Windows Hello è una tecnologia basata sulla biometria che consente agli utenti di Windows 10 di autenticarsi tramite un accesso sicuro ai propri dispositivi, applicazioni, servizi online e reti con una semplice impronta digitale, scansione della retina o riconoscimento facciale. Il meccanismo di accesso è essenzialmente un’alternativa alle password e risulta essere oltretutto un metodo più facile da usare, più sicuro ed affidabile per accedere a dispositivi, servizi e dati critici, rispetto agli accessi tradizionali tramite password. “Windows Hello risolve alcuni problemi: sicurezza e inconvenienti“, ha affermato Patrick Moorhead, presidente e principale analista di Moor Insights & Strategy. “Le password tradizionali non sono sicure in quanto sono difficili da ricordare, quindi le persone scelgono password facili da indovinare o annotano le proprie password”.

A partire da Windows 10, dalla build 1809 in poi, è possibile usare Windows Hello o una Security Key che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol) a fine di poter accedere al proprio Microsoft Account LiveID.

Windows Hello for Business 

Windows Hello for Business

Windows Hello for Business sostituisce le password tramite l’autenticazione a due fattori (multi-factor authentication) sia per quanto riguarda gli accesso PC, sia per i dispositivi mobili. Questa tipologia di autenticazione è costituita da un nuovo tipo di credenziali utente associate a un dispositivo e utilizza una tecnologia biometrica o un PIN. Grazie a Windows Hello for Business è quindi possibile autenticarsi utilizzando un account di Active Directory o di Azure Active Directory (l’implementazione cloud PaaS per l’autenticazione dei servizi cloud). Inoltre Windows Hello for Business permette di proteggersi dagli attacchi di tipo Replay Attacks, oppure attacchi di phishing dove gli utenti vengono dirottati ad esporre le password.

Requisiti per Windows Hello for Business

Esistono cinque tipi di distribuzione per Windows Hello for Business. Microsoft li ha descritti in dettaglio nella Guida alla distribuzione di Windows Hello for Business. Tuttavia possiamo riassumere tendenzialmente due scenari principali:

Per poter utilizzare Windows Hello for Business è necessario però rispettare alcuni prerequisiti.

mfa windows 10

Per gli utenti Cloud-Only

  • Windows 10 versione 1511 o successiva
  • Account Microsoft Azure
  • Azure Active Directory
  • Autenticazione a più fattori di Azure (multi-factor authentication)

Per le configurazioni IBRIDE o ON-PREMISE

  • Windows 10 versione 1703 o successiva
  • Certificati digitali
  • Domain Controller e livello Schema AD almeno Windows Server 2016
  • Hybrid e On-premises Windows Hello for Business deployment
  • Dispositivi Azure AD joined, Hybrid Azure AD joined e Enterprise joined

Differenze Windows Hello e Windows Hello for Business

Windows Hello rappresenta il framework biometrico fornito in Windows 10. Windows Hello consente agli utenti di utilizzare i sistemi biometrici per accedere ai propri dispositivi in modo sicuro archiviando il nome utente e la password e rilasciandola per l’autenticazione quando l’utente si identifica con successo tramite biometria. 

Windows Hello for Business usa invece le chiavi asimmetriche protette dal modulo di sicurezza del dispositivo che richiede un movimento dell’utente (PIN o biometria) per l’autenticazione. Quest’ultimo va configurato tramite Group Policy (GPO) o da un tool di gestione di dispositivi mobili (MDM). Grazie al TPM (Trusted Platform Module) 2.0 il processo di provisioning di Windows Hello for Business crea una coppia di chiavi crittografiche e relativo accesso tramite l’inserimento dal PIN o dell’input biometrico.

Pin Windows 10

Come abilitare Windows Hello for Business

Per poter abilitare Windows Hello for Business è possibile agire tramite Group Policy; in particolar modo l’opzione da abilitare è la seguente:

Group Policy per Computer per abilitare Windows Hello for Business:

Computer Configuration > Policies > Administrative Templates > Windows Component > Windows Hello for Business, poi Use Windows Hello for Business e settare Enabled.

Group Policy per Utente per abilitare Windows Hello for Business:

User Configuration > Policies > Administrative Templates > Windows Component > Windows Hello for Business, poi Use Windows Hello for Business e settare Enabled.

group policy per abilitare windows Hello

Al successivo login dell’utente, verrà richiesto dal sistema di creare un PIN o di registrare un input biometrico. Il numero massimo di registrazioni supportate in un singolo computer Windows 10 è 10, cioè ogni utente può registrare la propria faccia e fino a 10 impronte digitali. 

Windows Hello vs Face ID

Windows Hello non ha concorrenti diretti a causa della sua esclusività per i dispositivi Windows 10, ma deve affrontare la concorrenza indiretta di Apple, Samsung e altri che forniscono una tecnologia simile per i loro dispositivi e gli ecosistemi correlati. Face ID di Apple è ora in uso su iPhone X, iPhone XS e XS Max e sui più recenti tablet iPad Pro. Esistono tuttavia alcune differenze tra le due implementazioni, come ad esempio:

–  Face ID funziona con gli occhiali, Windows Hello no….

– Windows Hello funziona bene al buio. Face ID, non così tanto.

– Né Windows Hello né Face ID funzionano bene in condizioni di luce molto intensa, mentre gli scanner biometrici funzionano in condizioni di luce intensa e al buio.

Conclusioni

Seppur con qualche piccola limitazione, la sicurezza offerta dai sistemi a più fattori tipo Windows Hello for Business sono sicuramente evidenti e soprattutto in ambito aziendale arriveranno ad essere uno standard di base. L’adozione ed implementazione di Windows Hello for Business rappresentano il primo passo verso la dismissione della password in azienda in favore di una più comoda e sicura autenticazione a due fattori, eliminando le problematiche relative alle password complesse e riutilizzo di una stessa password verso più sistemi e applicazioni.

Apri la chat
1
Possiamo aiutarti?
Ciao 👋
Possiamo aiutarti?