ADSENSE
|
Questo post é stato letto 100 volte!
Microsoft dice addio agli sms, passkey e windows 11.
Microsoft sta rivoluzionando l’accesso agli account personali, inclusi Outlook.com, OneDrive, Xbox, Microsoft 365 e Windows 11, eliminando l’uso dei codici SMS per l’autenticazione.
Questa mossa strategica mira a rafforzare la sicurezza informatica, sostituendo un metodo considerato ormai vulnerabile con soluzioni più avanzate come le passkey, Windows Hello e l’autenticazione biometrica basata su standard FIDO2.
La transizione dalla sicurezza tramite SMS
Per anni, i codici SMS hanno rappresentato un compromesso accettabile tra facilità d’uso e protezione per l’accesso agli account online.
Tuttavia, la comunità della sicurezza informatica ha da tempo segnalato le carenze di questo sistema.
Le reti telefoniche, progettate in un’epoca diversa, non sono in grado di contrastare efficacemente le moderne minacce come il phishing avanzato, gli attacchi SIM swap e le intercettazioni mirate.
Microsoft riconosce che l’autenticazione via SMS è diventata una delle principali fonti di frodi online, con un aumento significativo di attacchi che sfruttano la clonazione delle SIM e il social engineering.
Perché gli SMS non sono più sufficienti
Gli attacchi SIM swap, in cui un aggressore trasferisce il numero di telefono della vittima su una nuova SIM, sono diventati sempre più comuni.
Questo permette ai criminali di ricevere codici di conferma e accedere agli account.
Inoltre, malware Android e trojan bancari sono in grado di intercettare messaggi, acquisire token MFA e simulare schermate di login, compromettendo ulteriormente la sicurezza.
Anche il phishing in tempo reale, tramite tecniche come AiTM, può catturare password e codici OTP durante la sessione di autenticazione dell’utente.
Con le passkey, il modello di sicurezza cambia radicalmente, legando l’autenticazione al dominio e al dispositivo fisico, riducendo significativamente questi rischi.
L’era delle passkey e l’autenticazione senza password
La soluzione scelta da Microsoft per questa transizione sono le passkey, credenziali crittografiche che aderiscono agli standard FIDO2 e WebAuthn.
Invece di password o codici temporanei, l’utente si autentica localmente tramite riconoscimento facciale, impronta digitale o PIN associato al dispositivo.
Come funzionano le passkey
A differenza dei tradizionali codici OTP, le passkey generano una coppia di chiavi crittografiche: una privata, che rimane sul dispositivo, e una pubblica, inviata al servizio online.
Al momento del login, il servizio invia una “challenge” al dispositivo, che la firma con la chiave privata.
Questo crea un messaggio verificabile dal servizio tramite la chiave pubblica.
Questo meccanismo elimina il rischio di phishing, poiché la passkey può autenticarsi solo su un nome di dominio specifico, impedendo l’accesso da siti clone.
Integrazione con windows hello e servizi multipiattaforma
Nei PC Windows moderni, Windows Hello sfrutta componenti hardware come il TPM (Trusted Platform Module) e telecamere IR o lettori di impronte digitali per l’autenticazione biometrica.
Il PIN locale, spesso sottovalutato, non è una password, ma serve a sbloccare la chiave privata custodita nel TPM.
Microsoft sta anche integrando le passkey con servizi multipiattaforma, consentendo la sincronizzazione tramite iCloud Keychain, Google Password Manager o Microsoft Authenticator.
Sebbene la sincronizzazione cloud offra comodità, solleva anche preoccupazioni sulla sicurezza della chiave privata fuori dal dispositivo locale. È consigliabile utilizzare le passkey come sistema primario e abbinarle a robusti strumenti di recupero account.
Strategia di sicurezza per windows 11
La decisione di Microsoft si inserisce in una strategia più ampia per Windows 11, volta a ridurre la dipendenza dalle password tradizionali e a integrare meccanismi di autenticazione “phishing resistant”.
Le build recenti di Windows 11 incoraggiano gli utenti a utilizzare l’autenticazione biometrica, che si basa sulle API WebAuthn supportate dai browser moderni come Microsoft Edge, Google Chrome e Mozilla Firefox.
Sebbene le passkey riducano drasticamente i rischi, è importante notare che l’accesso fisico non autorizzato al dispositivo o la compromissione del meccanismo di sincronizzazione cloud delle credenziali potrebbero comunque portare a un furto di identità.
Tuttavia, la superficie d’attacco è notevolmente ridotta rispetto all’uso degli SMS.
Questo post é stato letto 100 volte!