Panoramica di Windows Hello for Business

Si applica a

  • Windows 10
  • Windows 11

In Windows10, su PC e dispositivi mobili Windows Hello for Business sostituisce l'autenticazione tramite password con l'autenticazione avanzata a due fattori. Questa autenticazione è costituita da un nuovo tipo di credenziali utente associate a un dispositivo e utilizza una tecnologia biometrica o un PIN.

Nota

Nella prima versione rilasciata di Windows10, il sistema includeva Microsoft Passport e Windows Hello e i due sistemi interagivano per offrire l'autenticazione a più fattori. Per semplificare la distribuzione e agevolare il supporto, Microsoft ha riunito queste tecnologie in un'unica soluzione sotto il nome Windows Hello. I clienti che hanno già distribuito queste tecnologie non noteranno alcuna variazione a livello funzionale. I clienti che devono ancora valutare Windows Hello troveranno più semplice la distribuzione di questa soluzione, grazie a criteri, documentazione e semantica semplificati.

Windows Hello consente di risolvere i seguenti problemi associati alle password:

  • Le password complesse possono essere difficili da ricordare e gli utenti spesso usano una stessa password in più siti.
  • Violazioni dei server possono esporre le credenziali di rete simmetriche (password).
  • Le password sono soggette ad attacchi di tipo replay.
  • Gli utenti possono esporre involontariamente le proprie password a causa di attacchi di phishing.

Windows Hello consente agli utenti di effettuare l'autenticazione a:

  • un account Microsoft.
  • un account Active Directory.
  • un account Microsoft Azure Active Directory (Azure AD).
  • servizi di provider di identità o di relying party che supportano l'autenticazione FIDO (Fast ID Online) versione 2.0 (in corso)

Dopo una verifica iniziale in due passaggi dell'utente durante la registrazione, Windows Hello viene impostato nel dispositivo dell'utente e Windows chiede a quest'ultimo di impostare un gesto, che può essere un elemento biometrico, come un'impronta digitale, o un PIN. L'utente specifica il gesto per consentire la verifica della propria identità. Windows quindi utilizza Windows Hello per autenticare gli utenti.

L'amministratore di un'organizzazione aziendale o didattica può creare criteri per la gestione dell'uso di Windows Hello for Business nei dispositivi basati su Windows 10 che si connettono all'organizzazione stessa.

Accesso biometrico

Windows Hello offre servizi di autenticazione biometrica affidabili e totalmente integrati, basati sul riconoscimento facciale o delle impronte digitali. Windows Hello usa in combinazione software e fotocamere a infrarossi (IR) speciali per una maggiore precisione e per migliorare la protezione dallo spoofing. I principali fornitori di hardware sono dispositivi di spedizione che dispongono di fotocamere compatibili con Windows Hello integrate. L'hardware del lettore di impronte digitali può essere usato o aggiunto ai dispositivi che attualmente non lo dispongono. Nei dispositivi che supportano Windows Hello, un semplice gesto biometrico sblocca le credenziali degli utenti.

  • Riconoscimento facciale. Questo tipo di riconoscimento biometrico usa speciali fotocamere in grado di operare con luce a infrarossi, in modo da poter distinguere in modo affidabile tra una fotografia o una scansione e una persona reale. Diversi fornitori offrono fotocamere esterne che incorporano questa tecnologia e anche i principali produttori di portatili la stanno integrando nei loro dispositivi.
  • Riconoscimento dell'impronta digitale. Questo tipo di riconoscimento biometrico usa un sensore capacitivo per effettuare la scansione dell'impronta digitale dell'utente. I lettori di impronta digitale sono disponibili per i computer Windows da anni, ma la generazione di sensori attuale è notevolmente più affidabile e meno soggetta a errori. La maggior parte dei lettori di impronte digitali esistenti (sia esterni che integrati in portatili o tastiere USB) funziona con Windows 10 e Windows 11.

Windows archivia i dati biometrici usati per implementare Windows Hello in modo sicuro solo nel dispositivo locale. I dati biometrici non vengono evasi e non vengono mai inviati a dispositivi o server esterni. Poiché Windows Hello solo i dati di identificazione biometrica nel dispositivo, non esiste un singolo punto di raccolta che un utente malintenzionato possa compromettere per rubare i dati biometrici. Per ulteriori informazioni sull'autenticazione biometrica con Windows Hello for Business, vedere Windows Hello biometrica nell'organizzazione.

Differenza tra Windows Hello e Windows Hello for Business

  • Ognuno può creare un PIN o un movimento biometrico sul proprio dispositivo personale per accedere comodamente. Questo uso di Windows Hello è univoco per il dispositivo in cui è configurato, ma può usare un hash semplice della password a seconda del tipo di account di un individuo. Questa configurazione viene definita PIN Windows Hello comodo e non è supportata dall'autenticazione asimmetrica (chiave pubblica/privata) o basata su certificato.

  • Windows Hello for Business, configurato da Criteri di gruppo o dai criteri di gestione dei dispositivi mobili (MDM), usa sempre l'autenticazione basata su chiave o basata su certificato. In questo modo è molto più sicuro rispetto Windows Hello pin di convenienza.

Vantaggi di Windows Hello

Le notizie di furti di identità e di violazioni su ampia scala sono sempre più frequenti. Nessuno vorrebbe scoprire che il proprio nome utente e la propria password sono stati esposti.

Ci si potrebbe chiedere in che modo un PIN possa dimostrarsi migliore di una password per la protezione di un dispositivo. Le password sono segreti condivisi; vengono immesse in un dispositivo e trasmesse al server attraverso la rete. Un nome account e una password intercettati possono essere utilizzati da chiunque, ovunque. Sono archiviati in un server. Una violazione del server può quindi rivelare le credenziali archiviate.

In Windows 10, Windows Hello sostituisce le password. Quando il provider di identità supporta le chiavi, il processo di provisioning di Windows Hello crea una coppia di chiavi crittografiche associata al TPM (Trusted Platform Module), se un dispositivo ha un TPM 2.0 o nel software. L'accesso a queste chiavi e la possibilità di ottenere una firma per convalidare il possesso della chiave privata da parte dell'utente sono abilitati solo dal PIN o dal gesto biometrico. La verifica in due passaggi che avviene durante la registrazione di Windows Hello crea una relazione di trust tra il provider di identità e l'utente quando la parte pubblica della coppia di chiavi pubblica/privata viene inviata a un provider di identità e associata a un account utente. Quando un utente esegue il gesto sul dispositivo, il provider di identità riconosce dalla combinazione delle chiavi Hello e del gesto che si tratta di un'identità verificata e fornisce un token di autenticazione che consente a Windows 10 di accedere a risorse e servizi.

Nota

Windows Hello in quanto accesso rapido utilizza l'autenticazione mediante nome utente e password normali, senza che l'utente immetta la password.

Funzionamento dell'autenticazione in Windows Hello.

Immagina che qualcuno ti spii mentre ritiri denaro allo sportello Bancomat e veda il PIN che immetti. Il PIN non permetterà al ficcanaso di accedere al tuo conto, perché è necessaria anche la tessera Bancomat. Allo stesso modo, conoscere il PIN del proprio dispositivo non consentirà all'autore di un attacco di accedere all'account. Il PIN infatti è locale al dispositivo specifico e non permette alcun tipo di autenticazione da qualsiasi altro dispositivo.

Windows Hello contribuisce alla protezione delle identità e delle credenziali degli utenti. Dal momento che l'utente non immette una password, se non durante il provisioning, consente di evitare phishing e attacchi di tipo "brute force". Contribuisce inoltre a evitare violazioni dei server. Infatti le credenziali Windows Hello sono costituite da una coppia di chiavi asimmetriche e ciò consente di prevenire gli attacchi di riproduzione, se tali chiavi vengono protette da TPM.

Come funziona Windows Hello for Business: punti chiave

  • Le credenziali Windows Hello sono basate su certificato o su una coppia di chiavi asimmetriche. Le credenziali Windows Hello possono essere associate al dispositivo, così come il token che si ottiene.

  • Il provider di identità (ad esempio Active Directory, Azure AD o un account Microsoft) convalida l'identità dell'utente e durante la fase di registrazione abbina la chiave pubblica di Windows Hello all'account utente.

  • A seconda dei criteri, le chiavi possono essere generate come hardware (TPM 1.2 o 2.0 per le organizzazioni e TPM 2.0 per i consumer).

  • L'autenticazione è l'autenticazione a due fattori con la combinazione di una chiave o un certificato associato a un dispositivo e qualcosa che la persona conosce (un PIN) o qualcosa che la persona è (biometria). Il Windows Hello non esegue il roaming tra dispositivi e non viene condiviso con il server. I modelli biometrici vengono archiviati localmente in un dispositivo. Il PIN non viene mai archiviato o condiviso.

  • La chiave privata non lascia mai un dispositivo quando si usa il TPM. Il server di autenticazione dispone di una chiave pubblica mappata all'account utente durante il processo di registrazione.

  • L'immissione del PIN e il movimento biometrico attivano entrambi l'utilizzo in Windows 10 della chiave privata per firmare crittograficamente i dati che vengono inviati al provider di identità. Il provider di identità verifica l'identità dell'utente e lo autentica.

  • Gli account personali (account Microsoft) e aziendali (Active Directory o Azure AD) usano un singolo contenitore per le chiavi. Tutte le chiavi sono separate dai domini dei provider di identità per assicurare la privacy dell'utente.

  • Le chiavi private dei certificati possono essere protette dal contenitore Windows Hello e dal movimento Windows Hello.

Per ulteriori informazioni, consultare Come funziona Windows Hello for Business.

Confronto tra l'autenticazione basata su chiavi e quella basata su certificati

Per confermare l'identità, Windows Hello for Business può usare sia chiavi (hardware o software) sia certificati in hardware o software. Le aziende che dispongono di un'infrastruttura a chiave pubblica (PKI) per l'emissione e la gestione dei certificati degli utenti finali possono continuare a utilizzare l'infrastruttura PKI in combinazione con Windows Hello. Le aziende che non utilizzano l'infrastruttura PKI o desiderano ridurre lo sforzo associato alla gestione dei certificati utente possono basarsi sulle credenziali basate su chiave per Windows Hello ma utilizzano comunque i certificati nei controller di dominio come radice di attendibilità.

Windows Hello for Business con una chiave non supporta le credenziali fornite per RDP. RDP non supporta l'autenticazione con una chiave o un certificato autofirmato. RDP con Windows Hello for Business è supportato con distribuzioni basate su certificati come credenziale fornita. Windows Hello trust chiave business può essere usato con Windows Defender Remote Credential Guard.

Nota

Windows Hello for Business sta introducendo un nuovo modello di trust denominato trust cloud all'inizio del 2022. Questo modello di attendibilità consentirà la distribuzione di Windows Hello for Business usando l'infrastruttura introdotta per supportare l'accesso con chiave di sicurezza nei dispositivi aggiunti Azure AD ibridi e l'accesso alle risorse locali neidispositivi aggiunti Azure AD . Altre informazioni saranno disponibili su Windows Hello cloud trust di Windows Hello per le aziende una volta che sarà disponibile in genere.

Scopri di più

Implementazione dell'autenticazione utente avanzata con Windows Hello for Business

Implementazione di Windows Hello for Business in Microsoft

Introduzione a Windows Hello, presentazione video in Microsoft Virtual Academy

Autenticazione della faccia e Windows Hello

Windows10: un sistema di sicurezza rivoluzionario per affrontare la rivoluzione delle minacce informatiche

Windows 10: niente più furti di password e credenziali

Argomenti correlati