Microsoft dice addio a SMS e password: Entra ID adotterà le passkey come metodo di autenticazione predefinito

Microsoft ha annunciato un cambiamento destinato ad avere un impatto significativo sulle politiche di autenticazione delle aziende. A partire dal 1° settembre 2026, Entra ID adotterà infatti le passkey come metodo di autenticazione predefinito, avviando contestualmente il progressivo abbandono dei codici inviati tramite SMS e delle chiamate vocali utilizzate per l’autenticazione a più fattori (MFA). La transizione si concluderà il 1° febbraio 2027, quando Microsoft interromperà definitivamente il supporto nativo a questi sistemi.
La decisione riflette il rapido cambiamento dello scenario delle minacce informatiche. Secondo Microsoft, la diffusione dell’intelligenza artificiale sta consentendo ai criminali di automatizzare campagne di phishing sempre più credibili, realizzare pagine di accesso indistinguibili da quelle originali e rubare credenziali su larga scala con costi sempre più contenuti. In questo contesto, le tradizionali password e i codici OTP inviati via SMS rappresentano ormai un punto debole che non offre più garanzie sufficienti.
Le passkey costituiscono l’alternativa individuata dall’azienda di Redmond. Questo sistema elimina completamente la necessità di ricordare una password e basa l’autenticazione sul possesso di un dispositivo fidato e sulla verifica dell’identità tramite impronta digitale, riconoscimento facciale oppure PIN locale. Le credenziali possono essere archiviate all’interno dello smartphone, del computer, nei gestori di credenziali integrati nei sistemi operativi oppure su chiavi di sicurezza hardware compatibili con lo standard FIDO2, come le YubiKey.
Dal punto di vista tecnico il vantaggio è evidente, dal momento che durante il processo di autenticazione non viene mai trasmesso alcun segreto condiviso che possa essere intercettato o sottratto da un attaccante. Questo rende inefficaci molte delle tecniche oggi più utilizzate dai gruppi criminali, comprese le sofisticate campagne di phishing generate con l’aiuto dell’intelligenza artificiale. Nadim Abdo, Corporate Vice President per Identity and Network Access Engineering di Microsoft, sintetizza il concetto affermando che le passkey “funzionano meglio per gli utenti e peggio per gli attaccanti”, sottolineando come la semplicità d’uso si accompagni a un incremento significativo della sicurezza.
Microsoft ha definito un calendario piuttosto serrato per completare la migrazione. Dal 1° settembre 2026 tutti gli utenti che utilizzano ancora SMS o chiamate vocali per la verifica dell’identità verranno automaticamente invitati a registrare una passkey durante il successivo accesso con autenticazione multifattore. Pochi giorni dopo, il 18 settembre, l’azienda comunicherà condizioni economiche, listino e operatori telefonici supportati per quei casi particolari nei quali SMS e chiamate continueranno a essere necessari per motivi normativi o specifiche esigenze operative.
Il 30 ottobre 2026 le organizzazioni che intendono continuare a utilizzare questi metodi dovranno selezionare un provider di telecomunicazioni compatibile attraverso il Microsoft Security Store. Da quel momento i costi di invio degli SMS e delle chiamate saranno interamente a carico delle aziende. La scadenza definitiva arriverà il 1° febbraio 2027, quando Microsoft interromperà la fornitura diretta dei servizi di recapito SMS e voice all’interno di Entra ID. Da quella data non sarà più possibile utilizzare tali sistemi come funzionalità nativa del servizio cloud e le organizzazioni dovranno aver completato la registrazione delle passkey per tutti gli utenti. Microsoft precisa inoltre che questa roadmap riguarda esclusivamente la versione pubblica di Entra ID ospitata sul cloud Microsoft, mentre gli altri ambienti seguiranno una pianificazione separata.
L’annuncio rappresenta un momento importante anche perché potrebbe finalmente accelerare un’adozione delle passkey che finora è rimasta inferiore alle aspettative. Nonostante la tecnologia sia disponibile da alcuni anni, molte aziende hanno infatti continuato a preferire password tradizionali e codici OTP per ragioni legate alla compatibilità con applicazioni legacy, ai processi di gestione delle identità e alla complessità dell’integrazione tra piattaforme differenti.
Dal punto di vista della sicurezza, i benefici sono considerevoli. Gran parte delle violazioni informatiche continua infatti ad avere origine dal furto delle credenziali, ottenute attraverso campagne di phishing, malware specializzati nel furto di password, riutilizzo delle stesse credenziali su servizi differenti oppure attacchi di tipo adversary-in-the-middle. Eliminando completamente la password dal processo di autenticazione, molte di queste tecniche perdono efficacia.
Anche sul piano operativo le passkey promettono vantaggi significativi. Si riduce il fenomeno della cosiddetta password fatigue, diminuiscono le richieste di reset inviate agli help desk aziendali e diventa meno necessario investire continuamente nella formazione degli utenti per riconoscere tentativi di phishing sempre più sofisticati. Microsoft sottolinea comunque che le passkey non rappresentano una soluzione definitiva contro tutte le minacce. Rimangono infatti possibili scenari quali la compromissione del dispositivo dell’utente, il furto dei token di sessione, gli attacchi condotti da insider o l’utilizzo di endpoint già compromessi. Per questo motivo le organizzazioni dovranno continuare ad affiancare alle passkey strumenti di protezione degli endpoint, monitoraggio continuo delle identità, criteri di accesso condizionale e sistemi di rilevamento delle minacce.
In vista della transizione, Microsoft invita le aziende a verificare quali utenti utilizzino ancora SMS e chiamate vocali, definire una strategia di distribuzione delle passkey compatibile con i diversi dispositivi aziendali e predisporre procedure chiare per registrazione, recupero delle credenziali e gestione del ciclo di vita degli account. Entra ID supporta sia le passkey sincronizzate, archiviate in gestori di credenziali come iCloud Keychain o Google Password Manager, sia le passkey vincolate al dispositivo, comprese quelle generate da Microsoft Authenticator, Windows o dalle tradizionali chiavi di sicurezza FIDO2.

