Passa ai contenuti principali

Microsoft ha appena compiuto un altro grande passo verso l'eliminazione definitiva delle password

Microsoft sta estendendo la sua opzione di accesso senza password dai clienti aziendali che utilizzano Azure Active Directory (AAD) agli account Microsoft consumer su PC Windows 10 e Windows 11.

"Stiamo estendendo ai consumatori la stessa tecnologia senza password che avevamo per gli annunci commerciali all'inizio di quest'anno. È semplice da configurare. Se disponi di un account Microsoft, puoi utilizzare l'[app] Authenticator e in pochi passaggi puoi essere senza password ", afferma Vasu Jakkal, vicepresidente aziendale Microsoft della divisione Microsoft Security, Compliance, Identity and Management.

"Stiamo diventando completamente senza password per gli account Microsoft. Quindi non hai bisogno di una password."

Gli utenti spesso scelgono password errate perché sono facili da ricordare e queste password sono soggette ad attacchi di spruzzatura di password , in cui gli hacker utilizzano un elenco di password comuni contro gli account online sapendo che alcune persone le avranno utilizzate.

Ma questo significa la morte della password? Gli standard OAuth e FIDO2 stanno aiutando a introdurre modi più semplici per utilizzare gli smartphone come opzioni di autenticazione a due o più fattori (2FA, MFA).

Ma anche per un gigante del software come Microsoft, che ha oltre un miliardo di PC in uso oggi , la risoluzione del problema delle password richiede l'assistenza dell'intero settore, inclusi il sistema operativo, i produttori di browser e gli sviluppatori di applicazioni. PC Windows e account Microsoft per le app Microsoft, come Office. OneDrive e Outlook sono una parte importante della risposta, ma non sono il quadro completo.

Tuttavia, Jakkal insiste che Microsoft sta facendo progressi.

"Quasi il 100% dei nostri dipendenti non ha password. Usiamo Windows Hello e la biometria. Microsoft ha già 200 milioni di clienti senza password tra consumatori e aziende", afferma Jakkal.

Al momento, l'opzione per l'accesso senza password è solo per gli account Microsoft, ma si estende alle app Microsoft su iOS, Android e Windows.

Sebbene non sia così comune utilizzare gli account Microsoft per accedere ad app di terze parti, è più probabile che le persone con un account Microsoft utilizzino app di Office online come Teams, PowerPoint, Excel, Word o SharePoint.

L'app Microsoft Authenticator per iOS e Android ora offrirà ai consumatori la possibilità di utilizzare l'accesso senza password per le app supportate che si basano su un account Microsoft. Non hai bisogno di una password per accedere all'account Microsoft e ovunque usi quell'account per qualsiasi app lo stai usando, sei senza password.

Le app Microsoft che richiedono ancora una password includono:
  • Xbox 360 o versioni precedenti
  • Office 2010 o versioni precedenti
  • Office per Mac 2011 o versioni precedenti
  • Prodotti e servizi che utilizzano servizi di posta elettronica IMAP e POP
  • Windows 7, Windows 8.1, Windows 10 1809 o versioni precedenti.
  • Alcune funzionalità di Windows, tra cui Desktop remoto e Credential Manager

La spinta all'accesso senza password è stata uno sforzo pluriennale in corso in Microsoft e ha richiesto lavoro per sviluppare le specifiche per FIDO, l'organizzazione che guida l'autenticazione a due fattori e gli standard senza password, ha detto a ZDNet il vicepresidente aziendale di Microsoft Identity, Alex Simons.

"Si trattava di una modifica del protocollo Windows Hello che avevamo originariamente creato per l'utilizzo da parte di Microsoft. Google e Microsoft lo hanno presentato insieme tramite FIDO e nel tempo abbiamo svolto un sacco di lavoro e oggi abbiamo ciò che conosciamo come WebAuthn e tutti gli standard di supporto che rendere possibile FIDO2."

Simons spiega che il supporto per l'accesso senza password con account Microsoft consumer significa che gli utenti finali possono rimuovere completamente le password come opzione di accesso. Ciò, in modo efficace, può eliminare la minaccia di attacchi di spruzzatura delle password per gli account Microsoft e incoraggia i consumatori a utilizzare metodi di accesso alternativi per accedere agli account Microsoft.

"Per la prima volta diamo agli utenti di account Microsoft non solo la possibilità di utilizzare l'autenticazione senza password, che hanno ormai da anni, ma in realtà la possibilità di entrare e rimuovere completamente le loro password. Quindi puoi sostanzialmente bloccare l'accesso con le password del tuo account Microsoft e insisti sempre su un fattore senza password che potrebbe essere Windows Hello o una chiave FIDO2 di partner come YubiKey o l'app Authenticator", afferma Simons.

"Stiamo anche spingendo Apple e Google a supportare lo standard in modo nativo", aggiunge.

Tag:

Commenti

Posta un commento

Popolari

CTF, talento e gioco di squadra. Il Team Italy pronto alla sfida europea

A Torino è stata presentata la squadra nazionale italiana di cybersicurezza, il Team Italy 2025-2026, composta da dieci studenti selezionati tra licei, istituti tecnici e università chiamati a rappresentare l’Italia nelle prossime competizioni nazionali e internazionali. La squadra parteciperà, a ottobre, allo European Cybersecurity Challenge che si terrà a Varsavia: una vetrina importante dove i giovani talenti mettono alla prova tecniche di difesa e attacco in scenari simulati e controllati. Alla base della preparazione c’è un approccio pratico e collettivo: training e addestramento gratuiti organizzati dal Cybersecurity National Lab del CINI, che trasformano il gioco in formazione concreta per professionisti di domani. Questo percorso mostra come il mondo delle CTF (capture the flag) non sia solo svago ma una palestra fondamentale per allenare competenze applicabili alla protezione di infrastrutture strategiche come ospedali, scuole e aeroporti. Le CTF vanno celebrate: offrono scena...
Posta un commento
Continua a leggere »

Il fantasma di Stuxnet. Quanto siamo pronti a fermare un attacco simile nel 2025

Quindici anni dopo la scoperta di Stuxnet, il malware che nel 2010 dimostrò la possibilità concreta di sabotare un impianto industriale attraverso il codice, la domanda sul ripetersi di un’operazione simile è più attuale che mai. All’epoca, la combinazione di zero-day Windows, driver firmati con certificati contraffatti e la manipolazione dei PLC Siemens che controllavano le centrifughe iraniane segnarono una svolta epocale: per la prima volta un’arma informatica aveva prodotto un effetto fisico su larga scala, nascosta dietro feedback falsificati che trassero in inganno gli operatori. Non era un malware generico, né un ransomware, ma una vera e propria operazione militare digitale disegnata per un obiettivo specifico. Dal 2010 al 2025 lo scenario è cambiato radicalmente. Le infrastrutture industriali sono sempre più connesse con reti IT e servizi cloud, ampliando una superficie d’attacco che un tempo era confinata in ambienti isolati. Le tecniche offensive si sono evolute: non solo ma...
Posta un commento
Continua a leggere »

iPhone 17 Pro, la nuova frontiera della sicurezza Apple

Apple ha presentato con la serie iPhone 17 (incluse le versioni Pro) una delle sue evoluzioni più importanti in ambito sicurezza, puntando esplicitamente a contrastare spyware sofisticati e vulnerabilità di memoria – tipico punto di ingresso per attacchi mirati. Ecco cosa cambia davvero, cosa resta da fare e perché queste novità sono rilevanti per chi si occupa di sicurezza informatica. Quando si parla di sicurezza sui nuovi iPhone 17 Pro, le innovazioni più significative sono: - Memory Integrity Enforcement (MIE): nuova protezione hardware/software “always-on” che combina vari meccanismi per impedire exploit basati su bug di memoria. - Enhanced Memory Tagging Extension (EMTE): è il “cuore” della protezione, su cui si basa la gestione più sicura della memoria, con tagging, confidenzialità dei tag, e allocatori di memoria più robusti. - Applicazione difensiva su aree sensibili del sistema, incluso il kernel e più di settanta processi “userland” considerati ad alto rischio. - MIE avrà ef...
Posta un commento
Continua a leggere »