Come funziona Microsoft Authenticator

Nonostante si parli sempre di dare l'addio alle password grazie all'introduzione delle passkey, la realtà è che siamo ancora legati a questo sistema di autenticazione, e l'unico modo che abbiamo per renderlo più sicuro è, oltre a scegliere una chiave di accesso che non sia "123456", usare l'autenticazione a due fattori (2FA).

Ma non tutti i sistemi di autenticazione a due fattori sono uguali, e l'utilizzo di un'app che genera un codice rappresenta al momento il miglior compromesso tra comodità e sicurezza. Microsoft Authenticator, come Google Authenticator, è un'app di questo tipo, e vi consente di accedere ad app e servizi facilmente e al riparo da malintenzionati.

Vediamo quindi cos'è e come funziona Microsoft Authenticator nel 2023, come fare in caso di cambio telefono o per un account aziendale e come risolvere eventuali problemi, oltre a ricordarvi il nostro approfondimento su Google Authenticator.

• Cos'è Microsoft Authenticator
• Come funziona Microsoft Authenticator app
  • Come aggiungere un account con Microsoft Authenticator
• Come funziona Microsoft Authenticator per cambio telefono
  
  • Senza backup
• Come funziona Microsoft Authenticator per un account aziendale
• Cosa fare se Microsoft Authenticator non funziona

L'utilizzo dell'autenticazione a due fattori (2FA, two factor authentication), è una misura necessaria per evitare che chiunque indovini la vostra password possa accedere al vostro account, in quanto fornisce un ulteriore livello di sicurezza.

Quando accedete a un servizio, infatti, non dovete solo immettere una password, ma anche un codice numerico (OTP, One Time Password) generato al momento. Ma le cose non sono mai semplici, e ce ne sono diversi tipi a disposizione:

• tramite SMS
• tramite app di sicurezza 
• tramite token fisico

L'autenticazione tramite SMS è purtroppo molto diffusa per la sua comodità, in quanto basta ricevere un SMS per ottenere il codice numerico (OTP, One Time Password) da inserire nell'app. Diciamo purtroppo, perché gli SMS non sono stati progettati per essere sicuri e contengono un bug in quello che è noto come protocollo Signaling System 7 (SS7), che permette in teoria a qualche malintenzionato di reindirizzare i messaggi praticamente a qualsiasi numero desiderino. Quindi il vostro codice di verifica SMS potrebbe essere inviato direttamente al cellulare di qualcun altro, il quale, se conosce la vostra password, può accedere comodamente al vostro account. 

Poco probabile, direte voi, ma assolutamente comune, e non sono pochi gli utenti il cui account è stato violato in questo modo.

C'è poi il token fisico, che garantisce la massima sicurezza in quanto genera numeri direttamente nelle vostre mani, scollegato da qualunque dispositivo e al riparo da occhi indiscreti. Sicuro, ma non tutti hanno voglia o necessità di questo livello di sicurezza.

E infine c'è la via di mezzo, ovvero le app di autenticazione. Queste sono app sul vostro smartphone che vi permettono di generare i codici OTP per i servizi associati in pochi istanti. Più sicure dell'SMS, un po' meno sicure del token, in quanto quello che appare sul vostro telefono può essere spiato da malintenzionati (e infatti su Android ora non si possono fare screenshot di queste app), ma sicuramente più comode. 

Microsoft Authenticator è una di queste app di sicurezza. Sviluppata da Microsoft, è disponibile gratuitamente per Android e iOS, e consente di configurare e creare codici di accesso per accedere ai vostri account Gmail, Instagram, Facebook o altri.

Certo non tutti i sistemi di sicurezza sono perfetti, e nella fattispecie se consegnate il vostro codice OTP a malintenzionati non sarete mai protetti: è quindi utile controllare bene anche i siti a cui accedete. 

Ma torniamo a Microsoft Authenticator, e andiamo a scoprire come funziona.

Microsoft Authenticator funziona come la maggior parte delle altre app di autenticazione. Genera un codice a sei o otto cifre che viene rinnovato circa ogni 30 secondi. Accedete alla vostra app o servizio con username e password, il sito vi richiede il codice di autenticazione, accedete all'app Microsoft Authenticator per ricevere quei codici e li incollate dove richiesto.

Microsoft supporta qualsiasi sito Web che utilizza lo standard TOTP (time-based one-time password), che consente all'app di generare continuamente codici e utilizzarli secondo necessità, e che è supportato dalla maggior parte delle app, ad eccezione di alcune app bancarie. Ecco come usarla, tenendo presente che ci sono alcune differenze se la usate per account Microsoft o non-Microsoft.

1. Installate Microsoft Authenticator da Google Play o App Store
2. Avviate l'app
3. Al primo avvio, vi verrà chiesto di accettare la raccolta dei dati, obbligatoria, ma potete scegliere se condividere quelli personali o meno
4. A questo punto apparirà una schermata per l'accesso con il vostro account Microsoft, aggiungere un account scansionando un codice o di ripristinare un backup. Potete cliccare su Ignora in alto a destra, visto che sono azioni che si possono fare in seguito

Ora iniziano delle differenze. Prima di tutto notiamo che su iPhone si può effettuare il backup su iCloud, mentre su Android è necessario accedere con il proprio account Microsoft.

• Android: per abilitare il backup bisogna cliccare in alto a destra sui tre puntini, toccare Impostazioni e poi Backup nel cloud
• iOS: per abilitare il backup bisogna toccare le tre linee orizzontali in alto a sinistra, toccare Impostazioni e poi Backup su iCloud

Per il resto il funzionamento è simile, ma la distinzione avviene se si vuole registrare un account qualunque (Facebook, Google o altri) o un account Microsoft. Vediamo le due possibilità.

Come aggiungere un account con Microsoft Authenticator

Come aggiungere un account non-Microsoft

Per quanto riguarda gli account non Microsoft, il funzionamento varia da servizio a servizio, ma l'idea di fondo è la stessa. 

1. Avviate l'app Microsoft Authenticator
2. Toccate il pulsante Aggiungi account
3. Andate sul sito web o sull'app per cui volete attivare l'autenticazione a due fattori
4. Toccate l'opzione Autenticazione tramite app
5. Vedrete un codice QR o un codice numerico
6. Tornate a Microsoft Authenticator e toccate Altro (Google, Facebook e così via). Si aprirà una schermata con uno spazio attivo per inquadrare il codice QR. Se viene mostrato un codice numerico, toccate In alternativa, immettere il codice manualmente
7. Date un nome all'account in modo da riconoscerlo

Come aggiungere un account Microsoft

L'accesso all'account Microsoft, almeno su Android, permette il salvataggio del backup, in modo da poter salvare le proprie credenziali in caso di cambio telefono. Un altro vantaggio è che consente di accedere all'account Microsoft senza password, ma solo con una notifica dal telefono.

• Avviate l'app Microsoft Authenticator
• Toccate il pulsante Aggiungi account
• Toccate Account personale o Account aziendale o dell'istituto di istruzione
• Scegliete se scansionare il codice QR (dal sito web) o inserire manualmente le credenziali di accesso (in questo caso dovrete inserire il vostro nome utente e password)
• Vi verrà richiesto un codice, che potrete ricevere via email o in altro modo
• Potete abilitare il riconoscimento biometrico
• Ora l'app è collegata al vostro account Microsoft e potete usarla anche per riempire automaticamente le passwords e sincronizzare i dati
• Ora che il vostro account Microsoft è collegato, potete usarla per accedere ad esso senza password, usando solo il nome utente e il codice generato dall'app

La configurazione dell'account Microsoft è qualcosa che farete solo una volta, e potete poi aggiungere qualsiasi account online desideriate cliccando sul pulsante "+" in alto a destra e ripetendo i passaggi visti nel paragrafo precedente per account non-Microsoft.

Come abbiamo detto, potete usare Microsoft Authenticator anche per inserire automaticamente password (iOS e Android), indirizzi e metodi di pagamento (solo Android), e tutto è collegato al vostro account Microsoft, quindi anche a Edge o, su Chrome, attraverso l'estensione Microsoft Autofill.

Vi ricordiamo che la maggior parte degli account con autenticazione a due fattori offrono codici di backup quando attivate il servizio, utili in caso non possiate utilizzare i codici dell'app di autenticazione. Quando attivate il servizio, assicuratevi di salvare questi dati (per esempio facendo uno screenshot) in modo da averli disponibili in caso di problemi e poter comunque accedere all'account.

In caso cambiate telefono, Microsoft Authenticator offre una comoda opzione di backup e ripristino. Ovviamente prima dovete attivare il backup, che abbiamo visto si può attivare in modo leggermente diverso da Android a iOS. Su Android il backup è attivato sul vostro account Microsoft (quindi dovrete accedervi), mentre su iOS avviene su iCloud.

• Android: per abilitare il backup bisogna
  1. Cliccate in alto a destra sui tre puntini
  2. Toccate Impostazioni
  3. Toccate Backup nel cloud. In questo caso dovete aver effettuato l'accesso con il vostro account Microsoft

• iOS: per abilitare il backup bisogna
  1. Toccate le tre linee orizzontali in alto a sinistra
  2. Toccate Impostazioni
  3. Toccate Backup su iCloud

Verrà quindi eseguito il backup dei vostri account, con i nomi utente, il codice di verifica e vari metadati, come l'ora in cui è stato creato il backup. L'autenticatore crea un file JSON Web Encryption BLOB (JWE) crittografato utilizzando AES-256. Quindi esegue l'hashing dei dati utilizzando SHA-512 e li aggiunge al JWE prima di archiviare l'intero file e l'ID chiave nel vostro account.

Per ripristinare il backup ecco come fare.

1. Installate Microsoft Authenticator sul nuovo telefono. 
2. Non configurate alcun account utilizzando Microsoft Authenticator fino a dopo aver utilizzato lo strumento di ripristino perché sovrascriverà gli account del sito corrispondenti
3. Toccate Inizia ripristino
4. Vi verrà chiesto di accedere all'account Microsoft che avete utilizzato per il backup sul vecchio telefono. I vostri account verranno quindi aggiunti automaticamente
5. Alcuni account richiedono la riconvalida, quindi scansionando di nuovo il codice QR, e Microsoft Authenticator visualizzerà un messaggio se è necessario eseguire questa operazione. 
6. Dopo aver controllato che l'accesso funziona per tutti gli account, potete rimuoverli dal vecchio telefono, per sicurezza. Per farlo, aprite Microsoft Authenticator, toccate l'account che desiderate rimuovere, quindi toccate Rimuovi account. Per ulteriore sicurezza, aprite i siti su cui avete effettuato l'accesso con il vecchio telefono e rimuovetelo dai metodi di autenticazione validi. 

Come funziona Microsoft Authenticator per cambio telefono senza backup

Ci possono essere alcuni motivi per cui il vostro backup potrebbe non essere disponibile.

In generale, vi ricordiamo sempre di avere a disposizione dei codici di backup dei vari servizi, in modo da non essere vincolati a una singola app, ma ci sono alcune soluzioni. 

Se cambiate sistema operativo, per esempio passando da iOS ad Android, il backup non sarà ripristinabile in quanto effettuato su servizi diversi. Quindi dovrete ricreare manualmente i vostri account all'interno dell'app Authenticator.

In caso abbiate cancellato il backup per sbaglio dal dispositivo precedente o mentre gestivate il vostro account di archiviazione cloud, dovete ricreare manualmente il vostro account all'interno dell'app.

In caso le informazioni di backup non siano aggiornate, potrebbe essere richiesto di aggiornarle accedendo nuovamente al proprio account di ripristino Microsoft, ovvero il vostro account Microsoft personale che avete utilizzato inizialmente per archiviare il backup. Se è richiesto l'accesso, vedrete un punto rosso nel menu o nella barra delle azioni oppure vedrete un'icona con un punto esclamativo che vi chiede di accedere per completare il ripristino dal backup.

Dopo aver selezionato l'icona appropriata, vi verrà chiesto di accedere nuovamente per aggiornare le vostre informazioni.

Come mossa estrema, potete cercare di recuperare le informazioni chiedendo aiuto a Microsoft direttamente. Senza un backup è difficile recuperare gli account ma a questo indirizzo potete chiedere aiuto e magari risolvere il vostro problema. 

Come abbiamo visto nel paragrafo relativo al funzionamento di Microsoft Authenticator, questa può essere usata anche come metodo di verifica per configurare account aziendali o di istituti di istruzione.

Per prima cosa, dovete installare l'app Microsoft Authenticator, successivamente potete aggiungere l'account, con tre possibilità: tramite credenziali, tramite codice QR o da remoto.

Per accedere tramite credenziali dovete avere l'accesso abilitato dall'amministratore di sistema. 

1. Avviate l'app Microsoft Authenticator
2. Selezionate il pulsante "+"
3. Toccate Aggiungi account aziendale o dell'istituto di istruzione
4. Selezionate Accedi
5. Inserite le credenziali dell'account aziendale o dell'istituto di istruzione. Se avete un pass di accesso temporaneo (TAP), usate quello.
   • Se viene visualizzato il messaggio "Per configurare Microsoft Authenticator, è necessario passare a aka.ms/mfasetup in un Web browser", vuol dire che nel vostro account non sono disponibili metodi di autenticazione sufficienti per ottenere un token di autenticazione sicuro
   • Se viene visualizzato il messaggio "È possibile che l'accesso venga eseguito da una posizione limitata dall'amministratore", significa che l'amministratore non ha abilitato questa funzionalità
6. Potrebbe essere richiesto di scansionare un codice QR per configurare un account di autenticazione a più fattori locale nell'app
7. Completata la procedura, toccate l'account e verificate che sia corretto nella visualizzazione a schermo intero, con il codice di verifica che cambia ogni 30 secondi

Per accedere tramite codice QR, ecco come fare.

1. Andate su un computer e andare sulla pagina Verifica di sicurezza aggiuntiva, che deve essere attivata dall'amministratore di sistema. 
2. Selezionate la casella di controllo di fianco a App Authenticator
3. Cliccate su Configura
4. Avviate l'app Microsoft Authenticator sul telefono
5. Selezionate il pulsante con il segno "+"
6. Selezionate Account aziendale o dell'istituto di istruzione
7. Toccate Scansiona codice QR
8. Vedrete una schermata che vi consente di inquadrare il codice QR con la fotocamera del telefono. Se non succede, verificate che l'app abbia il permesso per accedere alla fotocamera
9. Una volta completata la procedura, il vostro account è configurato. Se vedete il messaggio "È possibile che l'accesso venga eseguito da una posizione limitata dall'amministratore", significa che l'amministratore non ha abilitato questa funzionalità e dovrete contattarlo

Infine, potete effettuare l'accesso da remoto. Ecco come fare.

1. Avviate l'app Microsoft Authenticator sul telefono
2. Selezionate il pulsante con il segno "+"
3. Selezionate Account aziendale o dell'istituto di istruzione
4. Toccate Accedi
5. Toccate Opzioni di accesso
6. Selezionate Accedi da un altro dispositivo
7. Nella schermata remota aprite la pagina Accedi al tuo account
8. Accedete con le vostre credenziali
9. Immettete il codice visualizzato nell'app Authenticator
10. Tornate all'app per completare la configurazione

Ci possono essere alcuni problemi che impediscono il corretto funzionamento di Microsoft Authenticator. Ecco come risolverli.

Un metodo semplice è pulire la cache sul vostro telefono Android. 

1. Andate nelle Impostazioni
2. Toccate App
3. Toccate Mostra tutte le app
4. Selezionate Authenticator
5. Toccate Forza interruzione
6. Toccate Spazio di archiviazione e cache
7. Toccate Svuota cache

1. Andate su Google Play
2. Toccate il vostro avatar in alto a destra
3. Toccate Gestisci app e dispositivo
4. Toccate Visualizza dettagli
5. Controllate che nella lista ci sia Microsoft Authenticator e in caso aggiornatela
6. Se non funziona, attivate il backup come descritto nel primo paragrafo
7. Tornate in questa pagina e toccate Cancella dati archiviati
8. Ora potete ripristinare l'app da zero, avviandola e toccando Ripristina dal backup all'accesso

Altri problemi comuni riguardano la verifica in due passaggi per gli account aziendali o di un istituto di istruzione.

• Se non avete il vostro telefono con voi:
  1. Accedete al vostro account 
  2. Nella pagina Verifica a due fattori, toccate Accedi in altro modo
  3. Scegliete il metodo alternativo. Se non vedete questa opzione, dovete attivarla contattando l'amministratore
• Se non riuscite ad accedere dopo più tentativi
  1. Attendete fino a quando non potete riprovare l'accesso
  2. Se temete che qualcun altro stia tentando di accedere, contattate l'amministratore
• Se non ricevete il codice di verifica sul dispositivo mobile
  • Se avete superato il limite, attendete qualche minuto
  • Provate con un altro metodo
  • Contattate l'amministratore
  • Riavviate il dispositivo
  • Controllate che le informazioni siano corrette
  • Controllate che le notifiche siano attivate, consentendo le seguenti modalità di notifica: chiamate telefoniche, Microsoft Authenticator, SMS
  • Assicuratevi di avere segnale o connessione Internet
  • Disattivate Non disturbare
  • Controllate le impostazioni relative alla batteria, disattivando l'ottimizzazione della batteria in background toccando, in Android, l'icona a tre puntini in alto e toccando Disattiva l'ottimizzazione della batteria
  • Disabilitate app di sicurezza di terze parti, che possono bloccare SMS o chiamate da numeri sconosciuti