Le password sono un problema. Hanno dimostrato in molteplici occasioni di dare un falso senso di sicurezza, per questo Gartner reputa che il 60% delle gradi imprese e il 90% di quelle medie passerà all'autenticazione senza password entro il 2022. Microsoft ha deciso di anticipare i tempi ed è in procinto di attivare il supporto per l'accesso senza password agli account Microsoft.

Non è un colpo di testa, ma una strategia ben pianificata. Nel 2020 il primo lockdown ha messo in risalto tutte le vulnerabilità delle protezioni degli account tramite password. A marzo 2021 il colosso di Redmond ha consentito per la prima volta ai clienti commerciali di implementare l'autenticazione senza password per l'acceso ai loro ambienti. Ora tale possibilità si amplia a tutta la clientela.

Le alternative alla password

Nel blog ufficiale di Windows, Liat Ben-Zur, Microsoft Corporate Vice President, spiega che gli utenti possono finalmente rimuovere la password dal proprio account Microsoft e accedere alle app e ai servizi Microsoft Edge e Microsoft 365 scegliendo tra l'app Microsoft Authenticator, Windows Hello, oppure il solito codice di verifica via SMS/email.

La novità permette di proteggere il proprio account Microsoft dai cyber attacchi, semplificando al contempo l'accesso ad app e servizi quali Microsoft 365, Microsoft Teams, Outlook, OneDrive, Family Safety, Microsoft Edge e altro ancora.

Per attivare questa funzione occorre installarel'app Microsoft Authenticatorsul proprio smartphone e collegarla al proprio account Microsoft. Quindi bisogna accedere alla pagina web del proprioaccount Microsoft e impostare Microsoft Authenticator come Metodo di accesso predefinito nelle Informazioni di sicurezza. A questo punto è sufficiente seguire le istruzioni visualizzate sullo schermo e approvare la notifica visualizzata dall'app Authenticator.

Microsoft assicura che questa opzione, così come Windows Hello, i codici SMS o le chiavi di sicurezza fisiche, "forniscono un metodo di accesso più sicuro" perché "le password possono essere indovinate, rubate o cedute involontariamente abboccando a messaggi di phishing, ma solo l'utente legittimo può fornire l'autenticazione tramite impronta digitale o confermare l'accesso tramite smartphone nel momento stesso in cui viene richiesto".

L'inefficacia delle password

Se qualcuno avesse ancora bisogno di dati sull'inefficacia delle password, Vasu Jakkal, Microsoft Corporate Vice President for Security, Compliance and Identity, fa presente che gli attaccanti si servono delle password deboli come vettore iniziale nella maggior parte degli attacchi. Microsoft rileva 579 attacchi alle password ogni secondo, per un totale di 18 miliardi di incidenti ogni anno.

Una persona su dieci ricicla le password, il 40% ammette di aver utilizzato un trucco per ricordare le proprie password, come per esempio Fall2021, che diventa Winter2021 e poi Spring2022 e così via. Inoltre, il 15% delle persone usa i nomi dei propri animali domestici, cognomi e date importanti come i compleanni. Tutte tecniche note ai criminali informatici.