Dimentichiamoci pure le password, o almeno la password che usiamo per accedere al nostro account Microsoft: se abbiamo un computer Windows 10 o (prossimamente) Windows 11, possiamo usare altri metodi che non implicano sforzi di memoria, post-it o altri stratagemmi. E che, quel che più conta, metodi evitano tutti i rischi di attacchi informatici che portano al furto di credenziali e a successive violazioni degli account. L’applicazione Microsoft Authenticator, utilizzabile per l’accesso senza parola e fino a ieri riservata ai clienti di Azure Active Directory, ora è a disposizione di chiunque usi un computer con a bordo Windows 10 o Windows 11.
L’accesso può essere eseguito tramite Windows Hello (dunque tramite riconoscimento facciale, lettura dell’impronta digitale o PIN), usando una chiave di sicurezza o, ancora, un codice di verifica “usa e getta” recapitato via email o tramite Sms. Per farlo, è sufficiente eseguire l’accesso all’account Microsoft tramite Web (dal sito account.microsoft.com) e da lì abilitare la funzione di account senza password e poi l’applicazione Authenticator.
Ovviamente non è un obbligo: possiamo restare fedeli al vecchio metodo oppure provare quello nuovo ed eventualmente tornare sui nostri passi se dovessimo cambiare idea. Ma i dati sulla crescita del furto di credenziali nel dopo pandemia dovrebbero, forse, indirizzarci verso l’abbandono delle password.
L’applicazione di Microsoft Authenticator ha debuttato per i clienti di Azure Active Directory solo pochi mesi fa, dunque la sua estensione alla più ampia platea degli utenti Windows è stata piuttosto rapida. Ma d’altra parte la posizione dell’azienda di Redmond in merito alle credenziali tradizionali è nota ed è piuttosto radicale: Microsoft vuole liberarsi delle password, e ha cominciato a farlo al suo interno, sotto la guida del chief information security officer Bret Arsenault.
Negli ultimi anni l’uso della telemetria ha permesso di modificare le policy di sicurezza sull’aggiornamento periodico delle password usate dai dipendenti. Arsenault ha raccontato a Zdnet di aver ricevuto il suo primo applauso in oltre trent’anni di lavoro quando ha annunciato di aver eliminato la policy che costringeva i dipendenti a modificare le proprie password ogni 71 giorni. Grazie all’uso combinato di strumenti di telemetria, nel 2019 Microsoft è passata alla scadenza annuale per le credenziali dei dipendenti e dal 2020 l’obbligo di modifica è stato eliminato. Il Ciso si era espresso senza misure: “Nessuno ama le password. Tu le odi, gli utenti le odiano, i dipartimenti IT le odiano. Le uniche persone a cui piacciono sono i criminali”.