Microsoft elimina i codici SMS dall’autenticazione a due fattori per account personali

Microsoft ha annunciato che gli account personali non potranno più usare i codici SMS per l’autenticazione a due fattori (2FA) e il recupero password. L’azienda, come riportato da Windows Latest, considera i messaggi di testo “una delle principali fonti di frode” e spinge gli utenti verso metodi più sicuri: passkey, app di autenticazione e indirizzi email di backup verificati.

La mossa non arriva all’improvviso. Già l’anno scorso Microsoft aveva impostato le passkey come metodo predefinito per i nuovi account. Ora si tratta di un passo ulteriore: eliminare gradualmente una delle opzioni più vecchie e meno sicure. I codici SMS sono facili da attivare e comodi, ma sono vulnerabili a phishing e attacchi SIM swap. Le app di autenticazione — quelle che generano codici temporanei da 30 secondi — sono leggermente più sicure, ma non quanto le credenziali WebAuthn.

Le passkey funzionano con il riconoscimento biometrico del dispositivo (impronta digitale, scansione del viso) o con un PIN. Possono essere sincronizzate tra dispositivi tramite gestori di password e funzionano solo sul dominio legittimo per cui sono state create: se tenti di accedere a un sito contraffatto, non ti verrà chiesto di autenticarti. Inoltre richiedono che il dispositivo fidato sia fisicamente vicino a quello su cui stai facendo l’accesso, impedendo di fatto l’uso remoto dell’account.

Microsoft non ha ancora fissato una data precisa per il taglio definitivo dei codici SMS, ma gli utenti con account personali dovrebbero prepararsi a cambiare metodo a breve.