Rafforzamento della sicurezza per Microsoft 365
Utixo ha deciso di attivare in modo esteso l’autenticazione a due fattori (2FA) per l’accesso alla posta elettronica Microsoft 365 dei clienti. La scelta si inserisce in una linea operativa orientata ad aumentare il livello di sicurezza dei servizi erogati e ad allineare le configurazioni alle aspettative normative e di controllo oggi più frequenti, in particolare in ambito GDPR e NIS2, oltre che alle indicazioni di hardening e “security defaults” promosse da Microsoft per ridurre l’esposizione degli account.
Per molte organizzazioni la casella di posta resta il punto di ingresso più sfruttato nelle compromissioni: credenziali riutilizzate, password deboli o sottratte tramite phishing, token intercettati e accessi da dispositivi non gestiti. In questo contesto l’adozione della 2FA non è più un’opzione “per utenti sensibili”, ma una misura di base per limitare l’impatto del furto di password e ridurre la probabilità di accesso non autorizzato.
L’abilitazione della 2FA introduce un requisito aggiuntivo in fase di autenticazione: oltre a username e password, l’utente deve presentare un secondo fattore. In termini pratici, dopo l’inserimento delle credenziali, Microsoft Entra ID (l’identità cloud alla base di Microsoft 365) richiede una verifica ulteriore tramite un metodo registrato dall’utente o imposto dalla policy aziendale.
Il cambiamento impatta principalmente:
– accesso a Outlook sul web e al portale Microsoft 365;
– accesso tramite client desktop e mobile (Outlook e app che usano l’autenticazione moderna);
– accesso a servizi collegati all’identità Microsoft 365 (SharePoint, OneDrive, Teams) quando l’account è lo stesso.
L’abilitazione della 2FA implica anche la gestione del ciclo di vita dei metodi di autenticazione (registrazione, recupero, sostituzione dispositivo, revoca), la verifica della compatibilità dei client e l’eventuale dismissione di protocolli legacy che non supportano MFA (ad esempio autenticazioni di tipo “basic” su vecchi client o dispositivi).
Come funziona l’autenticazione a due fattori a livello operativo
La 2FA si basa su due categorie diverse di prove di identità. In genere si combinano:
1. Qualcosa che l’utente conosce (la password).
2. Qualcosa che l’utente possiede (telefono, token hardware, chiave FIDO2) oppure qualcosa che l’utente è (biometria, usata come sblocco locale del dispositivo o della chiave).
La sequenza tipica è:
– l’utente inserisce le credenziali;
– il sistema valuta segnali e policy (ad esempio regole di accesso condizionale, rischio di accesso, posizione, device compliance);
– se richiesto, viene presentata una “challenge” MFA;
– l’utente completa la challenge con il metodo configurato;
– solo a quel punto viene emesso il token di accesso per i servizi Microsoft 365.
Dal punto di vista della sicurezza, l’obiettivo è impedire che una password rubata sia sufficiente ad accedere alla mailbox. Anche in presenza di phishing, il secondo fattore riduce drasticamente la probabilità di successo, soprattutto se si usano metodi resistenti al phishing (come FIDO2 o passkey).
Metodi di autenticazione possibili oltre ad app telefonica e SMS
Nella pratica, molte implementazioni partono da app di autenticazione e SMS, perché sono immediati. Tuttavia oggi esistono metodi più robusti e, in diversi contesti, preferibili. Di seguito quelli più rilevanti in ambienti Microsoft 365.
– Chiamata vocale (voice call)
È un’alternativa all’SMS: l’utente riceve una chiamata automatica e conferma l’accesso. È semplice, ma come l’SMS può essere esposto a rischi legati al canale telefonico (deviazioni, SIM swap, social engineering sull’operatore) e non è considerato un metodo “phishing-resistant”.
– Codici OTP da token hardware (OATH)
Si tratta di dispositivi fisici che generano codici temporanei (TOTP) oppure di token compatibili con standard OATH. L’utente digita il codice mostrato dal token. È utile dove non si vogliono usare smartphone personali o dove servono fattori fisici distribuiti e controllati. Rimane però un metodo in cui il codice può essere indotto a essere inserito su una pagina di phishing.
– Chiavi di sicurezza FIDO2 (security key)
Le chiavi FIDO2 (USB/NFC/Bluetooth) sono tra i metodi più solidi: l’autenticazione avviene con una chiave fisica e un gesto di presenza (tocco) e, spesso, con un PIN. Sono progettate per essere resistenti al phishing perché legano l’autenticazione all’origine (dominio/servizio) e non rilasciano un “codice” riutilizzabile dall’attaccante. In scenari con utenti ad alto rischio (amministratori, finance, HR) o con requisiti NIS2 più stringenti, sono spesso la scelta più coerente.
– Passkey (cred. FIDO2) su dispositivo
Le passkey sono credenziali basate su FIDO2 memorizzate su smartphone o computer (con protezione biometrica o PIN). Dal punto di vista dell’utente, l’esperienza è simile a “approvare” un accesso con biometria, ma senza passare da OTP. Anche qui il punto chiave è la resistenza al phishing e la riduzione della dipendenza dalla password.
– Windows Hello for Business
In ambienti Windows gestiti, Windows Hello for Business consente un’autenticazione forte usando un dispositivo aziendale registrato e un fattore locale (PIN/biometria). È particolarmente rilevante quando la strategia prevede device compliance e gestione centralizzata: l’utente non “riceve un codice”, ma usa il proprio endpoint come fattore di possesso.
– Certificati client (autenticazione basata su certificato)
In contesti enterprise, soprattutto con dispositivi gestiti e PKI interna, si può usare l’autenticazione basata su certificato. È una strada più complessa da implementare e mantenere, ma utile quando si vogliono vincoli forti sul dispositivo e una catena di fiducia controllata.
– Codici di recupero (backup codes)
Non sono un secondo fattore “di routine”, ma un meccanismo di continuità operativa: codici monouso da conservare in modo sicuro per rientrare in account se il metodo principale non è disponibile. Per i team IT è importante che esistano processi chiari: emissione, conservazione, revoca e rigenerazione.
– Keeper Security tool di gestione del 2FA in gestione ad ogni utente oppure un amministratore.
GDPR e NIS2 non impongono una specifica tecnologia unica, ma spingono verso misure tecniche e organizzative adeguate al rischio, con attenzione a controllo degli accessi, resilienza e riduzione della probabilità di compromissione. La posta elettronica, in quanto canale di scambio di dati personali e spesso punto di accesso ad altri sistemi, è un perimetro tipico su cui gli audit si concentrano.
In questo quadro, l’abilitazione della 2FA su Microsoft 365 è una misura concreta, verificabile e misurabile: riduce la dipendenza dalla sola password e rende più difficile l’accesso non autorizzato anche in caso di credenziali compromesse. Per le organizzazioni, la conseguenza immediata è la necessità di considerare l’identità come componente centrale della sicurezza operativa, con policy, metodi di autenticazione e processi di supporto allineati al livello di rischio reale.
