ainda preciso de SMS ou voz. E agora?

As organizações com requisitos regulatórios, técnicos ou de negócio que obriguem a manter SMS ou voz poderão contratar diretamente um operador de telecomunicações através da Microsoft Security Store, a partir de 30 de outubro de 2026. Nesse caso, os custos de telecomunicações associados passam a ser suportados pelo cliente. Para a maioria das organizações, contudo, a Microsoft recomenda o caminho mais simples: migrar para passkeys, sem custo adicional.

Porque é que isto importa em Portugal

Para as organizações portuguesas, a mudança tem uma dupla leitura. Por um lado, elimina de forma automática um dos vetores de ataque mais explorados — o desvio de códigos de autenticação. Por outro, cruza-se com as exigências do novo enquadramento legal da cibersegurança, resultante da transposição da diretiva NIS2, que empurra as entidades essenciais e importantes para medidas de autenticação forte e resistente ao phishing.

As equipas de TI têm agora uma janela para preparar a transição sem sobressaltos: identificar que utilizadores e grupos ainda dependem de SMS ou voz, ativar o suporte a passkeys, recorrer às campanhas de registo do Entra ID para acelerar a adoção em escala e, sobretudo, comunicar atempadamente aos colaboradores o que vai mudar no início de sessão. Deixar tudo para a ativação automática é o cenário que mais atrito gera junto dos utilizadores.

Perguntas frequentes

O que são passkeys?

As passkeys são um método de autenticação que assenta em criptografia de chave pública, em vez de segredos partilhados como palavras-passe ou códigos temporários. Como não existe nenhum código que possa ser intercetado ou obtido por engenharia social, são resistentes ao phishing por conceção.

Quando é que o SMS deixa de funcionar no Entra ID?

A Microsoft termina o fornecimento nativo de autenticação por SMS e voz a 1 de fevereiro de 2027. A partir de 1 de setembro de 2026, os utilizadores com estes métodos passam a ser automaticamente convidados a registar uma passkey.

Ainda posso continuar a usar SMS ou voz?

Sim, mas de forma diferente. A partir de 30 de outubro de 2026, as organizações com requisitos regulatórios ou técnicos poderão selecionar e configurar um operador de telecomunicações terceiro através da Microsoft Security Store, passando a suportar os custos associados. Para a maioria, a Microsoft recomenda a migração para passkeys, sem custo adicional.

Como se preparam as organizações portuguesas?

Recomenda-se identificar os utilizadores que ainda dependem de SMS ou voz, ativar o suporte a passkeys (sincronizadas ou ligadas ao dispositivo), usar as campanhas de registo do Entra ID para acelerar a adoção e comunicar atempadamente aos colaboradores. A medida cruza-se com as exigências de autenticação forte do novo regime jurídico da cibersegurança, que transpõe a diretiva NIS2.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Microsoft em julho de 2026.