Sta succedendo qualcosa di curioso. Le password, ispiratrici di imprecazioni persino artistiche, stanno lentamente andando verso l’eterno riposo e a lamentarsi sono proprio gli utenti che le detestano.
Microsoft, insieme a Google, Apple e ad altri big del Tech, si stanno impegnando per rendere i processi di autenticazione più solidi e sicuri, così Microsoft Authenticator sta apportando dei cambiamenti che, in sintesi, possono essere spiegati così:
- Dal primo giugno non salva nuove password.
- Durante il mese di luglio verrà disattivato il riempimento automatico.
- A partire dal primo giorno di agosto le password precedentemente salvate saranno inaccessibili.
L’obiettivo dichiarato di questa roadmap è quello di usare altri sistemi, su tutti le passkey.
La carne al fuoco è tanta, andiamo con ordine, lasciando a Pierluigi Paganini, Ceo Cybhorus e direttore dell’Osservatorio sulla Cybersecurity Unipegaso, il compito di tirare le somme sul futuro delle password.
Indice degli argomenti
Cosa è Microsoft Authenticator e cosa sono le passkey
Ricorrendo alla definizione ufficiale, Microsoft Authenticator è un’app per dispositivi mobili mediante la quale è possibile accedere a diversi account online senza utilizzare password.
Veste i panni di metodo di accesso principale ma anche di secondo livello di sicurezza (autenticazione a due fattori) rilasciando OTP della durata di 30 secondi, consentendo l’accesso con Pin, con notifiche push da approvare sullo smartphone oppure facendo ricorso al riconoscimento del volto o dell’impronta digitale degli utenti.
Viene così meno il concetto di password in favore delle passkey, credenziali digitali crittografate che consentono l’accesso più sicuro a siti e applicazioni senza che l’utente debba digitare alcunché.
I perché di Microsoft
La decisione di eliminare le password da Microsoft Authenticator è riconducibile a due motivi principali. Da una parte c’è l’ormai innegabile vulnerabilità delle password, spesso usate alla leggera dagli utenti, amministrate in modo perfettibile dalle organizzazioni e sempre più scevre della loro naturale riservatezza (chi non ha mai visto una password scritta su un foglietto attaccato a un monitor?). La deriva passwordless di Microsoft è comunque un’evoluzione dovuta.
Dall’altra parte ha un peso specifico la volontà di Microsoft di fare ricorso alle passkey le quali, in virtù della crittografia, si rivelano meno esposte al rischio di compromissione e ai pericoli del phishing.
Ragioni le cui origini si perdono in un fallimento e che obbligano a rivedere la gestione delle password entro la fine di luglio. Il primo agosto Microsoft Authenticator perderà parte delle proprie facoltà ed è opportuno non cedere al fascino degli ombrelloni prima di essere corsi ai ripari.
Le policy di gruppo
Microsoft ha a lungo profuso un certo impegno per diffondere la cultura della robustezza delle password. Gli amministratori di sistema conoscono la policy di gruppo “Password must meet complexity requirements” la quale, di default, impone che gli utenti creino con una certa regolarità parole d’accesso miscelando lettere maiuscole e minuscole, numeri e caratteri speciali, evitando anche di riutilizzare le password o di modificarle in modo parziale.
Questa policy, soprattutto nelle organizzazioni meno grandi, è stata spesso contestata dagli utenti che si sono limitati a giudicarla per l’eccessiva rigidità, rifuggendo quindi l’utilità delle password per la tutela della continuità aziendale e quindi anche del proprio stipendio. Avere guardato la forma e raramente la sostanza ha contribuito a togliere alle password la loro stessa raison d’être.
I rischi della transizione
È verosimile attendere un’intensificazione degli attacchi mirati a ottenere password prima che queste vengano accantonate. Una facile previsione è l’ipotesi che, mediante tecniche di phishing, i criminal hacker possano ricorrere a email fasulle apparentemente inviate da Microsoft indicando procedure per la migrazione urgente delle password riuscendo così a farsele consegnare.
Non di meno, il cyber crimine potrebbe intensificare gli attacchi ai server per entrare in possesso di interi file contenenti le password degli utenti di un’organizzazione. Argomento che affrontiamo in seguito con l’ingegner Pierluigi Paganini.
L’esportazione delle password
La transizione può essere fatta in diversi modi. Tra i più facili c’è l’importazione delle password gestite da Microsoft Authenticator direttamente nel browser Edge, soluzione comoda ma non per forza di cose a prova di bomba.
Gli infostealer, malware che esportano credenziali salvate nei browser, sono oggi abbastanza diffusi – Lumma è solo uno dei tanti – e alimentano il mercato nero. Sul Dark web si trovano dataset di diverse decine di gigabyte che contengono informazioni sottratte a utenti ignari.
Un’altra soluzione è il ricorso a un password manager, qui abbiamo spiegato come sceglierne uno.
Tuttavia, il percorso più ricco di senso è quello di adottare il più possibile le passkey in luogo delle password e aderire alla politica passwordless anche se, come vedremo sotto, può rappresentare una fase non immediata.
Le riflessioni di rito
Come scritto sopra, non dovrebbe sorprende l’intensificarsi delle pressioni del cyber crimine durante le prossime settimane. Infatti, come spiega Pierluigi Paganini: “è lecito aspettarsi un aumento degli attacchi prima dell’entrata in vigore delle passkey.
Nell’ultimo anno, come riportato da Microsoft, si è registrato un marcato aumento delle attività mirate alle credenziali utente. Durante la transizione, i criminali cercheranno di sfruttare la finestra in cui le password continueranno a essere in uso per i processi di autenticazione, prima che vengano eliminate in agosto.
Pertanto, nelle settimane precedenti alla definitiva adozione delle passkey potrebbero ulteriormente intensificarsi campagne di phishing, attacchi di credential stuffing e altri attacchi focalizzati sull’accesso via password”.
Infine, una breve parentesi sull’opportunità di privilegiare le passkey e sul futuro delle password così come le conosciamo oggi: “ Le passkey consentono di innalzare ulteriormente la sicurezza degli account utente. Basate su schemi crittografici a chiave pubblica/privata e legate a dispositivi e dati biometrici, risultano resistenti a furto, phishing e divulgazioni di database contenenti password compromessi da servizi online in passato.
Tuttavia, non credo le password scompariranno del tutto nel breve termine. Molti sistemi legacy, ambienti enterprise e flussi di lavoro automatizzati continuano a fare affidamento sulle password, e questi richiederanno del tempo per completare la migrazione. Inoltre, le passkey implicano anche modelli di backup e recupero che, se non ben gestiti, possono introdurre nuovi rischi.
Continuiamo il percorso verso un mondo ‘passwordless’, ma usando le password come supporto temporaneo, assicurandoci che siano forti, uniche e gestite tramite password manager di qualità, abbinati ad autenticazione a più fattori/passkey”, conclude l’esperto.
