Perché il PIN è meglio di una password

  • Articolo

Microsoft Passport in Windows 10 consente agli utenti di accedere al proprio dispositivo usando un PIN. In che modo un PIN è diverso (e migliore) di una password?

In apparenza, un PIN è molto simile a una password. Un PIN può essere composto da un set di numeri, ma i criteri aziendali potrebbero richiedere PIN complessi che includono caratteri speciali e lettere, sia maiuscole che minuscole. Ad esempio, t758A! potrebbe essere la password di un account o un PIN Passport complesso. Non è la struttura di un PIN (lunghezza, complessità) a renderlo migliore di una password, ma il suo funzionamento.

Il PIN è associato al dispositivo

Una differenza importante tra una password e un PIN Passport è che il PIN è associato al dispositivo specifico in cui è stato configurato. Quel PIN sarà inutilizzabile senza quell'hardware specifico. Se ti rubano la password, possono accedere al tuo account da qualsiasi dispositivo, mentre se ti rubano il PIN, devono rubarti anche il dispositivo per poterlo usare.

Persino tu non puoi usare quel PIN su qualsiasi dispositivo, ma solo su quel determinato dispositivo. Se vuoi accedere su più dispositivi, devi configurare Passport su ogni dispositivo.

Il PIN è configurato in locale sul dispositivo

Una password viene trasmessa al server: può essere intercettata durante la trasmissione o rubata da un server. Un PIN è configurato in locale sul dispositivo: non viene trasmesse e non è memorizzato sul server.

Al momento della creazione, il PIN stabilisce una relazione attendibile con il provider identità e crea una coppia di chiavi asimmetriche che vengono usate per l'autenticazione. Quando viene inserito, il PIN sblocca la chiave di autenticazione e la usa per firmare la richiesta che viene inviata al server di autenticazione.

Nota  

Per informazioni su come Passport usa le coppie di chiavi asimmetriche per l'autenticazione, vedi Guida a Microsoft Passport.

 

Il PIN è abbinato all'hardware

Il PIN Passport è abbinato a un chip TPM (Trusted Platform Module) che è un cryptoprocessor sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisica in grado di proteggerlo da manomissioni; il software dannoso non sarà pertanto in grado di manomettere le funzioni di sicurezza del TPM. Tutti i telefoni Windows 10 Mobile e molti laptop moderni hanno TPM.

Il materiale della chiave utente viene generato ed è disponibile nel TPM (Trusted Platform Module) del dispositivo utente, che lo protegge dagli autori di attacchi che vogliono acquisire il materiale della chiave e riutilizzarlo. Poiché Microsoft Passport usa coppie di chiavi asimmetriche, le credenziali utente non possono essere sottratte, nemmeno se viene compromesso il provider di identità o il sito Web a cui l'utente accede.

Il TPM protegge da un'ampia gamma di attacchi noti e potenziali, inclusi gli attacchi di forza bruta per i PIN. Dopo un certo numero di tentativi non validi, il dispositivo viene bloccato.

Il PIN può essere complesso

Il PIN Passport è soggetto agli stessi criteri di gestione IT di una password, come ad esempio complessità, lunghezza, scadenza e cronologia. In genere quando si pensa a un PIN, si pensa a un codice di quattro cifre, ma gli amministratori possono impostare un set di criteri per i dispositivi gestiti in modo da richiedere una complessità per il PIN simile a quella per una password. Puoi consentire o non consentire caratteri speciali, lettere maiuscole, lettere minuscole e numeri.

Cosa succede se qualcuno ruba il laptop o il telefono?

Per compromettere una credenziale Microsoft Passport protetta da TPM, l'autore di un attacco deve avere accesso al dispositivo fisico e quindi riuscire a effettuare lo spoofing della biometria dell'utente o indovinarne il PIN e tutto questo deve essere fatto prima che le funzionalità anti-hammering TPM blocchino il dispositivo. Questo tipo di protezione riduce moltissimo il rischio di attacchi basati sul phishing delle password.

Puoi aumentare la protezione per i laptop che non hanno TPM abilitando BitLocker e impostando un criterio per limitare i tentativi di accesso non validi.

Mt621546.wedge(it-it,VS.85).gifConfigurare BitLocker senza TPM

  1. Usa l'Editor Criteri di gruppo locali (gpedit.msc) per abilitare il seguente criterio:

    Configurazione computer > Modelli amministrativi > Componenti Windows > Crittografia unità BitLocker > Unità del sistema operativo > Richiedi autenticazione aggiuntiva all'avvio

  2. Nell'opzione criterio seleziona Consenti BitLocker senza un TPM compatibile e fai clic su OK.

  3. Vai in Pannello di controllo > Sistema e sicurezza > Crittografia unità BitLocker e seleziona l'unità del sistema operativo da proteggere.

Mt621546.wedge(it-it,VS.85).gifImpostare la soglia di blocchi dell'account

  1. Usa l'Editor Criteri di gruppo locali (gpedit.msc) per abilitare il seguente criterio:

    Configurazione computer >Impostazioni di Windows >Impostazioni sicurezza >Criteri account > Criteri di blocco account > Soglia di blocchi dell'account

  2. Imposta il numero di tentativi di accesso non validi quindi fai clic su OK.

Perché è necessario un PIN per usare Windows Hello?

Windows Hello è l'accesso biometrico per Microsoft Passport in Windows 10: riconoscimento facciale, delle impronte digitali o dell'iride. Quando configuri Windows Hello, devi prima creare un PIN. Il PIN ti consente di accedere tramite Passport quando non puoi usare la biometrica scelta a causa di un infortunio o perché il sensore non è disponibile o non funziona correttamente.

Se configuri solo l'accesso biometrico e, per qualche motivo, non puoi usare quel metodo per accedere, devi accedere usando il nome utente e la password e non avresti lo stesso livello di protezione garantito da Passport.

Argomenti correlati

Gestire la verifica dell'identità tramite Microsoft Passport

Implementare Microsoft Passport nell'organizzazione