L’autenticazione senza password sbarca anche nel mondo consumer di Microsoft. L’azienda di Redmond estende a tutti gli utenti l’adozione dell’autenticazione passwordless già introdotta in ambito Enterprise lo scorso mese di marzo.
Si tratta di un cambio di paradigma cruciale nella cyber security consumer, in cui il colosso di Redmond aiuta gli utenti a gestire in modo più sicuro le credenziali di accesso grazie a uno strumento ad hoc, l’app Microsoft Authenticator che si affianca a sistemi già in essere come Windows Hello, una security key o attraverso la verifica di un codice inviato via SMS o e-mail.
I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende
Indice degli argomenti
L’accesso ai servizi Microsoft è senza password
Finora gli utenti dovevano creare, archiviare o ricordare le password, a meno che non disponessero di password auto-generate, impossibili da memorizzare.
Ma le password sono vulnerabili per una serie di motivi. Spesso gli utenti consumer creano password deboli (la famosa 1234 e similari o il nome del cucciolo di casa citato sui social media, e dunque noto a tutti, come la data di nascita o i nomi dei familiari; addirittura, secondo Vasu Jakkal, Microsoft Corporate Vice President for Security, Compliance, and Identity, il 40% ricorre all’abusata formula di usare come password Autunno2021 a fine estate, che poi evolve in Inverno2021 e Primavera2022 al cambiare delle stagioni).
Oppure, se hanno creato una password “forte” (contenente almeno una lettera maiuscola e caratteri speciali), usano la stessa per una pletora di servizi per evitare di dimenticarla (un utente su 10); o ancora, se diventano vittime di data breach, subiscono l’esposizione delle loro credenziali di accesso ai differenti servizi online.
Sempre più comuni sono anche gli attacchi brute force che consistono nell’individuare una password provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri fino a trovare quella giusta.
Microsoft – che ha contato 579 attacchi alle password ogni secondo (pari a 18 miliardi di attacchi all’anno) – ha deciso che il futuro sarà senza password: quindi, anche gli utenti consumer, dopo quelli Enterprise, potranno gestire le password in maggior sicurezza usando l’app Authenticator.
Attacco alle password: tecniche di cracking e consigli per metterle al sicuro
Tre passaggi per l’upgrade a un nuovo livello di sicurezza
Per passare al nuovo livello di sicurezza, Microsoft invita anche i suoi utenti consumer ad effettuare i seguenti passaggi:
- collegare il proprio account Microsoft all’app Authenticator;
- selezionare le opzioni di sicurezza avanzate dal proprio account Microsoft, attivando Passwordless account dalle Opzioni di sicurezza addizionali;
- quando il messaggio Password removed, spuntato, appare sullo schermo significa che è completato l’upgrade al nuovo livello di sicurezza.
Il passaggio al nuovo livello di sicurezza parte da Microsoft Edge e da Microsoft 365 (Teams, Outlook, OneDrive e Family Safety), ma verrà progressivamente esteso a tutti i servizi della galassia del colosso di Redmond, per innalzare il livello medio di sicurezza di ogni singolo account.
Il futuro è sempre più passwordless
Pierluigi Paganini, Cyber Security Analyst e CEO CYBHORUS, spiega che “la scelta di Microsoft prosegue un progetto di abolizione delle password, già iniziato precedentemente nella fascia Enterprise, ora estendendo il percorso di aumento del livello di sicurezza al mondo consumer”.
Secondo Paganini, i principali vantaggi della decisione di Microsoft sono duplici: “l’aumento del livello di sicurezza degli utenti consumer”, finora non sempre capaci di “scegliere password forti”, anche perché, senza un password manager, temevano di dimenticarsele; ma anche nel caso virtuoso di scelte di password complesse, “anche gli utenti consumer più accorti e aggiornati rimanevano coinvolti nell’esposizione delle password forti in seguito ai data breach (vedi LinkedIn eccetera)”.
Gli utenti consumer sono infatti spesso vittime di attacchi di phishing e di data breach. In entrambi i casi le loro credenziali, sia password deboli che forti, possono diventare visibili agli attaccanti.
“L’innalzamento del livello di protezione grazie all’abbandono delle password in ambito consumer abbassa il rischio di esposizione anche degli utenti consumer agli attacchi che servivano a carpire le password per riutilizzarle”. Inoltre, afferma Paganini: “la scelta passwordless di Microsoft aumenta la user experience e semplifica la gestione delle credenziali per tutti”. Un passo avanti nella giusta direzione.
