Microsoft sẽ khai tử xác thực bằng SMS cho tài khoản cá nhân, đặt cược vào passkey và mô hình không mật khẩu

Microsoft xác nhận tin nhắn SMS đang đi đến hồi kết với vai trò là phương thức xác thực và khôi phục cho các tài khoản Microsoft cá nhân. Theo hãng, lý do chính nằm ở rủi ro gian lận và các điểm yếu bảo mật cố hữu. Cụ thể, xác thực qua SMS dễ bị tấn công phishing — tức hình thức lừa đảo đánh cắp thông tin bằng cách giả mạo trang web, tin nhắn hoặc email đáng tin cậy — cũng như SIM-swap, một kiểu chiếm đoạt số điện thoại khi kẻ xấu lừa hoặc mua chuộc nhà mạng để chuyển số của nạn nhân sang SIM khác. Khi điều đó xảy ra, mã xác minh gửi qua SMS có thể rơi thẳng vào tay kẻ tấn công.

Thay cho SMS, Microsoft cho biết tương lai của đăng nhập an toàn sẽ dựa trên tài khoản passwordless, tức mô hình không dùng mật khẩu truyền thống, cùng với passkey và email đã xác minh. Passkey là một chuẩn đăng nhập mới cho phép người dùng xác thực bằng sinh trắc học như vân tay, nhận diện khuôn mặt hoặc mã PIN của thiết bị, thay vì phải nhớ mật khẩu. Về bản chất, passkey dựa trên cơ chế mật mã khóa công khai, trong đó một khóa được lưu an toàn trên thiết bị của người dùng và không bị gửi trực tiếp lên máy chủ theo cách mật khẩu thường làm. Điều này giúp giảm đáng kể nguy cơ bị đánh cắp thông tin đăng nhập.

Động thái mới không phải thay đổi đột ngột. Microsoft đã thúc đẩy passkey hơn một năm qua và từng tuyên bố vào năm 2025 rằng mọi tài khoản Microsoft mới sẽ mặc định ở trạng thái passwordless. Nói cách khác, SMS đã bị đặt vào danh sách “sắp nghỉ hưu” từ lâu, và thông báo lần này chỉ là bước xác nhận rõ ràng hơn rằng người dùng sẽ được chuyển sang các lựa chọn khác an toàn hơn. Tuy nhiên, công ty hiện vẫn chưa công bố thời điểm chính thức ngừng hoàn toàn công nghệ xác thực bằng SMS.

Thông tin này xuất hiện trong bối cảnh passkey ngày càng được công nhận rộng rãi như một tiêu chuẩn xác thực mặc định trên Internet. Tháng 4/2026, Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã chính thức ủng hộ công nghệ này và khuyến khích người dùng áp dụng. Đây là tín hiệu quan trọng vì các tổ chức an ninh mạng quốc gia thường chỉ hậu thuẫn những công nghệ đã đạt độ trưởng thành nhất định về triển khai và độ an toàn thực tế.

Dù giới chuyên gia bảo mật từ lâu xem việc loại bỏ SMS là điều cần làm càng sớm càng tốt, thách thức thực sự lại nằm ở trải nghiệm người dùng. Microsoft cho biết sẽ hướng dẫn khách hàng trong quá trình chuyển đổi, bao gồm gợi ý đăng nhập bằng passkey hoặc tạo passkey ngay tại màn hình đăng nhập. Tuy vậy, việc thay đổi thói quen xác thực chưa bao giờ dễ dàng, đặc biệt với những người đã quen nhận mã qua điện thoại trong nhiều năm.

Một trong những điểm phức tạp nhất của passkey là khi người dùng hoạt động trên nhiều thiết bị khác nhau, chẳng hạn đăng nhập trên điện thoại, laptop công ty và máy tính bảng cá nhân. Trong trường hợp này, cần đến công cụ đồng bộ hóa hoặc password manager — tức trình quản lý mật khẩu có khả năng lưu và đồng bộ thông tin đăng nhập an toàn giữa các thiết bị. Dù các công cụ này ngày càng phổ biến, không phải người dùng phổ thông nào cũng hiểu rõ cách thiết lập hoặc tin tưởng giao dữ liệu xác thực cho chúng. Đây có thể là rào cản lớn trong giai đoạn đầu Microsoft đẩy mạnh thay thế SMS.

Việc Microsoft dần loại bỏ SMS cho thấy ngành công nghệ đang bước sang giai đoạn mới của bảo mật tài khoản: ít phụ thuộc vào mật khẩu và số điện thoại hơn, thay vào đó dựa vào thiết bị cá nhân, sinh trắc học và các chuẩn xác thực hiện đại. Với người dùng, thay đổi này có thể gây bỡ ngỡ trong ngắn hạn. Nhưng về dài hạn, đây là bước đi nhằm giảm thiểu những lỗ hổng đã tồn tại nhiều năm trong mô hình xác thực cũ. SMS chưa biến mất ngay lập tức, nhưng rõ ràng vai trò của nó trong hệ sinh thái Microsoft đang đi đến đoạn kết.