Windows Hello: Autenticazione Biometrica Sicura e Senza Password
Windows Hello è una tecnologia innovativa basata sulla biometria che rivoluziona il modo in cui gli utenti di Windows 10 (e versioni successive) accedono ai propri dispositivi, applicazioni, servizi online e reti. Con un semplice riconoscimento facciale, scansione dell’impronta digitale o lettura dell’iride, Windows Hello offre un’alternativa sicura e convenzionale alle tradizionali password.
Perché Scegliere Windows Hello?
– Maggiore Sicurezza:
Le password tradizionali sono spesso vulnerabili a furti, phishing o attacchi brute force. Con Windows Hello, l’accesso è legato a dati biometrici unici, rendendo quasi impossibile l’accesso non autorizzato.
– Facilità d’Uso:
Non dovrai più ricordare password complesse o rischiare di perderle. Basta un’occhiata o un tocco per accedere ai tuoi dispositivi e servizi.
– Affidabilità:
Windows Hello è progettato per essere veloce, preciso e integrato perfettamente con i dispositivi compatibili, garantendo un’esperienza utente fluida e senza interruzioni.
Cosa Dicono gli Esperti
Secondo Patrick Moorhead, presidente e principale analista di Moor Insights & Strategy:
“Windows Hello risolve alcuni problemi critici: sicurezza e inconvenienti. Le password tradizionali non sono sicure perché sono difficili da ricordare, portando gli utenti a scegliere password deboli o a annotarle, aumentando i rischi per la sicurezza.”
Windows Hello e FIDO2: L’Evoluzione dell’Autenticazione
A partire dalla build 1809 di Windows 10, Windows Hello supporta l’uso di Security Key compatibili con gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol). Questa integrazione permette agli utenti di accedere al proprio Microsoft Account LiveID in modo ancora più sicuro e senza password, sfruttando chiavi hardware dedicate.
Vantaggi di FIDO2 e CTAP2
- Protezione Avanzata: FIDO2 utilizza crittografia a chiave pubblica per garantire autenticazioni sicure e resistenti al phishing.
- Compatibilità: Le Security Key FIDO2 funzionano con una vasta gamma di servizi online e dispositivi.
- Esperienza Senza Attriti: L’autenticazione è rapida e senza interruzioni, migliorando la produttività degli utenti.
Windows Hello for Business
Windows Hello for Business sostituisce le password tramite l’autenticazione a due fattori (multi-factor authentication) sia per quanto riguarda gli accesso PC, sia per i dispositivi mobili. Questa tipologia di autenticazione è costituita da un nuovo tipo di credenziali utente associate a un dispositivo e utilizza una tecnologia biometrica o un PIN. Grazie a Windows Hello for Business è quindi possibile autenticarsi utilizzando un account di Active Directory o di Azure Active Directory (l’implementazione cloud PaaS per l’autenticazione dei servizi cloud). Inoltre Windows Hello for Business permette di proteggersi dagli attacchi di tipo Replay Attacks, oppure attacchi di phishing dove gli utenti vengono dirottati ad esporre le password.
Requisiti per Windows Hello for Business
Esistono cinque tipi di distribuzione per Windows Hello for Business. Microsoft li ha descritti in dettaglio nella Guida alla distribuzione di Windows Hello for Business. Tuttavia possiamo riassumere tendenzialmente due scenari principali:
Per poter utilizzare Windows Hello for Business è necessario però rispettare alcuni prerequisiti.
Per gli utenti Cloud-Only
- Windows 10 versione 1511 o successiva
- Account Microsoft Azure
- Azure Active Directory
- Autenticazione a più fattori di Azure (multi-factor authentication)
Per le configurazioni IBRIDE o ON-PREMISE
- Windows 10 versione 1703 o successiva
- Certificati digitali
- Domain Controller e livello Schema AD almeno Windows Server 2016
- Hybrid e On-premises Windows Hello for Business deployment
- Dispositivi Azure AD joined, Hybrid Azure AD joined e Enterprise joined
Differenze Windows Hello e Windows Hello for Business
Windows Hello rappresenta il framework biometrico fornito in Windows 10. Windows Hello consente agli utenti di utilizzare i sistemi biometrici per accedere ai propri dispositivi in modo sicuro archiviando il nome utente e la password e rilasciandola per l’autenticazione quando l’utente si identifica con successo tramite biometria.
Windows Hello for Business usa invece le chiavi asimmetriche protette dal modulo di sicurezza del dispositivo che richiede un movimento dell’utente (PIN o biometria) per l’autenticazione. Quest’ultimo va configurato tramite Group Policy (GPO) o da un tool di gestione di dispositivi mobili (MDM). Grazie al TPM (Trusted Platform Module) 2.0 il processo di provisioning di Windows Hello for Business crea una coppia di chiavi crittografiche e relativo accesso tramite l’inserimento dal PIN o dell’input biometrico.
Come abilitare Windows Hello for Business
Per poter abilitare Windows Hello for Business è possibile agire tramite Group Policy; in particolar modo l’opzione da abilitare è la seguente:
Group Policy per Computer per abilitare Windows Hello for Business:
Computer Configuration > Policies > Administrative Templates > Windows Component > Windows Hello for Business, poi Use Windows Hello for Business e settare Enabled.
Group Policy per Utente per abilitare Windows Hello for Business:
User Configuration > Policies > Administrative Templates > Windows Component > Windows Hello for Business, poi Use Windows Hello for Business e settare Enabled.
Al successivo login dell’utente, verrà richiesto dal sistema di creare un PIN o di registrare un input biometrico. Il numero massimo di registrazioni supportate in un singolo computer Windows 10 è 10, cioè ogni utente può registrare la propria faccia e fino a 10 impronte digitali.
Windows Hello vs Face ID
Windows Hello non ha concorrenti diretti a causa della sua esclusività per i dispositivi Windows 10, ma deve affrontare la concorrenza indiretta di Apple, Samsung e altri che forniscono una tecnologia simile per i loro dispositivi e gli ecosistemi correlati. Face ID di Apple è ora in uso su iPhone X, iPhone XS e XS Max e sui più recenti tablet iPad Pro. Esistono tuttavia alcune differenze tra le due implementazioni, come ad esempio:
– Face ID funziona con gli occhiali, Windows Hello no….
– Windows Hello funziona bene al buio. Face ID, non così tanto.
– Né Windows Hello né Face ID funzionano bene in condizioni di luce molto intensa, mentre gli scanner biometrici funzionano in condizioni di luce intensa e al buio.
Conclusioni
Seppur con qualche piccola limitazione, la sicurezza offerta dai sistemi a più fattori tipo Windows Hello for Business sono sicuramente evidenti e soprattutto in ambito aziendale arriveranno ad essere uno standard di base. L’adozione ed implementazione di Windows Hello for Business rappresentano il primo passo verso la dismissione della password in azienda in favore di una più comoda e sicura autenticazione a due fattori, eliminando le problematiche relative alle password complesse e riutilizzo di una stessa password verso più sistemi e applicazioni.
