Microsoft Entra ID, MFA e Passwordless: sicurezza delle password

La sfide legate alle password ed alla sicurezza delle password è una delle principali problematiche da affrontare. Le password tradizionali sono difficili da gestire per gli utenti e rappresentano un rischio significativo per le aziende. Con l’80% degli attacchi informatici legati a password deboli o rubate, è imperativo trovare soluzioni più sicure e efficienti. L’autenticazione multifattore (MFA) e l’autenticazione senza password (passwordless) sono emerse come risposte potenti a questa esigenza. Questo articolo si dividerà in tre parti per esplorare queste tematiche:

• La sicurezza delle password, che descriverà i problemi associati all’uso delle password tradizionali, i rischi connessi e le soluzioni per mitigare tali minacce
• l’autenticazione multifattore (MFA), che spiegherà come l’MFA aggiunge livelli di sicurezza, combinando diversi fattori di verifica per proteggere l’identità degli utenti
• l’autenticazione senza password (Passwordless), che illustrerà i vantaggi dell’autenticazione senza password e come le tecnologie Microsoft Entra ID supportano metodi innovativi per un accesso più sicuro e user-friendly.

Introduzione

Microsoft Entra ID (già Azure Active Directory) è la piattaforma cloud di gestione delle identità e degli accessi di Microsoft, e gioca un ruolo cruciale nel garantire un’autenticazione sicura per gli utenti aziendali. Negli ultimi anni, concetti come autenticazione multifattore (MFA) e autenticazione senza password (passwordless) sono emersi come soluzioni chiave per mitigare i rischi legati alle password tradizionali. Le password da sole presentano sfide significative sia per gli utenti (che faticano a gestirne la complessità e il numero) sia per le aziende (esposte a violazioni se le credenziali vengono compromesse). Si stima ad esempio che l’80% degli attacchi informatici sia legato a password deboli o rubate. Questo dato allarmante, confermato anche dal World Economic Forum, evidenzia come affrancarsi dalle sole password possa migliorare drasticamente la sicurezza.

In parallelo, l’esperienza utente (UX) durante il login è diventata centrale: utenti e amministratori cercano metodi di accesso più semplici e veloci, ma senza compromessi sulla protezione.

In questo articolo (diviso in 3 parti), esploreremo le sfide delle password e le relative minacce, quindi approfondiremo come MFA e passwordless (in chiave Microsoft Entra ID/Azure AD) possano offrire un equilibrio ideale tra user experience semplificata e postura di sicurezza rafforzata. Verranno inoltre illustrate le best practice per implementare queste soluzioni a livello enterprise, con un’attenzione particolare alle tecnologie Microsoft come Entra ID MFA, Entra ID passwordless, Conditional Access e l’app Microsoft Authenticator.

---

Definizioni chiave

• Microsoft Entra ID, è la soluzione Microsoft per la gestione delle identità e degli accessi. Permette l’autenticazione e autorizzazione di utenti, dispositivi e applicazioni, integrando funzionalità di Single Sign-On (SSO), MFA, passwordless, Conditional Access e altre misure di sicurezza avanzate. Entra ID è il “cuore” dell’identità aziendale in ambiente Microsoft: autentica gli utenti e applica policy (es. richiedere MFA o bloccare accessi rischiosi) e rappresenta il principale motore della strategia Zero Trust.
• Autenticazione multifattore (MFA) – Metodo di autenticazione che richiede due o più fattori di verifica per confermare l’identità di un utente. I fattori rientrano in tre categorie principali: conoscenza (qualcosa che l’utente sa, ad es. una password o un PIN), possesso (qualcosa che l’utente ha, ad es. uno smartphone con un token o un badge di sicurezza) e inerenza (qualcosa che l’utente è, ad es. un’impronta digitale o il riconoscimento facciale). Un sistema MFA tipico combina almeno due di questi elementi, ad esempio password + codice sul telefono, oppure impronta digitale + token hardware. L’obiettivo è aggiungere “un ulteriore lucchetto”: anche se una credenziale (come la password) viene compromessa, l’accesso non è concesso senza il secondo (o terzo) fattore.
• Autenticazione senza password (Passwordless) – Modalità di autenticazione in cui l’utente non deve inserire alcuna password. Invece della classica coppia username-password, l’identità è verificata tramite fattori alternativi sicuri: ad esempio dati biometrici (impronta digitale, riconoscimento facciale) o dispositivi di sicurezza (come chiavi crittografiche FIDO2 o smartphone registrati). Questi metodi sfruttano protocolli crittografici robusti (chiavi pubbliche/private) per autenticare l’utente. In pratica l’utente conferma il login con un gesto – toccando la propria chiave di sicurezza, fornendo l’impronta, o approvando una notifica sul telefono – e questo vale come prova di identità, senza bisogno di ricordare o digitare una stringa segreta. Microsoft Entra ID supporta vari metodi passwordless (Windows Hello, chiavi FIDO2, accesso tramite Microsoft Authenticator app, etc.).
• Conditional Access – È il motore di policy adattive all’interno di Microsoft Entra ID/Azure AD che permette alle organizzazioni di applicare condizioni agli accessi. In base a segnali come l’utente, la posizione, il dispositivo, l’applicazione e il rischio stimato, le policy di Conditional Access decidono se consentire, bloccare o richiedere fattori aggiuntivi per un login. Ad esempio, con Conditional Access si può impostare che fuori dall’ufficio venga sempre richiesta la MFA, o che l’accesso da un dispositivo non conforme venga bloccato. Questo strumento consente di aumentare la protezione senza compromettere la produttività, applicando la MFA solo quando serve davvero e implementando l’accesso condizionato come parte integrante della strategia Zero Trust.
• Microsoft Authenticator – È l’app mobile di Microsoft (disponibile per iOS/Android) usata per l’autenticazione a più fattori e quella passwordless. Registra gli account utente e fornisce metodi di verifica come notifiche push da approvare, codici OTP temporanei, e supporta il telefono come metodo passwordless (ovvero l’utente fa login inserendo solo lo username e approvando sul telefono, senza password). Microsoft Authenticator si integra con Entra ID/Azure AD ed è uno dei metodi consigliati per implementare sia MFA sia accessi senza password in ambiente Microsoft. Ad esempio, quando si abilita Entra ID MFA, l’app Authenticator è spesso usata per inviare la seconda verifica; oppure, per configurare l’account Microsoft passwordless, l’app genera un prompt che l’utente conferma con PIN o biometria, autenticandosi.
• User Experience (UX) e Security Posture – Nel campo dell’autenticazione, la User Experience indica quanto è semplice e conveniente per l’utente legittimo effettuare l’accesso ai sistemi, mentre la Security Posture rappresenta il livello complessivo di sicurezza che l’azienda ottiene da meccanismi e policy implementati. Storicamente esisteva un trade-off: procedure di login più robuste significavano spesso peggior esperienza per l’utente (password complicate, continui inserimenti, secondi fattori scomodi). Oggi, grazie a MFA e passwordless, si può migliorare l’UX e contestualmente rafforzare la postura di sicurezza. Ad esempio, l’accesso con Windows Hello (volto/impronta) è più comodo della password e allo stesso tempo più sicuro (perché basato su chiavi hardware e biometria). Una buona security posture tramite Entra ID (con MFA, Conditional Access, ecc.) protegge l’organizzazione da phishing, password reuse, attacchi basati su brute-force, ecc., mentre una UX curata evita che gli utenti percepiscano queste misure come ostacoli. Il focus di questo articolo è proprio mostrare come modernizzare l’autenticazione (MFA/passwordless) consenta di semplificare la vita agli utenti e fortificare la sicurezza di imprese e professionisti IT.

---

Le sfide della sicurezza delle password

Le sfide per gli utenti

Secondo una ricerca, l’utente medio gestisce circa 100 account e di conseguenza altrettante password per i vari servizi utilizzati. Questo comporta diverse problematiche: molti utenti tendono a riutilizzare le stesse password su più piattaforme per non doverne ricordare di nuove – il che è estremamente pericoloso, perché una singola violazione su un sito può portare alla compromissione di tutti gli account dove è stata riusata quella coppia username e password. Non a caso, un recente studio su 19 miliardi di password rubate ha rivelato che oltre il 90% di esse erano deboli, prevedibili o già utilizzate altrove, e solo il 6% risultava veramente unica. Questo significa che la stragrande maggioranza delle persone o crea password troppo semplici oppure continua a usarne una manciata per tutto.

Esempi comuni: pur sapendo che non si dovrebbe fare, milioni di persone usano ancora password come “123456”, “password”, “qwerty” o nomi propri (es. “andrea”, “juventus”) – tutte combinazioni facilmente indovinabili. Nel dataset analizzato dei 19 miliardi di credenziali violate, sequenze banali come “1234” comparivano centinaia di milioni di volte, e termini come “admin” o “love” erano diffusissimi. Questo avviene perché creare e ricordare password complesse e diverse per ogni account è impegnativo; molti utenti si sentono sopraffatti da questa responsabilità e finiscono per sacrificare la sicurezza in favore della comodità.

Anche le policy aziendali tradizionali non aiutano: se viene imposto di cambiare password ogni 60 giorni con requisiti complicati (maiuscole, simboli, niente nomi comuni, ecc.), spesso l’utente reagisce in modi poco sicuri (scrivendo le password su un post-it, oppure cambiandone una lettera ogni volta e quindi vanificando lo scopo).

Tutto ciò genera stress e frustrazione: studi indicano che circa il 90% degli utenti è preoccupato per la sicurezza delle proprie credenziali, ma allo stesso tempo molti ammettono di non sapere gestire al meglio le password (riusandole o scegliendone di deboli). È un circolo vizioso: più le password sono difficili da gestire correttamente, più l’utente commette errori che ne abbassano la sicurezza.

Sfide per gli amministratori e l’azienda.

Dal lato IT e aziendale, le password portano altre problematiche.

Supporto tecnico e costi: una percentuale enorme di chiamate all’help desk riguarda utenti che hanno dimenticato la password o hanno gli account bloccati. Secondo il World Economic Forum, quasi il 50% dei costi di help desk IT nelle grandi aziende è assorbito dalla gestione dei reset password, con un costo annuo che supera il milione di dollari in personale e risorse. Questo dato coincide con analisi di Gartner e Forrester, secondo cui ogni reset può costare decine di euro in tempo e produttività persa. Eliminare o ridurre i problemi di password significherebbe risparmiare cifre considerevoli.

Sicurezza delle credenziali: le password sono un punto debole noto e i reparti di cybersecurity devono implementare contromisure continue. Ci sono da far rispettare regole di composizione (minimo X caratteri, complessità), mantenere blacklist di password proibite (per evitare che vengano usate password troppo comuni o già compromesse), monitorare gli accessi per rilevare tentativi sospetti e attacchi di brute force. Nonostante tutto, una sola disattenzione di un dipendente (es. phishing andato a segno) può vanificare le difese. Uno scenario tipico: un utente utilizza la stessa password in azienda e su un sito esterno poco sicuro -> quel sito viene hackerato, la lista di password finisce online -> gli attaccanti provano quelle credenziali sull’ambiente aziendale (tecnica credential stuffing) e ottengono accesso. Senza MFA o altri controlli, l’azienda spesso nemmeno si accorge immediatamente dell’intrusione. Infatti, le password rubate sono all’origine di moltissime violazioni: Verizon ha stimato che l’80% delle violazioni “hacking” coinvolge credenziali deboli o rubate.

Scalabilità e cloud: con la migrazione verso il cloud e l’aumento di account SaaS, le aziende ora hanno una moltitudine di identità da gestire. Un dipendente potrebbe avere decine di account aziendali (email, VPN, CRM, portali vari) – tutti con password da sincronizzare o federare. Gestire un provisioning sicuro e deprovisioning alla loro uscita (assicurandosi che nessun ex dipendente conservi accessi attivi) è complesso. Le integrazioni con sistemi legacy poi spesso richiedono di mantenere attive password locali anche quando si adotta SSO, aumentando la superficie d’attacco. In sintesi, per l’IT le password significano tanto lavoro ripetitivo, costi inaspettati e rischi latenti. Per questo la tendenza è cercare di “mitigare” questo problema con strumenti come l’SSO, il Password Management centralizzato e soprattutto l’introduzione di fattori di autenticazione aggiuntivi che prevengano gli abusi delle sole password.

Minacce e rischi legati alla sicurezza delle password

Le password rappresentano uno dei bersagli preferiti dai criminali informatici, perché attaccando quell’unico punto di autenticazione spesso si può penetrare un sistema. Di seguito, le principali minacce correlate alle password e come queste si manifestano:

• Furto di credenziali e data breach: Database di username e password vengono violati regolarmente. Negli ultimi anni, i ricercatori hanno scoperto oltre 19 miliardi di password compromesse disponibili online. Quando un servizio subisce un data breach e le password (in forma di hash o, peggio ancora in chiaro) filtrano in rete, quelle credenziali diventano arma per attacchi futuri. Il rischio aumenta enormemente se le persone riutilizzano password uguali su siti diversi. Ad esempio, il furto di password da un forum di poco conto può portare all’accesso fraudolento all’email o al conto bancario della stessa vittima, qualora avesse impiegato la medesima password. Una volta che una password è trapelata, è come se fosse pubblica: gli hacker la aggiungono ai loro dizionari di attacco e bot automatizzati proveranno ad usarla su tutti i principali siti.
• Brute force o dictionary attack: Gli aggressori possono cercare di indovinare la password di un account provando sistematicamente una lista di possibili chiavi. Se non ci sono altre difese, un computer può testare milioni di combinazioni in pochi secondi. Password deboli come “estate2023” o “Pa$word1” verranno trovate quasi istantaneamente. Come evidenziato da analisi di settore, password di 8 caratteri solo con lettere minuscole e numeri si possono craccare in meno di 1 secondo con gli algoritmi odierni. Anche includendo qualche maiuscola e numero (ma senza simboli) restano facilmente forzabili. Gli hacker usano liste di parole comuni (attacchi dizionario) – includendo termini popolari, nomi propri, squadre di calcio, band musicali, ecc. – e combinazioni note (come password1, Winter2023). Purtroppo queste tecniche funzionano bene perché, come visto, la maggior parte delle password scelte dalle persone sono prevedibili. Un altro approccio è il password spraying: invece di provare tante password su un singolo account (rischiando il blocco dopo X tentativi falliti), l’attaccante sceglie una manciata di password comunissime (tipo “Password123!”) e prova quelle su migliaia di account diversi di un’organizzazione, sperando che almeno uno l’abbia impostata. In una grande azienda, c’è buona probabilità che qualche utente utilizzi proprio una password banale che appare nel dizionario degli hacker.
• Phishing e social engineering: La strada più “semplice” per ottenere una password è chiederla direttamente alla vittima con l’inganno. Il phishing consiste proprio nel far credere all’utente di inserire la propria password in un contesto legittimo. Questo può avvenire via email (un link a una finta pagina di login Outlook/Google), via SMS (finti avvisi bancari), o addirittura con telefonate (vishing) in cui qualcuno si spaccia per supporto IT e chiede la password per “risolvere un problema urgente”. Anche utenti prudenti possono cadere in phishing molto mirati (spear phishing), dove l’email è personalizzata e credibile. Senza MFA, basta una password carpita con l’inganno e l’attaccante entra nei sistemi aziendali come un normale utente: a quel punto può esplorare, rubare dati, spiare comunicazioni, magari lanciarsi in frodi (es. ordini falsi) o propagare malware. Il phishing è oggi la tecnica di attacco più diffusa proprio perché colpisce l’anello debole umano e aggira le difese tecniche: non importa quanto complessa sia la password, se l’utente la scrive sulla pagina sbagliata.
• Credential stuffing e riuso delle password: Come accennato, la pratica di riutilizzare le password su servizi diversi è molto comune. Gli hacker la sfruttano con campagne automatizzate dette credential stuffing: prendono enormi liste di credenziali rubate su Internet (spesso contenenti email/nome utente + password in chiaro o decrittate) e le provano in blocco su altri servizi popolari – ad esempio provano quell’email e password su Facebook, su Office 365, su PayPal, e così via. Se anche solo l’1% delle combinazioni risulta valida, su milioni di tentativi quell’1% significa ottenere l’accesso a migliaia di account. Ciò è successo in svariati settori: ad esempio, violazioni di piccoli siti di e-commerce hanno portato a intrusioni su sistemi governativi perché i dipendenti usavano la stessa password. Nessun attacco elaborato, solo sfruttare l’abitudine umana di riciclare le chiavi di accesso. Allo stesso modo, quando un database di utenti aziendali (magari di un vecchio sistema legacy) viene rubato internamente, gli attaccanti provano quelle credenziali su altri ambienti interni (VPN, posta, ecc.) per muoversi lateralmente. In sintesi, il riuso delle password crea un effetto domino: una singola compromissione ne innesca molte altre a catena.
• Escalation e lateral movement post-compromissione: Una volta che un utente malevolo ottiene le credenziali di un utente (per attacco brute force, phishing o credential stuffing che sia), spesso non si accontenta di quel singolo account, ma lo usa come porta d’ingresso per attaccare più a fondo l’organizzazione. Ad esempio, con la password di un impiegato l’attaccante accede alla rete aziendale, e poi cerca di arrivare a un amministratore: può provare la stessa password sull’account admin (perché anche gli admin a volte riutilizzano), oppure sfruttare tecniche come pass-the-hash se ha catturato hash di password sui sistemi interni, o inviare phishing interni a nome dell’utente compromesso per colpire colleghi. Se l’azienda non segmenta bene i privilegi, da un account di base si può tentare un’escalation (privilege escalation). Un caso comune è rubare la password dell’email e poi usarla per resettare altre password (tramite le funzionalità “password dimenticata” che inviano link via email). Oppure ancora, rubare l’account di un fornitore esterno che ha accesso VPN a una parte della rete e da lì muoversi verso il core. Questi schemi complessi spesso partono comunque da una password debole rubata. È stato detto efficacemente che “le password sono il singolo punto di falla da cui si originano l’80% delle violazioni”. Per questo, rompere il modello basato su password significa spesso bloccare sul nascere un’enorme percentuale di attacchi.

Vale la pena ribadirlo: le password costituiscono il tallone d’Achille della sicurezza moderna. Nonostante tutta la formazione e gli avvertimenti, gli utenti continuano a commettere errori (password semplici, condivise, svelate ai truffatori), e gli aggressori continuano a sfruttarli in massa. Per fortuna, rafforzando l’autenticazione con più fattori e abbracciando metodologie passwordless, possiamo ridurre drasticamente questi rischi. Le prossime sezioni esamineranno come MFA e passwordless rappresentino la risposta a queste minacce, secondo la visione di Microsoft Entra ID (Azure AD) e le esigenze di sicurezza delle imprese.

Per leggere gli altri articoli della serie:

Yooda | Blog | Semplificare l’autenticazione: perchè Azure AD MFA

Yooda | Blog | Entra ID passwordless: semplificare e rafforzare l’autenticazione

Contattaci per una consulenza gratuita

Siamo al tuo fianco per supportarti al meglio nell’efficientamento della tua azienda; ascoltando le tue richieste possiamo sviluppare integrazioni e workflow atti a migliorare i tuoi processi di business e la tua user-experience. Ti offriamo una consulenza gratuita di 30 minuti, in cui potrai esporre le tue esigenze e i tuoi obiettivi. Basta compilare questa form per essere contattato: https://forms.office.com/e/7r53YsD3U6