Un dirigente Microsoft ha esortato le aziende ad abbandonare il metodo di autenticazione multifattoriale (MFA) più diffuso (codici di accesso una tantum inviati a dispositivi mobili tramite testo o voce) per abbracciare approcci diversi che afferma essere più sicuri.

“È ora che iniziate ad allontanarvi dai meccanismi di autenticazione multifattoriale (MFA) SMS e vocale” ha affermato Alex Weinert, direttore della sicurezza delle identità in un post del 10 novembre sul blog Microsoft. “Questi meccanismi si basano su reti telefoniche a commutazione pubblica (PSTN) e credo che siano i metodi MFA meno sicuri oggi disponibili”.

Weinert ha affermato che altri metodi MFA sono più sicuri, chiamando in causa Microsoft Authenticator, autenticatore basato su app, e Windows Hello, la tecnologia biometrica di Microsoft basata sul riconoscimento facciale e la verifica delle impronte digitali. Non è un caso che Weinert abbia pubblicizzato le tecnologie che Microsoft ha spinto in modo aggressivo nella sua campagna per convincere le aziende a non usare password.

windows hello

Più di un anno fa, Weinert ha spiegato come, a suo avviso, le password da sole non siano una difesa contro il furto di credenziali, ma che, abilitando pratiche MFA, “il vostro account ha più del 99,9% di probabilità in meno di essere compromesso”. Questo consiglio non è cambiato, ma la posizione di Microsoft su MFA si è ora ristretta. “MFA è essenziale: stiamo solo discutendo quale metodo MFA utilizzare, non se utilizzare MFA”.

Weinert ha spuntato un elenco di falle di sicurezza delle pratiche MFA basate su SMS e voce, tecnica che in genere invia un codice a sei cifre a un numero di telefono verificato e predeterminato. Questi difetti, ha detto Weinert, andavano dalla mancanza di crittografia (i testi vengono inviati in chiaro) alla vulnerabilità nei confronti dell’ingegneria sociale.

L’autenticazione basata su app è un mezzo molto più sicuro e Weinert ha pubblicizzato Microsoft Authenticator, disponibile nelle versioni per Android e iOS. Authenticator vanta comunicazioni crittografate e supporta il riconoscimento facciale e delle impronte digitali, consentendo agli utenti di autenticarsi utilizzando queste tecnologie quando, ad esempio, i loro laptop forniti dall’azienda non lo fanno. Authenticator supporta anche passcode monouso, duplicando il meccanismo MFA basato su SMS, sebbene in forma crittografata dall’inizio alla fine.

Dallo scorso anno, i nuovi utenti di Office 365 e Microsoft 365 sono stati accompagnati da una serie di impostazioni delle opzioni predefinite chiamate impostazioni predefinite di sicurezza, che richiedono che ogni utente si autentichi tramite MFA. L’app Microsoft Authenticator è il metodo MFA predefinito.