Microsoft ha deciso di imprimere una forte accelerazione alla strategia passwordless e ha abilitato la funzione che consente agli utenti di configurare il proprio account per l’accesso senza password. Con la possibilità di rimuovere del tutto la password dal proprio account Microsoft.
Vediamo come fare.
Ma, prima, vediamo brevemente perché Microsoft crede nel passwordless e il percorso che ha portato a questo passo.
Da tempo Microsoft ha espresso pubblicamente la sua vision di un futuro passwordless. La società di Redmond a marzo ha reso disponibile per gli utenti aziendali la soluzione di autenticazione senza password.
Perché è meglio un approccio passwordless
Ora, gli utenti hanno la possibilità di rimuovere del tutto la password dal proprio account Microsoft.
Al posto della password, è possibile usare metodi quali l’app Microsoft Authenticator, Windows Hello o una chiave di sicurezza fisica, per accedere alle applicazioni e ai servizi, come Microsoft Outlook, OneDrive, Family Safety e altro.
È la stessa Microsoft a spiegare perché questo passaggio è opportuno.
Le password deboli – ha messo in evidenza l’azienda – sono il punto d’ingresso per la maggior parte degli attacchi sia per gli account aziendali che per quelli consumer.
Ci sono ben 579 attacchi di password ogni secondo, cioè 18 miliardi ogni anno, ha sottolineato ancora Microsoft.
Uno dei motivi per cui ciò avviene è insito nella natura umana: le password davvero robuste sono molto scomode da creare, ricordare e gestire su tutti gli account. Pertanto, gli utenti cercano di semplificarsi la vita creando password più semplici e riutilizzandole su più siti. Abitudini non compatibili con la sicurezza richiesta al giorno d’oggi.
Infatti, le password che risultano essere più facili da ricordare, sono anche più facili da indovinare per un hacker. Basta una rapida occhiata ai profili social media di una persona per dare a qualsiasi hacker una leva per entrare nei suoi account personali.
Una volta che la combinazione di password ed email è stata compromessa, viene spesso venduta sul dark web per essere utilizzata in un numero potenzialmente illimitato di attacchi.
In più, gli hacker hanno a disposizione anche molti strumenti e tecniche. Possono usare il password spraying, il phishing e altre tattiche che – sottolinea ancora Microsoft – sono relativamente poco sofisticate e sono note da decenni, ma continuano a funzionare perché le password continuano ad essere create dagli esseri umani.
Account Microsoft senza password
Ed è per questo che Microsoft ora invita gli utenti a passare a un account passwordless, cioè del tutto privo di password. Cosa che è anche abbastanza semplice da fare, per gli account esistenti.
Vediamo qui i passaggi richiesti dalla configurazione senza password di un account Microsoft esistente, con accesso tramite app Microsoft Authenticator da configurare.
Per prima cosa, bisogna dotarsi dell’app Microsoft Authenticator, disponibile sia per Android che iOS: è possibile scaricarla dai rispettivi store per poi installarla sul proprio dispositivo.
Per la configurazione, bisogna accedere al proprio account Microsoft con il browser.
Nella pagina del proprio account Microsoft, selezionare la scheda Sicurezza e poi Opzioni di sicurezza avanzate.
Tra le opzioni di sicurezza avanzate, una sezione importante è Modi per dimostrare la tua identità, in cui è possibile gestire le opzioni di verifica e accesso per il proprio account Microsoft.
Si tratta di informazioni che servono a confermare la propria identità e che Microsoft utilizza per verificarla, in caso di problemi con l’account. È quindi opportuno compilarle e aggiornarle in modo adeguato, per evitare il rischio di non riuscire più ad accedere al proprio account: la documentazione spiega in dettaglio come fare.
Nella schermata delle opzioni avanzate di sicurezza, nella sezione Sicurezza aggiuntiva, è presente l’opzione Account senza password.
Per rimuovere completamente la password dal proprio account e abilitare il solo accesso passwordless, fare clic su Attiva.
Microsoft visualizza una procedura guidata, il cui primo passaggio informa che è necessario configurare l’app Microsoft Authenticator prima di attivare l’accesso senza password.
In questa schermata c’è un link alla documentazione che presenta anche le risposte alle domande più frequenti e che è consigliabile consultare per fugare ogni dubbio su questa funzionalità di sicurezza che si sta per attivare.
Facendo clic su Avanti si procede con i passaggi della configurazione dell’app Microsoft Authenticator. Se non lo si è già fatto, il primo passo è naturalmente quello di scaricare e installare l’app.
La procedura, come passaggio successivo, visualizza un codice da inquadrare nell’app Microsoft Authenticator.
Dobbiamo dunque inquadrare il codice con l’app, che lo scansionerà e configurerà automaticamente l’account Microsoft.
Nel passaggio successivo confermiamo di voler attivare l’accesso senza password.
Una volta autorizzata l’operazione nell’app Microsoft Authenticator, la password viene definitivamente rimossa dal nostro account Microsoft.
Autenticazione passwordless
L’opzione Account senza password della schermata delle opzioni aggiuntive di sicurezza dell’account Microsoft ora indica che l’accesso passwordless è attivo.
Come avviene dunque ora l’accesso al nostro account Microsoft?
Molto semplice. Ora, quando proviamo ad accedere al nostro account Microsoft, i server dell’azienda inviano una richiesta di autenticazione all’app Microsoft Authenticator installata sul nostro dispositivo mobile e associata all’account.
L’app ci chiederà di approvare l’accesso all’account con il metodo di autenticazione che usiamo di solito sul dispositivo (ad esempio l’impronta digitale) e, una volta confermata la nostra identità, potremo accedere al nostro account online senza dover digitare alcuna password.
Microsoft sostiene che questo è il metodo sia più comodo che più sicuro per accedere all’account dell’utente.
La procedura da noi descritta ripercorre i passaggi nel caso di nuova configurazione dell’app Microsoft Authenticator. Se invece questa app è già stata installata e associata a un account Microsoft, il processo è ancora più rapido e fluido.
La pagina dell’account Microsoft invierà direttamente la richiesta di approvazione all’app associata all’account, e sul dispositivo mobile basterà approvare la richiesta di rimozione della password.
Tornare alla password
E se, tuttavia, dovessimo scoprire che l’accesso senza password non fa per noi? C’è sempre la possibilità di tornare all’utilizzo della password (una nuova). Tra l’altro, la stessa Microsoft avvisa che dopo la rimozione della password è possibile che si perda l’accesso ad alcune app, dispositivi e servizi meno recenti.
Per disabilitare l’autenticazione passwordless, occorre tornare alla stessa schermata e, per l’opzione Account senza password, fare clic su Disattiva.
Al contrario di quanto accaduto prima, stavolta la procedura ci chiede di aggiungere una password.
Potremo dunque indicare la nuova password da usare per il nostro account Microsoft (che, attenzione, deve essere sufficientemente robusta).
Dopo aver aggiunto la password, il nostro non sarà più un Account senza password: modalità che secondo Microsoft, ci ricorda di nuovo l’azienda, è meno sicura, oltre che meno comoda.