הסוף ל-SMS כגורם אימות ב-Microsoft 365

מיקרוסופט הודיעה השבוע על שינוי דרמטי באופן שבו ארגונים מתחברים ל-Entra ID (לשעבר Azure AD). החל מה-1 בספטמבר 2026, מפתחות גישה (Passkeys) יהפכו לשיטת האימות המחדלית עבור כל המשתמשים שמוגדרים כיום עם SMS או שיחה קולית כגורם שני.

וזה לא הכול: ב-1 בפברואר 2027, מיקרוסופט תפסיק לספק את שירות ה-SMS והשיחות הקוליות לאימות דרך Entra. ארגונים שעדיין צריכים SMS מסיבות רגולטוריות יצטרכו לחבר ספק טלקום צד שלישי דרך Microsoft Security Store — ולשלם על זה בנפרד.

למה עכשיו?

הסיבה פשוטה: SMS כבר לא מספיק בטוח. תוקפים מבצעים SIM Swapping, מיירטים הודעות, ומשתמשים בקמפייני פישינג מבוססי AI עם שיעורי הצלחה של עד 54% — לעומת 12% בפישינג מסורתי. ברגע שתוקף גונב קוד SMS, הוא עוקף את ה-MFA לחלוטין.

Passkeys עובדים אחרת. הם מבוססים על הצפנת מפתח ציבורי (Public-Key Cryptography) — אין סוד משותף שאפשר ליירט. גם אם מישהו מנסה להתחזות לדף ההתחברות של מיקרוסופט, ה-Passkey פשוט לא יעבוד מול אתר מזויף.

מה זה אומר למנהלי IT בעסקים קטנים

אם יש לכם משתמשים שמתחברים עם קוד SMS היום — הם יתבקשו לרשום Passkey בפעם הבאה שיבצעו MFA. מספטמבר זה קורה אוטומטית.

ההמלצה שלנו: אל תחכו לספטמבר. תתחילו עכשיו לבדוק אילו משתמשים עדיין על SMS, תפעילו רישום Passkey מוקדם, ותתקשרו עם העובדים שלכם לגבי השינוי.

עם פלטפורמת הניטור של M-Challenge אנחנו כבר מזהים למי חסר MFA חזק, מי מוגדר רק עם SMS, ומתריעים על כניסות חשודות. ככה מונעים הפתעות.

לוח זמנים שחשוב לדעת

1 בספטמבר 2026 — התחלת הפעלת Passkeys כברירת מחדל. 18 בספטמבר — פרסום רשימת ספקי טלקום נתמכים. 30 באוקטובר — אפשרות להגדיר ספק SMS חלופי. 1 בפברואר 2027 — הפסקת SMS/Voice של מיקרוסופט. מאותו מועד, אימות עם SMS יהיה חוסם — המשתמש חייב לרשום Passkey כדי להמשיך.

לא בטוחים איך להיערך? דברו איתנו ונעזור לכם לעבור חלק.