Microsoft inizierà a rendere le passkey il metodo di autenticazione predefinito per Microsoft Entra ID entro la fine dell’anno, come parte di un più ampio allontanamento dall’autenticazione multifattore basata su SMS e voce. La transizione inizierà il 1° settembre 2026, mentre i servizi nativi di autenticazione SMS e vocale di Microsoft saranno ritirati il 1° febbraio 2027.
Con il lancio, gli utenti che attualmente si affidano all’autenticazione SMS o vocale diventeranno automaticamente idonei per le passkey. Durante i futuri accessi di autenticazione multifattore, verrà chiesto loro di registrare una chiave di accesso, anche se inizialmente potranno saltare la registrazione. Microsoft ha dichiarato che i cambiamenti saranno distribuiti gradualmente su tutti i tenant Entra ID.
Dopo il 1° febbraio 2027, Microsoft non fornirà più l’autenticazione SMS o vocale direttamente tramite Entra ID. Le organizzazioni che necessitano ancora di tali metodi per motivi normativi o operativi dovranno configurare un fornitore di telecomunicazioni di terze parti tramite il Microsoft Security Store. Eventuali costi di telecomunicazione associati saranno responsabilità del cliente.
Microsoft said Il cambiamento è guidato dalla crescente sofisticazione degli attacchi identitari. Secondo l’azienda, i metodi di autenticazione basati su SMS e chiamate vocali sono sempre più vulnerabili a phishing, scambio di SIM, intercettazione e ingegneria sociale, mentre le passkey si basano su crittografia a chiave pubblica resistente a questi attacchi.
L’azienda incoraggia gli amministratori a prepararsi prima dell’inizio del lancio, abilitando le chiavi di accesso, informando gli utenti sul processo di registrazione e rivedendo se l’autenticazione tramite telefono sia ancora richiesta all’interno delle loro organizzazioni. Le aziende che intendono continuare a utilizzare l’autenticazione SMS o vocale sono consigliate di selezionare e configurare un fornitore di telecomunicazioni supportato ben prima della scadenza di ritiro di Microsoft, per evitare interruzioni del servizio.
L’annuncio arriva mentre Microsoft continua ad espandere l’autenticazione senza password in tutto il suo ecosistema. Le passkey sono già supportate negli account Microsoft, Windows e Microsoft 365, e l’azienda ha promosso costantemente l’autenticazione resistente al phishing come parte della sua Iniziativa Secure Future. Le ultime modifiche di Entra ID estendono questa strategia anche alla gestione dell’identità aziendale, con Microsoft posizionando le passkey come metodo principale di autenticazione per le organizzazioni in futuro.