Microsoft elimina i codici SMS per l’autenticazione a due fattori

Se hai un account Microsoft e usi gli SMS per la verifica in due passaggi, preparati a cambiare metodo. L’azienda ha annunciato che smantellerà l’autenticazione via codice di testo per gli account personali, definendo gli SMS “una delle principali fonti di frode”.

Microsoft ha già spostato i nuovi account verso un ambiente senza password: dall’anno scorso, le passkey sono il metodo predefinito in fase di registrazione. Ora il passo successivo è eliminare gradualmente i codici SMS sia per l’autenticazione a due fattori (2FA) che per il recupero dell’account. L’alternativa sarà usare passkey, app di autenticazione o un indirizzo email di backup verificato.

I codici SMS sono comodi e veloci da impostare, ma sono anche tra i metodi meno sicuri per la 2FA. Sono vulnerabili al phishing e agli attacchi SIM swap, dove un malintenzionato riesce a duplicare la tua scheda SIM e intercettare i messaggi. Le app di autenticazione (che generano codici temporanei validi 30 secondi) sono un po’ più sicure, ma l’opzione migliore resta quella basata su WebAuthn, come passkey e metodi biometrici.

Una passkey sfrutta l’autenticazione integrata del dispositivo: scansione del volto, impronta digitale o PIN. Può essere sincronizzata tra più dispositivi tramite un gestore di password. Una volta configurata, puoi accedere ai tuoi account su qualsiasi dispositivo autorizzato. Le passkey non possono essere rubate con phishing: funzionano solo sul dominio legittimo per cui sono state create, quindi non ti chiederanno di autenticarti su un sito clone, e richiedono che il dispositivo fidato sia fisicamente vicino a quello che stai usando per l’accesso.

Microsoft non ha fissato una data precisa per la disattivazione dei codici SMS, ma il messaggio è chiaro: se usi ancora questo metodo, è il momento di cambiare.