Share via

Gestire la verifica dell'identità tramite Microsoft Passport

  • Articolo

In Windows 10, su PC e dispositivi mobili Microsoft Passport sostituisce le password con l'autenticazione avanzata a due fattori. Questa autenticazione è costituita da un nuovo tipo di credenziali utente associate a un dispositivo e a Windows Hello (biometria) o a un PIN.

Passport consente di risolvere i seguenti problemi associati alle password:

  • Le password possono essere difficili da ricordare e gli utenti spesso usano una stessa password in più siti.

  • Violazioni dei server possono esporre le credenziali di rete simmetriche.

  • Le password possono essere soggette ad attacchi di tipo replay.

  • Gli utenti possono esporre involontariamente le proprie password a causa di attacchi di phishing.

Passport consente agli utenti di effettuare l'autenticazione a:

  • un account Microsoft;

  • un account Active Directory;

  • un account Microsoft Azure Active Directory;

  • servizi di provider di identità o di relying party che supportano l'autenticazione FIDO (Fast ID Online) vers. 2.0

Dopo una verifica iniziale in due passaggi dell'utente durante la registrazione di Passport, Passport viene impostato nel dispositivo dell'utente e a quest'ultimo viene chiesto di impostare un gesto, che può essere Windows Hello o un PIN. L'utente specifica il gesto per consentire la verifica della propria identità. Windows usa quindi Passport per autenticare gli utenti e consentire loro l'accesso a risorse e servizi protetti.

L'amministratore di un'organizzazione aziendale o didattica può creare criteri per la gestione dell'uso di Passport nei dispositivi basati su Windows 10 che si connettono all'organizzazione stessa.

Vantaggi di Microsoft Passport

Le notizie di furti di identità e di violazioni su ampia scala sono sempre più frequenti. Nessuno vorrebbe scoprire che il proprio nome utente e la propria password sono stati esposti.

Ci si potrebbe chiedere in che modo un PIN possa dimostrarsi migliore di una password per la protezione di un dispositivo. Le password sono segreti condivisi; vengono immesse in un dispositivo e trasmesse al server attraverso la rete. Un nome account e una password intercettati possono essere usati da chiunque. Sono archiviati in un server. Una violazione del server può quindi rivelare le credenziali archiviate.

In Windows 10 Passport sostituisce le password. Il processo di provisioning di Passport crea due chiavi di crittografia associate al TPM (Trusted Platform Module), se il dispositivo è dotato di questo modulo, o al software. L'accesso a queste chiavi e la possibilità di ottenere una firma per convalidare il possesso della chiave privata da parte dell'utente sono abilitati solo dal PIN o dal gesto biometrico. La verifica in due passaggi che avviene durante la registrazione di Passport crea una relazione di trust tra il provider di identità e l'utente quando la parte pubblica della coppia di chiavi pubblica/privata viene inviata a un provider di identità e associata a un account utente. Quando un utente esegue il gesto sul dispositivo, il provider di identità riconosce dalla combinazione delle chiavi Passport e del gesto che si tratta di un'identità verificata e fornisce un token di autenticazione che consente a Windows 10 di accedere a risorse e servizi. Durante il processo di registrazione, inoltre, l'attestazione viene generata per ogni provider di identità, per dimostrare in modo crittografato che le chiavi Passport sono legate al TPM. Durante la registrazione, se l'attestazione non viene presentata al provider di identità, quest'ultimo deve presupporre che la chiave Passport sia creata all'interno del software.

Come funziona l'autenticazione in Microsoft Passport

Immagina che qualcuno ti spii mentre ritiri denaro allo sportello Bancomat e veda il PIN che immetti. Il PIN non permetterà al ficcanaso di accedere al tuo conto, perché è necessaria anche la tessera Bancomat. Allo stesso modo, sapere il PIN del tuo dispositivo non consentirà all'autore di un attacco di accedere al tuo account. Il PIN infatti è locale al tuo dispositivo specifico e non permette alcun tipo di autenticazione da qualsiasi altro dispositivo.

Microsoft Passport contribuisce alla protezione delle identità e delle credenziali degli utenti. Dato che non vengono usate password, consente di evitare attacchi di phishing e di forza bruta. Contribuisce inoltre a evitare violazioni dei server. Infatti le credenziali Microsoft Passport sono costituite da una coppia di chiavi asimmetriche e ciò consente di prevenire gli attacchi di riproduzione, se tali chiavi vengono generate in ambienti TPM isolati.

Microsoft Passport consente inoltre di usare i dispositivi Windows 10 Mobile come una credenziale remota per l'accesso ai PC Windows 10. Durante il processo di accesso, il PC Windows 10 può connettersi tramite Bluetooth per accedere a Microsoft Passport nel dispositivo Windows 10 Mobile dell'utente. Poiché gli utenti portano con sé il proprio telefono, Microsoft Passport rende l'implementazione dell'autenticazione a due fattori in tutta l'organizzazione meno costosa e complessa rispetto alle altre soluzioni.

Nota  L'accesso telefonico è attualmente limitato a partecipanti del programma TAP (Technology Adoption Program) selezionati.

 

Come funziona Microsoft Passport: punti chiave

  • Le credenziali Microsoft Passport sono basate su certificato o su una coppia di chiavi asimmetriche. Le credenziali Passport sono associate al dispositivo, così come il token che si ottiene.

  • Il provider di identità (ad esempio Active Directory, Azure AD o un account Microsoft) convalida l'identità dell'utente e durante la fase di registrazione abbina la chiave pubblica di Microsoft Passport all'account utente.

  • A seconda dei criteri, le chiavi possono essere generate come hardware ( TPM 1.2 o 2.0 per le organizzazioni e TPM 2.0 per i consumer).

  • L'autenticazione è del tipo a due fattori, basata sulla combinazione di una chiave o di un certificato collegato a un dispositivo e di un'informazione nota all'utente (un PIN) o una caratteristica fisica della persona (Windows Hello). Il gesto di Passport non viene trasferito tra dispositivi e non viene condiviso con il server, ma è archiviato localmente in un dispositivo.

  • La chiave privata non lascia mai il dispositivo. Il server di autenticazione dispone di una chiave pubblica mappata all'account utente durante il processo di registrazione.

  • Il PIN ed Hello attivano in Windows 10 la verifica dell'identità dell'utente e l'autenticazione tramite chiavi o certificati Passport.

  • Gli account personali (account Microsoft) e aziendali (Active Directory o Azure AD) usano contenitori separati per le chiavi. I provider di identità diversi da Microsoft possono generare chiavi per gli utenti nello stesso contenitore dell'account Microsoft. Tuttavia, per garantire la privacy degli utenti tutte le chiavi sono separate da domini dei provider di identità.

  • I certificati vengono aggiunti al contenitore Passport e sono protetti dal gesto Passport.

  • Comportamento di Windows Update: dopo un riavvio richiesto da Windows Update, l'ultimo utente che ha interagito con il dispositivo effettua l'accesso automaticamente senza dover eseguire alcun gesto. La sessione è bloccata, quindi possono essere eseguite solo le app della schermata di blocco dell'utente.

Confronto tra l'autenticazione basata su chiavi e quella basata su certificati

Per verificare l'identità, Passport può usare sia chiavi (hardware o software) che certificati con chiavi hardware o software. Le organizzazioni che dispongono di un'infrastruttura a chiave pubblica (PKI) per il rilascio e la gestione dei certificati possono continuare a usare tale infrastruttura in combinazione con Passport. Le organizzazioni che non usano un'infrastruttura a chiave pubblica o desiderano ridurre l'impegno associato alla gestione dei certificati possono usare le credenziali basate su chiavi con Passport.

Le chiavi hardware, generate da TPM, offrono il massimo livello di garanzia. Quando viene prodotto il TPM, all'interno di questo viene inserito un certificato chiave di verifica dell'autenticità. Questo certificato crea un trust radice per tutte le altre chiavi generate nel TPM.

Il certificato chiave di verifica dell'autenticità viene usato per generare un certificato della chiave di identità dell'attestazione (AIK) emesso da un'Autorità di certificazione Microsoft. Il certificato AIK può essere usato come attestazione ai provider di identità che le chiavi Passport sono generate nello stesso TPM. L'Autorità di certificazione (CA) Microsoft genera il certificato AIK per dispositivo, per utente e per IDP, per garantire la protezione della privacy dell'utente.

Quando un provider di identità, ad esempio Active Directory o Azure Active Directory, registra un certificato in Passport, Windows 10 supporta lo stesso set di scenari di una smart card. Se il tipo di credenziale corrisponde alla chiave, sono supportati solo operazioni e trust basati su chiave.

Altre informazioni

Novità relative a Servizi di dominio Active Directory in Windows Server Technical Preview

Autenticazione della faccia e Windows Hello

Linee guida per l'hardware biometrico

Windows 10: un sistema di sicurezza rivoluzionario per affrontare la rivoluzione delle minacce informatiche

Windows 10: niente più furti di password e credenziali

Autenticazione senza password con Microsoft Passport

Guida a Microsoft Passport

Argomenti correlati

Implementare Microsoft Passport nell'organizzazione

Perché il PIN è meglio di una password

Preparare gli utenti a usare Microsoft Passport

Microsoft Passport e modifiche delle password

Errori di Microsoft Passport durante la creazione di PIN

ID evento 300 - Creazione di Passport completata