Vedi ripetuti tentativi di accesso “con password” al tuo account Microsoft, anche se hai attivato l’accesso senza password (Authenticator, FIDO2 o Windows Hello)? Ecco perché accade, come leggere i log e quali azioni concrete adottare per restare al sicuro.
Perché compaiono tentativi di accesso “con password” su un account senza password
Il problema: l’utente nota continui tentativi di sign‑in in cui qualcuno sembra digitare una password nella maschera classica, nonostante l’account sia configurato in modalità passwordless. Questo comportamento è atteso e, se il profilo è impostato correttamente, non indica una violazione.
Il nome utente è (spesso) pubblico
Se un aggressore conosce il tuo alias Microsoft (ad esempio un indirizzo @outlook.com, @hotmail.com o l’UPN aziendale), può sempre provare a inserirlo nel campo “Email, telefono o Skype” ed arrivare alla schermata della password. L’esposizione dell’alias è inevitabile: fa parte del protocollo di autenticazione per verificare quale tenant/servizio gestisca l’utente.
La schermata della password esiste ancora per retro‑compatibilità
- Endpoint legacy: Microsoft mantiene l’endpoint basato su password per garantire compatibilità con dispositivi datati, servizi IMAP/SMTP o applicazioni che non supportano metodi moderni.
- Password invalidata a monte: quando attivi “Accedi senza password”, qualunque valore nel campo password viene scartato prima della fase successiva. In pratica, è come se esistesse un “falso” campo password: puoi digitarci di tutto, ma non porta all’accesso.
- Visibilità nei log: i tentativi falliti restano comunque tracciati nei registri di sicurezza; è utile per audit e rilevamento anomalie.
Perché ricevi comunque notifiche in Microsoft Authenticator
Quasi sempre per uno di questi motivi:
- L’attaccante tenta il flusso corretto (passwordless) ma non può approvare la richiesta sull’app.
- Ha indovinato o possiede una vecchia password (non più valida) e continua a riprovare quel metodo in modo automatico.
- Automazioni o bot stanno “spingendo” richieste ripetute sperando in un clic per errore (tecnica di MFA fatigue).
In ogni caso, senza possesso del tuo secondo fattore (app Authenticator, chiave di sicurezza FIDO2, Windows Hello o simili), l’accesso rimane bloccato.
Cosa significa davvero “account senza password”
“Passwordless” non è un semplice multi‑factor “più comodo”: è una modalità di autenticazione primaria che sostituisce la password con una credenziale forte basata su chiavi crittografiche o challenge protette.
- Account Microsoft personale (MSA): attivando Account senza password, la password viene rimossa dal profilo e non può più essere usata per accedere. I metodi validi diventano Authenticator, chiavi FIDO2, Windows Hello o codici di recupero d’emergenza.
- Account lavoro/scuola (Entra ID): l’amministratore può imporre metodi passwordless (Windows Hello for Business, FIDO2, passkey compatibili) e regole di accesso condizionale. Anche qui la password può essere resa inutile, pur restando visibile la schermata legacy.
Conclusione: il campo password non scompare dall’interfaccia pubblica, ma qualsiasi password è resa inservibile.
Come leggere e interpretare i log di accesso
Controllare periodicamente l’attività dell’account è buona pratica. Nei registri di accesso troverai voci simili a queste (la terminologia può variare tra account personale e aziendale):
| Voce / Stato | Cosa indica | Azione consigliata |
|---|---|---|
| Accesso non riuscito – password errata | Qualcuno ha provato a digitare una password per il tuo alias. Se sei in passwordless, è un tentativo automaticamente respinto. | Nessuna azione, continua a monitorare. Valuta di rafforzare i metodi passwordless. |
| Richiesta push rifiutata | Hai premuto “Rifiuta” nell’app Authenticator (bene!). | Se gli eventi si ripetono, considera un metodo senza notifiche push (FIDO2/passkey). |
| Richiesta push scaduta | Non hai risposto (o l’attaccante non poteva). L’accesso non è stato concesso. | Nessuna azione. Attiva alert email/SMS per essere informato subito. |
| Bloccato da politica | Una regola (ad es. accesso condizionale) ha bloccato il sign‑in. | Verifica le policy con l’amministratore (ambienti aziendali). |
| Metodo non consentito | Un’app legacy o IMAP/SMTP ha provato ad usare credenziali non ammesse. | Rimuovi password dell’app, migra all’OAuth moderno o elimina il profilo legacy. |
Soluzione già applicata e comportamento raccomandato
- Passwordless attivo: l’unico mezzo di accesso valido è Authenticator (o altro fattore forte). La digitazione di una password è ininfluente.
- Notifiche di login inattese: ignorale o rifiutale; non indicano di per sé una compromissione. Non approvare mai richieste che non hai generato.
Ulteriori misure consigliate (passi pratici)
| Passo | Perché serve | Dove farlo |
|---|---|---|
| Verificare in Sicurezza → Opzioni di sicurezza avanzate che “Account senza password” sia Attivato | Assicura che nessuna password sia registrata | account.microsoft.com → Sicurezza → Opzioni avanzate |
| Rimuovere eventuali password dell’app (App Passwords) o credenziali obsolete | Impediscono bypass su protocolli legacy | Stessa sezione della sicurezza dell’account |
| Abilitare l’avviso “Attività sospette” via mail o SMS | Ricevi alert in tempo reale | Dashboard di sicurezza dell’account |
| Controllare periodicamente “Accessi recenti” | Vedi IP, dispositivo, geolocalizzazione approssimativa e motivo del rifiuto | Sezione Attività dell’account Microsoft |
| Non approvare mai richieste in Authenticator che non hai generato | Previene tecniche di MFA fatigue | — |
Procedura guidata per account Microsoft personale (MSA)
- Conferma lo stato passwordless
- Vai alle impostazioni di sicurezza del tuo account.
- Verifica che “Account senza password” sia Attivo.
- Controlla i metodi di accesso disponibili
- App Microsoft Authenticator registrata su questo dispositivo.
- Chiavi di sicurezza FIDO2/passkey (consigliate per eliminare le notifiche push).
- Windows Hello (impronta, PIN dispositivo): ottimo sui PC personali.
- Rimuovi le “password dell’app”
- Se in passato hai attivato la verifica in due passaggi con app legacy, potrebbero esistere “App Password”.
- Eliminale tutte: le app moderne devono usare l’accesso tramite browser/Authenticator (OAuth 2.0).
- Attiva notifiche di sicurezza
- Configura email e numero di telefono per ricevere avvisi su attività sospette o nuove registrazioni di dispositivo.
- Abilita anche le notifiche per modifiche ai metodi di accesso e recupero.
- Rivedi “Accessi recenti”
- Controlla provenienza, sistema operativo, app coinvolta, esito e motivazione (rifiuto, scadenza, blocco policy).
- Etichetta come “Non sei tu?” solo se sei certo; in caso di dubbio, lascia invariato e continua a monitorare.
- Riduci la superficie di notifica
- Se ricevi molte richieste push, passa a chiavi FIDO2/passkey: l’accesso avviene toccando la chiave o usando il sensore biometrico, senza conferme push.
- Disinstalla Authenticator da dispositivi non più in uso e rimuovi i metodi di accesso associati.
Procedura per account aziendale/scuola (Entra ID)
Se usi un account di lavoro o scuola, alcune impostazioni dipendono dall’amministratore IT. Suggerimenti:
- Abilita metodi passwordless aziendali: Windows Hello for Business, chiavi FIDO2/passkey compatibili o l’app Authenticator con numero a schermo.
- Imponi metodi resistenti al phishing: le chiavi FIDO2/passkey eliminano la componente push, riducendo la MFA fatigue.
- Accesso Condizionale: applica controlli per posizione, dispositivo conforme, rischio identità; blocca protocolli legacy (IMAP/POP/SMTP basic).
- Monitoraggio: consulta i log di accesso e le analisi di rischio dell’identità per individuare password spraying o tentativi massivi.
Best practice per evitare la “MFA fatigue”
- Non approvare mai richieste non attese: se ti appare un prompt mentre non stai accedendo, rifiuta.
- Preferisci FIDO2/passkey su dispositivi personali e di lavoro per ridurre (o azzerare) le notifiche push.
- Numero di accoppiamento (se disponibile): richiede di digitare nell’app il numero mostrato a schermo, bloccando approvazioni casuali.
- Dispositivi attendibili: evita di registrare metodi su dispositivi condivisi o non aggiornati.
- Revoca metodi inutilizzati: rimuovi vecchi telefoni, chiavi di sicurezza smarrite o profili Authenticator duplicati.
Quando preoccuparsi davvero: indicatori di compromissione
Questi segnali meritano attenzione immediata:
- Accesso riuscito da località o dispositivo sconosciuti (senza tua azione).
- Notifica approvata che non hai autorizzato.
- Comparsa di nuovi metodi di accesso che non hai aggiunto.
- Modifica ai dati di recupero (email o numero) non riconosciuta.
In presenza di uno o più indicatori:
- Metti il profilo in sicurezza (forza il logout da tutti i dispositivi).
- Rimuovi metodi sospetti, lascia attivi solo Authenticator/chiave in tuo possesso.
- Se possibile, abilita solo metodi resistenti al phishing (FIDO2, passkey).
- Contatta il supporto o l’amministratore IT (per account aziendali).
Domande frequenti
Posso nascondere il campo password dalla pagina di accesso?
No. È una parte standard dell’interfaccia e serve a compatibilità e routing. La sicurezza non deriva dal “nascondere” il campo, ma dal renderlo inservibile tramite passwordless.
Se qualcuno conosce la mia vecchia password, può entrare?
No, se l’account è davvero senza password. La password non è più un fattore valido; il tentativo fallisce prima della richiesta del secondo fattore.
Le app di posta con IMAP/SMTP continueranno a funzionare?
Solo se supportano l’accesso moderno tramite browser/Authenticator. Le “password dell’app” vanno rimosse; i protocolli legacy con credenziali statiche dovrebbero essere disabilitati.
È meglio Authenticator o una chiave FIDO2/passkey?
Entrambi sono sicuri. Le chiavi FIDO2/passkey sono molto comode e resistenti al phishing, inoltre eliminano le notifiche push. Consigliate quando ricevi molte richieste non attese.
Disattivare passwordless fermerà i tentativi?
No. Gli script continueranno a provare. Disattivando passwordless peggiori la tua sicurezza. Mantieni attivo passwordless e ignora/rifiuta le notifiche non richieste.
Esempi pratici: come distinguere “rumore” da rischio
| Scenario | Valutazione | Passi consigliati |
|---|---|---|
| 10–20 tentativi di password errata al giorno, nessuna approvazione push | Rumore da bot o password spraying | Nessuna azione critica; rafforza passwordless con FIDO2 se il rumore è fastidioso |
| Richieste push alle 3 di notte, mentre dormi | Probabile attacco di MFA fatigue | Rifiuta; valuta di passare a FIDO2/passkey e disconnetti sessioni attive |
| Nuovo metodo di sicurezza aggiunto senza il tuo intervento | Alto rischio | Revoca immediatamente il metodo, verifica i dispositivi e aggiorna le info di recupero |
| Accesso riuscito da città/paese in cui non ti trovi | Compromissione o proxy/errore geolocalizzazione | Indaga: se non riconosci il dispositivo, esegui contenimento e reset dei metodi |
Strategie avanzate per la massima tranquillità
- Cambia alias principale se l’indirizzo è molto esposto in rete (newsletter, vecchi forum). Un alias meno noto riduce il volume di tentativi automatici.
- Usa chiavi FIDO2/passkey come metodo predefinito per accedere senza notifiche push e con protezione nativa del dispositivo.
- Segmenta gli ambienti: usa account separati per test, iscrizioni o servizi a rischio; non confondere l’account principale con registrazioni “usa e getta”.
- Hardening dei dispositivi: sistema operativo aggiornato, blocco schermo con biometria/PIN, crittografia attiva; è il primo anello della catena passwordless.
Checklist operativa (riassunto)
- Conferma che “Account senza password” sia attivo.
- Abilita almeno due metodi forti (es. Authenticator + FIDO2).
- Rimuovi password dell’app e protocolli legacy.
- Attiva avvisi email/SMS per attività sospette.
- Controlla i log “Accessi recenti” ogni tanto.
- Non approvare mai richieste push non richieste.
Messaggio chiave
Andare passwordless non elimina il campo password dall’interfaccia pubblica, ma invalida qualunque password. I tentativi continueranno a comparire nei log: il tuo account resta protetto finché approvi solo gli accessi che tu hai generato nell’Authenticator o con la tua chiave.
Conclusioni
I tentativi “con password” che vedi nei registri sono l’effetto collaterale di un web dove l’alias utente è facilmente indovinabile e gli endpoint legacy esistono ancora. La buona notizia è che, con passwordless attivo e metodi resistenti al phishing (FIDO2, Windows Hello, passkey), questi tentativi si trasformano in rumore innocuo. Completa la protezione con la rimozione di credenziali obsolete, alert tempestivi e un controllo periodico dei log. Se il disturbo persiste, riduci la superficie passando a chiavi di sicurezza: niente più notifiche push da respingere, solo un tocco e sei dentro — tu e nessun altro.