Il 15 Settembre Microsoft ha pubblicato un avviso per tutti i milioni di utenti con account Microsoft: un annuncio che concretizza quella che fino ad adesso era solo un'idea, ovvero il superamento delle password come strumento di sicurezza. L'annuncio è semplice: cancellate le password. Non modificare: cancellare completamente e per sempre.
Microsoft ha annunciato questa volontà molto tempo fa: l'idea è quella di trovare un metodo di autenticazione più efficace e sicuro, eliminando i problemi legati alle difficoltà di memorizzare le password, alla facilità di esporle e al rischio di usarne di eccessivamente deboli. E i dati sono chiari: 579 tentativi di furto password al giorno, 18 miliardi di tentativi l'anno.
Ora quel che era una proiezione della volontà si fa concreta: gli utenti con account consumer possono adesso, anzichè digitare la password e confermare l'accesso con l'OTP, accedere usando una specifica app chiamata Microsoft Authenticator, già disponibile su iOS e Play Store.
Al momento di accedere all'account Microsoft, apparirà una notifica sul dispositivo che l'utente avrà indicato in precedenza che richiederà conferma dell'accesso. Insomma l'accesso avverrà solo se l'utente confermerà di averlo effettuato e lo farà tramite il dispositivo terzo abilitato in precedenza. Un sistema che risolve un altro problema, ovvero il rischio di SIM swapping quando si utilizza, come metodo di autenticazione multi fattore, l'OTP via SMS. Risolve anche un problema non secondario, legato ai limiti di "archiviazione" degli utenti: nell'impossibilità di ricordare molteplici password sempre più complesse, il cui numero cresce esponenzialmente a causa della molteplicità di account e servizi che ognuno di noi ormai ha, moltissimi utenti utilizzano più volte la stessa password per account diversi. Se un attaccante entra in possesso di una password ripetuta su più account, può irrompere ovunque. Microsoft Authenticator annulla il problema, perchè mantiene la sicurezza dell'account tramite un dispositivo terzo e l'interazione dell'utente.
Insomma, un nuovo meccanismo di autenticazione che elimina la necessità di ricordarsi la password e si affianca all'autenticazione multi fattore basata sul riconoscimento biometrico. E' corretto ricordare che, in cybersecurity, il rischio 0 non è possibile. Microsoft Authenticator non fa eccezione: se un attaccante ha compromesso in precedenza l'indirizzo email o il dispositivo registrato tramite il quale l'app invia il codice temporaneo, potrà avere accesso ai codici. Ecco perchè, nonostante questa novità sia stata apprezzata dagli esperti di settore, molti rimangono convinti che l'uso dei fattori biometrici sarà il vero futuro della cybersecurity.
Qualche info su Microsoft Authenticator
L'app, una volta scaricata e installata sul dispositivo, cancella automaticamente tutte le password salvate nell'account Microsoft. Se si vuole accedere, l'app invierà sul dispositivo registrato o all'indirizzo email indicato, un codice temporaneo da inserire al momento di autenticarsi. L'app entra in funzione ogni volta che viene rilevato un tentativo di login da nuovo dispositivo, ma anche se l'accesso avviene da una parte del mondo non correlata alla localizzazione solita dell'utente.
Qui la guida ufficiale di Microsoft per l'app Authenticator
Nessun commento:
Posta un commento