Foto di Onur Binay.

Microsoft ha confermato che inizierà a eliminare gradualmente l'uso degli SMS come metodo di autenticazione e recupero per gli account personali, sostituendoli con passkey e email verificate. La decisione deriva dall'aumento degli attacchi basati del tipo SIM swap e intercettazione dei messaggi, che rendono gli SMS uno dei vettori più sfruttati per il furto di account. In sostanza si punta a un modello di accesso completamente privo di password, basato su standard moderni e resistenti al phishing.

La transizione coinvolgerà tutti gli utenti con account personali Microsoft, che al momento dell'accesso riceveranno un invito a configurare una passkey. Il sistema consente di autenticarsi tramite biometria, PIN locale o credenziali integrate nei dispositivi Apple e Google, riducendo la dipendenza da codici temporanei inviati via SMS. L'obiettivo è semplificare l'esperienza di login e ridurre l'esposizione a tecniche di attacco consolidate. Microsoft spiega che gli SMS non sono più considerati un metodo sicuro, poiché vulnerabili a intercettazioni, phishing e clonazione della SIM. «L'autenticazione basata su SMS è oggi una delle principali fonti di frode» spiega Microsoft, sottolineando come la progressiva eliminazione di questo sistema sia necessaria per mantenere un livello di sicurezza adeguato alle minacce attuali.

Le passkey rappresentano il fulcro del nuovo sistema di autenticazione. Si basano sullo standard FIDO2 e utilizzano chiavi crittografiche generate sul dispositivo dell'utente, impedendo che le credenziali possano essere sottratte o riutilizzate da attaccanti remoti. L'accesso avviene tramite impronta digitale, riconoscimento facciale o PIN locale, senza trasmissione di segreti attraverso la rete. Questo approccio elimina il rischio di intercettazione tipico degli SMS. Oltre a migliorare la sicurezza, le passkey riducono i tempi di accesso. Microsoft evidenzia che non sarà più necessario attendere l'arrivo di un codice via SMS, spesso soggetto a ritardi o problemi di consegna. L'autenticazione diventa immediata e integrata nel dispositivo, con la possibilità di utilizzare anche account Apple e Google per un accesso rapido tramite un clic.

La rimozione degli SMS riguarda anche il recupero degli account. Gli utenti dovranno associare un'email verificata, che diventerà il canale principale per il ripristino dell'accesso. Microsoft sottolinea che questo metodo è più affidabile, poiché non dipende dal numero di telefono, che può essere perso, disattivato o trasferito: «email verificata e passkey garantiscono opzioni di recupero sicure e affidabili anche in caso di cambio di dispositivo».

Spunti di approfondimento:

Google introduce Recovery Contacts: recuperare l'account è più fac...

16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook...

Microsoft inaugura l'era degli account senza password

Gmail, addio agli SMS per l'autenticazione a due fattori

La transizione sarà accompagnata da un processo guidato che inviterà gli utenti a configurare una passkey e verificare l'indirizzo email. Il sistema fornirà istruzioni passo passo, con la possibilità di creare la passkey direttamente durante il login. Microsoft indica che la procedura è progettata per essere semplice e non richiedere competenze tecniche specifiche. Le FAQ chiariscono che gli utenti potranno continuare a recuperare l'account anche in caso di perdita del telefono, grazie alla combinazione di email verificata e passkey. Il sistema è progettato per garantire continuità di accesso indipendentemente dal dispositivo utilizzato, evitando i problemi tipici dei codici inviati via SMS.

Per approfondire:

2030, Mastercard elimina il numero della carta di credito.

Passkey in pratica: proteggere un account Google

Addio password, benvenuta passkey?

WhatsApp ora supporta Passkey