Autenticazione delle identità senza password con Windows Hello for Business

Gli attuali metodi di autenticazione basati solo su password non sono sufficienti a garantire la protezione degli utenti. Gli utenti riutilizzano e dimenticano le password. Le password possono causare violazioni della protezione, phishing, oltre ad essere facilmente violabili. Sono inoltre difficili da ricordare e più soggette ad attacchi di tipo "pass-the-hash".

Informazioni su Windows Hello for Business

Windows Hello for Business è un approccio di autenticazione basato su certificato o su chiave privata/pubblica disponibile per organizzazioni e utenti grazie al quale non è più necessario usare password. Questo tipo di autenticazione si basa su credenziali a coppie di chiavi che possono sostituire le password e risultare efficaci in caso di violazioni, furti e phishing.

Windows Hello for Business consente agli utenti di eseguire l'autenticazione a un account Microsoft, un account di Windows Server Active Directory, un account di Microsoft Azure Active Directory (Azure AD) o un servizio non Microsoft che supporta l'autenticazione FIDO (Fast IDentity Online). Dopo una verifica iniziale in due passaggi durante la registrazione di Windows Hello for Business, nel dispositivo dell'utente viene configurato Windows Hello for Business. L'utente deve quindi impostare un movimento, come Windows Hello o un PIN. L'utente esegue il movimento per verificare la propria identità. Windows usa quindi Windows Hello for Business per autenticare gli utenti e consentire loro di accedere a risorse e servizi protetti.

La chiave privata viene resa disponibile solo tramite un "movimento utente", come un PIN, un movimento biometrico o un dispositivo remoto, ad esempio una smart card usata per accedere al dispositivo. Queste informazioni vengono quindi collegate a un certificato o a una coppia di chiavi asimmetriche. La chiave privata viene attestata a livello hardware se il dispositivo è dotato di chip TPM (Trusted Platform Module). La chiave privata è sempre associata al dispositivo.

La chiave pubblica viene registrata con Azure Active Directory e Windows Server Active Directory (per la configurazione locale). I provider di identità (IDP) convalidano l'utente abbinando la chiave pubblica a quella privata e fornendo le informazioni di accesso tramite OTP (One Time Password), PhoneFactor o un altro meccanismo di notifica.

Perché alle aziende conviene scegliere Windows Hello for Business?

L'abilitazione di Windows Hello for Business consente alle aziende di aumentare la protezione delle proprie risorse mediante:

  • Configurazione di Windows Hello for Business con l'opzione preferita dall'hardware. Ciò significa che le chiavi verranno generate su TPM 1.2 o TPM 2.0, se disponibile. Quando TPM non è disponibile, la chiave verrà generata dal software.
  • Definire la complessità e la lunghezza del PIN e scegliere se abilitare l'utilizzo di Hello nell'organizzazione.
  • Configurazione di Windows Hello for Business in modo da supportare scenari analoghi a quelli con smart card usando l'attendibilità basata su certificati.

Come funziona Windows Hello for Business

  1. Le chiavi vengono generate a livello hardware da TPM o dal software. Numerosi dispositivi sono dotati di chip TPM integrato che consente di proteggere l'hardware integrando chiavi di crittografia nei dispositivi. Tramite TPM 1.2 o TPM 2.0 vengono generate chiavi o certificati creati da chiavi generate.
  2. Queste chiavi associate all'hardware vengono attestate da TPM.
  3. Un singolo movimento di sblocco consente di sbloccare il dispositivo. Questo movimento consente di accedere a più risorse se il dispositivo è stato aggiunto al dominio o ad Azure AD.

Come funziona il ciclo di vita di Windows Hello for Business

Ciclo di vita di Windows Hello for Business

Il diagramma precedente illustra la coppia di chiavi privata/pubblica e il meccanismo di convalida eseguito dal provider di identità. Ognuno di questi passaggi è illustrato in dettaglio di seguito:

  1. L'utente dimostra la propria identità usando diversi metodi integrati (movimenti, smart card fisiche, autenticazione a più fattori) e invia queste informazioni a un provider di identità (IDP), ad esempio Azure Active Directory o Active Directory locale.
  2. Il dispositivo crea quindi la chiave, la attesta, prende la parte pubblica della chiave, vi allega le istruzioni sulla postazione, esegue l'accesso e la invia al provider di identità in modo che venga registrata.
  3. Non appena la parte pubblica della chiave viene registrata nel provider di identità, questo richiede al dispositivo di autenticarsi eseguendo l'accesso con la parte privata della chiave.
  4. Il provider di identità esegue quindi la convalida e rilascia il token di autenticazione che consente all'utente e al dispositivo di accedere alle risorse protette. Gli IdP possono scrivere app multipiattaforma o usare il supporto del browser tramite API JavaScript/Webcrypto per creare e usare credenziali di Windows Hello for Business per i propri utenti.

Requisiti di distribuzione per Windows Hello for Business

A livello aziendale

  • L'azienda ha una sottoscrizione di Azure.

A livello dell'utente

  • Nel computer dell'utente viene eseguito Windows 10 Professional o Enterprise.

Per istruzioni dettagliate sulla distribuzione, vedere Abilitare Windows Hello for Business all'interno dell'organizzazione.

Informazioni aggiuntive