Microsoft Entra ID Akan Jadikan Passkey Sebagai Metode Autentikasi Default Mulai September 2026

Microsoft mengumumkan bahwa passkey akan menjadi metode autentikasi bawaan (default) untuk layanan identitas enterprise Microsoft Entra ID mulai September 2026. Langkah ini merupakan bagian dari strategi perusahaan untuk mengurangi ketergantungan pada autentikasi berbasis SMS dan panggilan telepon yang dinilai lebih rentan terhadap serangan phishing.
Sebagai bagian dari transisi tersebut, Microsoft juga mengonfirmasi bahwa dukungan autentikasi melalui SMS dan voice call akan dihentikan sepenuhnya pada 1 Februari 2027 untuk seluruh tenant Entra ID.
Pengguna SMS dan Voice Akan Beralih ke Passkey
Mulai September 2026, pengguna Entra ID yang saat ini masih menggunakan autentikasi melalui SMS atau panggilan suara akan secara otomatis diaktifkan untuk menggunakan passkey.
Saat mereka melakukan proses Multi-Factor Authentication (MFA) berikutnya, sistem akan meminta pengguna mendaftarkan passkey sebagai metode autentikasi baru.
Sementara itu, pengguna yang sudah menggunakan metode autentikasi tahan phishing tidak akan terdampak dan dapat terus menggunakan metode yang sama.
Metode tersebut meliputi:
- Passkey
- Windows Hello for Business
- FIDO2 Security Key
- Smart Card
- Metode autentikasi lain yang tahan terhadap serangan phishing
SMS dan Voice Resmi Pensiun Februari 2027
Microsoft memastikan bahwa mulai 1 Februari 2027, perusahaan tidak lagi menyediakan layanan pengiriman kode autentikasi melalui SMS maupun panggilan suara sebagai fitur bawaan Microsoft Entra ID.
Oleh karena itu, organisasi diminta mulai mempersiapkan migrasi pengguna sebelum tenggat waktu tersebut agar tidak mengalami gangguan saat proses login.
Apabila masih membutuhkan autentikasi berbasis telepon, perusahaan harus menggunakan penyedia layanan telekomunikasi pihak ketiga yang dapat diintegrasikan melalui Microsoft Security Store.
Administrator Diminta Melakukan Audit
Microsoft juga menyediakan cara bagi administrator untuk mengidentifikasi pengguna yang masih bergantung pada autentikasi SMS maupun voice.
Administrator dengan salah satu peran berikut dapat menjalankan Entra SMS/Voice Policy Scanner berbasis PowerShell:
- Global Reader
- Authentication Policy Administrator
- Security Reader
Hasil pemindaian dapat digunakan untuk menyusun rencana migrasi menuju metode autentikasi yang lebih aman.
Alasan Microsoft Beralih ke Passkey
Microsoft menyebut keputusan ini didorong oleh meningkatnya efektivitas serangan phishing modern, termasuk yang memanfaatkan kecerdasan buatan (AI).
Berdasarkan pengamatan Microsoft Threat Intelligence, kampanye phishing berbasis AI mampu mencapai click-through rate hingga 54%, jauh lebih tinggi dibandingkan kampanye phishing tradisional yang rata-rata berada di kisaran 12%.
Kondisi tersebut membuat password serta faktor autentikasi yang masih dapat dipancing melalui phishing menjadi semakin berisiko.
Microsoft juga menyoroti meningkatnya serangan terhadap akun Microsoft Entra Single Sign-On (SSO) dalam sejumlah insiden pencurian data layanan SaaS, termasuk serangan yang dikaitkan dengan kelompok pemerasan ShinyHunters.
Passkey Dinilai Lebih Tahan terhadap Phishing
Dengan menjadikan passkey sebagai metode autentikasi utama, Microsoft berharap organisasi dapat mengurangi ketergantungan pada metode autentikasi yang mudah dieksploitasi melalui phishing.
Selain meningkatkan keamanan akun, penggunaan passkey juga memberikan pengalaman login yang lebih cepat karena pengguna tidak lagi perlu memasukkan password maupun menunggu kode OTP melalui SMS.
Microsoft juga telah menyediakan dokumentasi lengkap mengenai proses implementasi serta pengelolaan autentikasi passwordless berbasis passkey di Microsoft Entra ID untuk membantu organisasi melakukan migrasi secara bertahap sebelum penghentian SMS dan voice pada Februari 2027.
Sumber: Microsoft








