Microsoft dice addio agli SMS e punta tutto sulle passkey per l'accesso a Windows 11

Microsoft ha deciso di archiviare uno dei meccanismi di autenticazione più diffusi dell’ultimo decennio: i codici SMS usati per verificare l’accesso agli account personali. La scelta riguarda l’intero universo consumer, quindi Outlook.com, OneDrive, Xbox, Microsoft 365 personale e naturalmente Windows 11. L’azienda di Redmond ha confermato che gli SMS non saranno più utilizzabili né per l’autenticazione a due fattori né per il recupero degli account.

La mossa arriva dopo anni di avvisi lanciati dalla comunità della sicurezza informatica. Gli SMS hanno rappresentato per molto tempo il compromesso ideale tra semplicità e protezione: bastava un numero di telefono e un codice a 6 cifre per aggiungere un secondo fattore di autenticazione.

Il modello di sicurezza delle reti telefoniche nasce tuttavia in un’epoca molto diversa da quella attuale: i protocolli storici della telefonia mobile, compreso il sistema SS7 usato dagli operatori per instradare chiamate e messaggi, non erano stati progettati per resistere a campagne di phishing avanzato, attacchi SIM swap o intercettazioni mirate.

Microsoft: l’autenticazione via SMS va abbandonata

Anche secondo la società guidata da Satya Nadella, l’autenticazione via SMS è ormai una delle principali fonti di frode legate agli account online.

Negli ultimi anni sono aumentati in modo evidente gli attacchi che sfruttano la clonazione delle SIM, il social engineering contro gli operatori telefonici e il furto di OTP via malware Android.

Diverse indagini pubblicate da operatori del settore mostrano come il furto di un numero telefonico consenta agli aggressori di prendere rapidamente il controllo di caselle email, wallet crypto, servizi cloud e piattaforme bancarie.

L’accelerazione verso il modello passwordless con le passkey

Lo strumento scelto da Microsoft per la transizione sono le passkey, cioè credenziali crittografiche basate sugli standard FIDO2 e WebAuthn.

Invece di digitare una password o ricevere un codice temporaneo via SMS, l’utente usa l’autenticazione locale: riconoscimento facciale, impronta digitale oppure PIN associato al dispositivo.

Il funzionamento è molto diverso anche rispetto ai tradizionali codici OTP (one-time password): si pensi a quelli gestiti attraverso un’app authenticator. Quando si crea una passkey, il dispositivo genera una coppia di chiavi crittografiche: una pubblica e una privata. La chiave privata resta salvata nel dispositivo e non lascia mai l’hardware locale; la chiave pubblica è inviata al sito o al servizio al quale l’utente vuole accedere. Quest’ultimo, al momento del login, inviata al dispositivo una challenge (“sfida”), il dispositivo la firma con la chiave privata e viene prodotto un messaggio verificabile dal sito con la chiave pubblica dell’utente.

Microsoft decide di puntare sulle passkey perché di fatto azzerano il rischio di phishing: anche se un utente finisse su un sito clone perfettamente identico all’originale, la passkey non potrebbe autenticarsi su un nome di dominio diverso da quello previsto.

Integrazione con Windows Hello e servizi multipiattaforma

Nei PC Windows moderni entra in gioco Windows Hello, che sfrutta componenti hardware dedicati come il TPM integrato nei notebook recenti. Nei modelli compatibili con autenticazione biometrica, il sistema usa telecamere IR per il riconoscimento facciale oppure lettori di impronte digitali certificati. Il PIN locale, spesso sottovalutato, non funziona come una password tradizionale: resta confinato nel dispositivo e serve soltanto a sbloccare la chiave privata conservata nel TPM.

Microsoft sta inoltre integrando le passkey con i servizi multipiattaforma. Le credenziali possono essere sincronizzate tramite iCloud Keychain, Google Password Manager o Microsoft Authenticator. In teoria il vantaggio è evidente: perdere lo smartphone non significa automaticamente perdere l’accesso all’account; di contro, in tanti storcono il naso per via del fatto che la chiave privata esce dal perimetro del dispositivo locale. In molti considerano più saggio usare le passkey come sistema di autenticazione primario e poi abbinare strumenti solidi per il recupero dell’account in situazioni di emergenza.

Perché gli SMS non bastano più

Come anticipato in precedenza, gli SMS non garantiscono più un livello di affidabilità adeguato agli scenari moderni. Gli attacchi SIM swap sono ormai diventati una tecnica comune anche fuori dagli ambienti criminali più sofisticati: l’aggressore contatta il provider telefonico fingendosi il proprietario della linea e convince l’operatore a trasferire il numero su una nuova SIM. Da quel momento tutti i codici di conferma arrivano sul dispositivo dell’attaccante.

Il problema, inoltre, non riguarda soltanto il trasferimento fraudolento della SIM: in molti casi i malware Android intercettano direttamente le notifiche. Alcuni trojan bancari hanno perfezionato da tempo tecniche capaci di leggere i messaggi in arrivo, acquisire token MFA e persino simulare schermate di login delle app finanziarie.

Microsoft cita anche il phishing in tempo reale: nelle campagne AiTM – Adversary in The Middle – gli aggressori riescono a catturare password, cookie di sessione e codici OTP durante la stessa sessione di autenticazione dell’utente.

Con le passkey il modello cambia completamente perché l’autenticazione si lega al dominio e al dispositivo fisico.

Windows 11 e autenticazione moderna: cosa cambia

La decisione di Microsoft si inserisce in una strategia più ampia legata a Windows 11. Redmond da tempo cerca di ridurre la dipendenza dalle password classiche e di integrare meccanismi di autenticazione “phishing resistant” direttamente nel sistema operativo.

Le build recenti di Windows 11 mostrano già schermate che invitano l’utente ad accedere “più velocemente con volto, impronta o PIN“. L’obiettivo è trasformare l’autenticazione biometrica nella modalità predefinita.

Dal lato tecnico, il supporto alle passkey si basa sulle API WebAuthn integrate nel browser e nel sistema operativo: Microsoft Edge, Google Chrome e Mozilla Firefox supportano già questo modello e i servizi online possono quindi registrare una credenziale FIDO2 legata al dispositivo locale.

Le passkey non eliminano del tutto i rischi: se un attaccante ottiene accesso fisico al dispositivo già sbloccato oppure compromette il meccanismo di sincronizzazione cloud delle credenziali, può comunque verificarsi un furto dell’identità. La superficie d’attacco è però radicalmente ridotta rispetto all’uso degli SMS.