Microsoft si sta ufficialmente allontanando dall’autenticazione basata su SMS per gli account personali mentre l’azienda spinge gli utenti verso passkey, app di autenticazione e metodi di accesso senza password.
In un avviso di supporto aggiornato, Microsoft ha confermato che smetterà gradualmente di utilizzare codici SMS per l’autenticazione e il recupero degli account personali Microsoft. L’azienda ha dichiarato che “l’autenticazione basata su SMS è ora una fonte principale di frodi”, citando rischi crescenti legati ad attacchi di phishing, scambio di SIM e acquisizioni di account basate su dispositivi mobili.
La modifica riguarda gli account consumer Microsoft utilizzati in servizi come Outlook, OneDrive, Xbox e Windows. Gli utenti che attualmente si affidano ai codici di verifica tramite messaggi di testo per l’autenticazione a due fattori saranno sempre più incoraggiati a passare a passkey, metodi di recupero email verificati o all’app Microsoft Authenticator.
Microsoft non ha ancora annunciato una scadenza definitiva per rimuovere completamente il supporto alla verifica via SMS. Tuttavia, i rapporti indicano che l’azienda ha già iniziato a limitare le opzioni di accesso via SMS per i nuovi account personali creati, promuovendo attivamente alternative senza password tramite Windows 11 e prompt di accesso agli account Microsoft.
L’azienda ha descritto le passkey come un metodo di autenticazione più sicuro perché si basano su credenziali crittografiche memorizzate direttamente sui dispositivi degli utenti piuttosto che su codici monouso trasmessi tramite reti mobili. Le passkey utilizzano tipicamente sistemi di autenticazione basati su dispositivi come impronte digitali, riconoscimento facciale o verifica PIN.
I ricercatori di sicurezza hanno da tempo avvertito che l’autenticazione via SMS comporta rischi significativi. Gli attacchi di scambio SIM permettono ai criminali di dirottare numeri di telefono ingannando gli operatori mobili affinché trasferiscano il numero della vittima su dispositivi controllati dagli attaccanti. Una volta riusciti, gli attaccanti possono intercettare i codici di autenticazione e aggirare le protezioni degli account.
La mossa di Microsoft riflette un più ampio spostamento del settore che si allontana dall’autenticazione a due fattori basata su SMS. Aziende come Google, Apple e diverse grandi istituzioni finanziarie hanno adottato sempre più passkey e sistemi di autenticazione hardware come parte di più ampie iniziative di sicurezza senza password.
Nonostante i vantaggi di sicurezza, alcuni utenti hanno espresso preoccupazioni riguardo al fatto di affidarsi esclusivamente a passkey e sistemi di autenticazione basati su dispositivi. I critici sostengono che gli utenti che perdono l’accesso ai dispositivi affidabili potrebbero incontrare difficoltà nel recupero dell’account se i metodi di backup non sono configurati correttamente.
Microsoft ha detto che gli utenti dovrebbero aggiungere più metodi di recupero ai loro account prima che la verifica via SMS venga completamente eliminata. L’azienda raccomanda di abilitare app autenticatrici, indirizzi email di backup e chiavi di accesso per ridurre il rischio di blocchi e migliorare la sicurezza degli account.