Microsoft lo aveva promesso da anni e ora quella promessa è diventata realtà: tutti i nuovi account Microsoft saranno passwordless. E non è solo marketing.
In parallelo, l’azienda di Redmond ha annunciato che le nuove identità digitali utilizzeranno di default le passkey, le chiavi di accesso basate sullo standard FIDO2 che mirano a superare definitivamente il concetto (superato e pericoloso) di “password”.
Quello che stiamo osservando non è solo un’evoluzione tecnica. È un cambio di paradigma nella gestione dell’identità digitale, un atto di guerra dichiarato contro uno dei più longevi e inaffidabili anelli deboli della sicurezza informatica: le credenziali statiche.
Indice degli argomenti
Addio (finalmente?) alla password
Non serviva Edward Snowden per capire che le password sono un disastro annunciato. Riutilizzate, troppo semplici, facilmente rubabili o violabili tramite phishing o brute-force. Eppure, sono sopravvissute per decenni, come fossili di un’era digitale che si ostina a non voler estinguersi.
Microsoft ha deciso che è ora di voltare pagina. I nuovi account creati dall’app Microsoft Authenticator, da Windows 11, oppure da dispositivi Android e iOS, non richiederanno più la creazione di una password. Il sistema proporrà direttamente un setup passwordless, usando opzioni biometriche (impronta, riconoscimento facciale), PIN locali (Windows Hello) oppure le passkey, generate e custodite in modo sicuro nel chip TPM del dispositivo o in cloud.
E per chi storce il naso davanti alle novità? C’è ancora la possibilità di usare una password. Ma bisognerà sceglierla attivamente. Un piccolo gesto che potrebbe risultare fastidiosamente anacronistico, come preferire il fax alla PEC.
Le passkey: la nuova “chiave” dell’identità digitale
Le passkey si basano su crittografia asimmetrica: una chiave privata rimane sul dispositivo dell’utente (inaccessibile al server e ai cyber criminali), mentre una chiave pubblica viene inviata al provider di servizi. Al momento dell’autenticazione, solo il dispositivo dell’utente può firmare la richiesta. Nessuna password da digitare, nessuna da rubare.
Apple, Google e ora Microsoft hanno deciso di abbracciare apertamente questo standard, mettendo finalmente da parte le “soluzioni cerotto” come l’autenticazione a due fattori tramite SMS (che, ricordiamolo, può essere aggirata con un banale attacco di SIM swapping).
La novità introdotta da Microsoft è che, d’ora in poi, le passkey verranno create automaticamente per ogni nuovo account, senza bisogno che l’utente capisca cosa siano, le configuri o ne faccia il backup manualmente. Una rivoluzione silenziosa, ma cruciale.
Microsoft e le passkey: promesse e ombre
Ovviamente, dietro questa mossa c’è anche un interesse aziendale. Microsoft sta investendo nel proprio ecosistema di sicurezza (Azure AD, Entra, Defender), e l’adozione delle passkey rafforza l’integrazione tra i suoi servizi.
Ma ci sono anche delle ombre.
- La gestione delle chiavi su più dispositivi non è ancora perfetta. Se cambio telefono, se perdo il portatile, se passo da Android a iOS, le passkey devono potersi “seguire”, sincronizzarsi o essere rigenerate facilmente. Apple e Google lo fanno bene nei rispettivi ecosistemi. Microsoft… deve ancora rodare la macchina.
- Gli utenti non sono pronti. Non tanto sul piano tecnico, ma psicologico. L’utente medio vuole la password. La considera un elemento di controllo, di memoria, di possesso. Eliminare la password senza spiegare cosa la sostituisce rischia di alimentare diffidenza e rigetto.
- La sicurezza non è solo tecnologia. È anche consapevolezza. Un utente che clicca su ogni link e condivide credenziali con chiunque non sarà salvato nemmeno dalle passkey. E non è chiaro quanto Microsoft stia investendo, davvero, nell’educazione alla sicurezza per questa transizione.
La mia opinione (non richiesta, ma necessaria)
Personalmente, saluto con entusiasmo questa scelta di Microsoft. Era ora. Tuttavia, permettetemi un piccolo sfogo: il problema non è la password. Il problema è l’ignoranza diffusa su cosa sia l’autenticazione sicura.
Nel nostro lavoro vediamo utenti che scrivono “pippo123” e lo usano per 20 anni. Manager che ignorano cosa sia un password manager. Aziende che usano ancora account amministrativi condivisi. E poi, si stupiscono se subiscono ransomware.
Le passkey sono un passo avanti. Forse il migliore degli ultimi anni nel campo dell’identità digitale. Ma non saranno la bacchetta magica.
Sono uno strumento. E come tutti gli strumenti, vanno compresi, integrati e soprattutto governati. Altrimenti, il rischio è di passare da un’illusione di sicurezza (la password) a un’altra (la passkey), senza che cambi nulla nel modo in cui pensiamo e viviamo la cyber sicurezza.
Microsoft, password addio: inizia l’era delle passkey
Questa mossa di Microsoft segna un nuovo capitolo. La password, simbolo di un’informatica ormai obsoleta, è stata messa da parte per lasciare spazio a metodi più robusti, sicuri, invisibili all’utente finale.
Ma come tutte le rivoluzioni silenziose, anche questa richiede tempo, formazione e vigilanza.
Perché, se è vero che la password è morta, il social engineering, purtroppo, gode ancora di ottima salute.
