Microsoft mette fine a uno dei metodi di verifica più usati negli ultimi anni: i codici via SMS. La decisione riguarda gli account consumer e tocca servizi come Outlook.com, OneDrive, Xbox, Microsoft 365 personale e Windows 11. In pratica, gli SMS non saranno più disponibili né per l’autenticazione a due fattori né per il recupero dell’account.
La scelta non arriva a sorpresa. Da tempo gli esperti di sicurezza segnalano che i messaggi di testo non sono più sufficientemente robusti per proteggere l’identità digitale. Al loro posto, Microsoft punta ora sulle passkey, considerate molto più affidabili contro phishing e furti di credenziali.
Microsoft e il addio agli SMS per l’autenticazione
Per anni l’autenticazione via SMS è stata vista come una soluzione semplice: un numero di telefono, un codice temporaneo e un livello di protezione in più rispetto alla sola password. Oggi però quel modello mostra tutti i suoi limiti. Le reti telefoniche sono nate in un contesto tecnologico molto diverso e non erano pensate per difendersi da attacchi moderni come SIM swap, social engineering o intercettazioni mirate.
Secondo Microsoft, gli SMS sono ormai una delle principali fonti di frode legate agli account online. Il problema è amplificato dalla diffusione di tecniche come la clonazione della SIM e dai malware Android capaci di leggere messaggi e token di verifica. In questi scenari, basta compromettere il numero di telefono per aprire la porta a email, cloud, wallet digitali e perfino servizi bancari.
Le passkey come nuovo standard di sicurezza
La risposta di Redmond è l’adozione delle passkey, credenziali crittografiche basate sugli standard FIDO2 e WebAuthn. Al posto del codice ricevuto via SMS, l’utente accede con un metodo locale come riconoscimento facciale, impronta digitale o PIN del dispositivo. La chiave privata resta sul dispositivo e non viene mai trasmessa, mentre il servizio conserva solo la chiave pubblica necessaria alla verifica.
Questo approccio riduce in modo drastico il rischio di phishing. Anche se un utente finisse su un sito clone identico all’originale, la passkey non potrebbe autenticarsi su un dominio diverso da quello previsto. È proprio questa caratteristica a rendere il modello molto più resistente rispetto a password e OTP tradizionali.
Windows 11, Windows Hello e autenticazione passwordless
Il cambiamento si inserisce nella strategia passwordless di Microsoft, già visibile in Windows 11. Nei PC compatibili, Windows Hello sfrutta componenti hardware come il TPM, telecamere IR per il volto e lettori di impronte certificati. Anche il PIN locale svolge un ruolo diverso da quello di una password classica: serve solo a sbloccare la chiave privata custodita nel dispositivo.
Microsoft sta inoltre lavorando all’integrazione delle passkey con servizi multipiattaforma e gestori come Microsoft Authenticator, iCloud Keychain e Google Password Manager. La direzione è chiara: meno dipendenza dagli SMS e più autenticazione moderna, con un livello di protezione più alto contro phishing, SIM swap e furti di sessione.
