A partire da Maggio 2023, Microsoft rende obbligatorio l’utilizzo del number matching con l’applicazione Microsoft Authenticator o impostando un SMS per accedere ai suoi servizi online mediante l’autenticazione a due fattori (2MFA).
Questo meccanismo prevede che l’utente, durante la procedura di login, inserisca il codice di conferma che arriva sul proprio smartphone sull’app Authenticator o via SMS.
In cosa consiste il number matching
Nelle procedure di doppia autenticazione, con il termine number matching si intende il sistema che prevede l’invio di un codice numerico di 6 cifre da inserire durante l’accesso. Dopo aver immesso le credenziali (nome utente e password), l’utente riceve un codice numerico temporaneo sul dispositivo mobile o sul numero registrato, solo per un breve periodo di tempo (di solito alcuni minuti).
Da maggio 2023 anche Microsoft Authenticator utilizza il meccanismo number matching come impostazione obbligatoria e predefinita. La corrispondenza numerica è infatti abilitata e utilizzata per tutte le notifiche push di Authenticator. Ogni richiesta di approvazione degli accessi attraverso l’app Microsoft Authenticator passa quindi attraverso l’inserimento di un codice visualizzato sullo smartphone o via SMS.
L’importanza della 2FA per contrastare i cyber attacchi
Questa scelta di Microsoft mira a contrastare in modo più efficace i tentativi di attacco ai propri servizi di posta elettronica, limitando le frodi informatiche.
Tra questi, i multi-factor authentication (MFA) fatigue attacks. Si tratta di attacchi informatici che sfruttano la frustrazione degli utenti nel doversi sempre autenticare tramite l’utilizzo di metodi a due o più fattori. In realtà queste misure di sicurezza sono necessarie per proteggere informazioni personali e dati riservati. Tuttavia, nonostante la loro estrema importanza, alcuni utenti ritengono noiosa la procedura di autenticazione con password, token e codici di verifica.
I cybercriminali conoscono perfettamente questa situazione. Fanno dunque leva su questa per cercare di indurre le vittime a saltare o a ignorare i controlli di autenticazione a più fattori. Ad esempio, forniscono delle istruzioni fraudolente per saltare il processo o convinconno gli utenti a fornire le proprie credenziali. Una metodologia di attacco piuttosto diffusa e particolarmente efficace, utilizzata con successo anche contro alcuni dipendenti della stessa Microsoft per aggredire altre imprese come Cisco e Uber.
Per proteggersi dagli attacchi ai servizi di posta elettronica è importante comprendere l’importanza dell’utilizzo della 2FA e, soprattutto, seguire rigorosamente le procedure di autenticazione.
Esistono delle ulteriori linee di difesa. Alcune di queste prevedono la limitazione del numero di richieste di autenticazione MFA per utente, il blocco temporaneo degli account e l’invio di un avviso al team di sicurezza o all’amministratore del dominio quando si superano le soglie impostate.