La notizia era nell’aria da tempo, ma adesso è ufficiale: Microsoft ha deciso di eliminare i codici SMS come metodo di autenticazione per gli account consumer. Niente più messaggini con il codicino a 6 cifre per accedere a Outlook.com, OneDrive, Xbox, Microsoft 365 personale e, soprattutto, Windows 11. L’azienda di Redmond ha confermato che gli SMS non saranno più utilizzabili né per l’autenticazione a due fattori né per il recupero degli account.
La scelta non nasce dal nulla. Da anni la comunità della sicurezza informatica segnalava che affidarsi agli SMS come secondo fattore di autenticazione era diventato un rischio più che una protezione. I protocolli su cui si basa la telefonia mobile, incluso il sistema SS7 usato dagli operatori per instradare chiamate e messaggi, non erano stati pensati per reggere l’urto di campagne di phishing avanzato, attacchi SIM swap o intercettazioni mirate. Eppure per tanto tempo quel compromesso tra semplicità e sicurezza aveva funzionato. Ora non più.
Anche secondo la società guidata da Satya Nadella, l’autenticazione via SMS è diventata una delle principali fonti di frode legate agli account online. Negli ultimi anni gli attacchi che sfruttano la clonazione delle SIM, il social engineering contro gli operatori telefonici e il furto di codici OTP tramite malware Android sono aumentati in modo evidente. Il furto di un numero telefonico consente agli aggressori di prendere rapidamente il controllo di caselle email, wallet crypto, servizi cloud e piattaforme bancarie.
Le passkey come nuovo standard di accesso
Lo strumento su cui Microsoft ha deciso di puntare sono le passkey, credenziali crittografiche basate sugli standard FIDO2 e WebAuthn. Il meccanismo è completamente diverso dal classico codice temporaneo ricevuto via SMS. Quando si crea una passkey, il dispositivo genera una coppia di chiavi crittografiche: una pubblica e una privata. La chiave privata resta salvata nel dispositivo e non lascia mai l’hardware locale; quella pubblica viene inviata al sito o al servizio a cui ci si vuole collegare. Al momento del login, il servizio invia al dispositivo una “sfida” crittografica, il dispositivo la firma con la chiave privata, e il sito verifica tutto con la chiave pubblica.
L’utente, in pratica, non deve più digitare password né aspettare codici: basta il riconoscimento facciale, l’impronta digitale oppure un PIN associato al dispositivo. Microsoft punta sulle passkey perché azzerano di fatto il rischio di phishing. Anche se qualcuno finisse su un sito clone perfettamente identico all’originale, la passkey non potrebbe autenticarsi su un dominio diverso da quello previsto.
Nei PC Windows moderni entra in gioco Windows Hello, che sfrutta componenti hardware dedicati come il TPM integrato nei notebook recenti. Nei modelli compatibili con autenticazione biometrica, il sistema usa telecamere IR per il riconoscimento facciale oppure lettori di impronte digitali certificati. Il PIN locale, spesso sottovalutato, non funziona come una password tradizionale: resta confinato nel dispositivo e serve soltanto a sbloccare la chiave privata conservata nel TPM.
Microsoft sta inoltre integrando le passkey con i servizi multipiattaforma. Le credenziali possono essere sincronizzate tramite iCloud Keychain, Google Password Manager o Microsoft Authenticator. Perdere lo smartphone, in teoria, non significa automaticamente perdere l’accesso all’account. Dall’altra parte, però, c’è chi storce il naso perché la chiave privata in quel caso esce dal perimetro del dispositivo locale. Molti considerano più saggio usare le passkey come sistema di autenticazione primario e abbinare strumenti solidi per il recupero dell’account in situazioni di emergenza.
Perché gli SMS non bastano più e cosa cambia con Windows 11
Il problema degli SMS va ben oltre il SIM swap. In molti casi i malware Android intercettano direttamente le notifiche. Alcuni trojan bancari hanno perfezionato da tempo tecniche capaci di leggere i messaggi in arrivo, acquisire token MFA e persino simulare schermate di login delle app finanziarie. Microsoft cita anche il cosiddetto phishing in tempo reale: nelle campagne AiTM (Adversary in The Middle) gli aggressori riescono a catturare password, cookie di sessione e codici OTP durante la stessa sessione di autenticazione dell’utente. Con le passkey il modello cambia completamente, perché l’autenticazione si lega al dominio e al dispositivo fisico.
La decisione si inserisce in una strategia più ampia legata a Windows 11. Redmond da tempo cerca di ridurre la dipendenza dalle password classiche e di integrare meccanismi di autenticazione resistenti al phishing direttamente nel sistema operativo. Le build recenti di Windows 11 mostrano già schermate che invitano ad accedere “più velocemente con volto, impronta o PIN”, con l’obiettivo di trasformare l’autenticazione biometrica nella modalità predefinita. Dal lato tecnico, il supporto alle passkey si basa sulle API WebAuthn integrate nel browser e nel sistema operativo: Microsoft Edge, Google Chrome e Mozilla Firefox supportano già questo modello.
Le passkey non eliminano del tutto i rischi: se un attaccante ottiene accesso fisico al dispositivo già sbloccato oppure compromette il meccanismo di sincronizzazione cloud delle credenziali, può comunque verificarsi un furto dell’identità. La superficie d’attacco è però radicalmente ridotta rispetto all’uso degli SMS.
