Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli attacchi di phishing remoti sono in aumento. Questi attacchi mirano a rubare o inoltrare prove di identità, ad esempio password, codici SMS o passcode monouso, senza accesso fisico al dispositivo dell'utente. Gli utenti malintenzionati usano spesso tecniche di ingegneria sociale, raccolta di credenziali o downgrade per ignorare protezioni più avanzate come passkey o chiavi di sicurezza. Con i toolkit di attacco basati sull'intelligenza artificiale, queste minacce stanno diventando più sofisticate e scalabili.
I passkey consentono di evitare il phishing remoto sostituendo metodi di phishing come password, SMS e codici di posta elettronica. Basato su standard FIDO (Fast Identity Online), i passkey usano la crittografia a chiave pubblica associata all'origine, assicurando che le credenziali non possano essere riprodotte o condivise con attori malintenzionati. Oltre a una maggiore sicurezza, i passkey (FIDO2) offrono un'esperienza di accesso senza problemi eliminando le password, riducendo le richieste e abilitando l'autenticazione veloce e sicura tra i dispositivi.
I passkey (FIDO2) possono essere usati anche per accedere ai dispositivi Microsoft Entra ID o Microsoft Entra ibrido aggiunti a Windows 11 e ottenere l'accesso Single Sign-On al cloud e alle risorse locali.
Che cosa sono i passkey?
Le passkey sono credenziali resistenti al phishing che forniscono un'autenticazione avanzata e possono fungere da metodo di autenticazione a più fattori (MFA) quando si combinano con la biometria del dispositivo o il PIN. Forniscono inoltre resistenza all'impersonificazione del verificatore, che garantisce che un autenticatore rilasci i segreti solo alla Relying Party (RP) con cui la passkey è stata registrata e non a un utente malintenzionato che finge di essere tale RP. Passkeys (FIDO2) seguono gli standard FIDO2, usando WebAuthn per browser e CTAP per la comunicazione dell'autenticazione.
Il processo seguente viene usato quando un utente accede a Microsoft Entra ID con una passkey (FIDO2):
- L'utente avvia l'accesso all'ID Microsoft Entra.
- L'utente seleziona una passkey:
- Stesso dispositivo (archiviato nel dispositivo)
- Cross-device (tramite codice QR) o chiave di sicurezza FIDO2
- Microsoft Entra ID invia una sfida (nonce) all'autenticatore.
- L'autenticatore individua la coppia di chiavi usando l'ID rp con hash e l'ID credenziale.
- L'utente esegue un movimento biometrico o PIN per sbloccare la chiave privata.
- L'autenticatore firma la richiesta con la chiave privata e restituisce la firma.
- Microsoft Entra ID verifica la firma usando la chiave pubblica e rilascia un token.
Tipi di passkey
-
Passkey associati al dispositivo: la chiave privata viene creata e archiviata in un singolo dispositivo fisico e non la lascia mai. Esempi:
- Microsoft Authenticator
- Chiavi di sicurezza FIDO2
-
Passkey sincronizzati: la chiave privata viene archiviata nel cloud di un provider passkey e sincronizzata tra i dispositivi connessi allo stesso account del provider passkey. Le passkey sincronizzate non supportano l'attestazione. Esempi:
- Portachiavi Apple iCloud
- Google Password Manager
I passkey sincronizzati offrono un'esperienza utente semplice e pratica in cui gli utenti possono usare il meccanismo di sblocco nativo di un dispositivo, ad esempio viso, impronta digitale o PIN per l'autenticazione. In base alle nozioni apprese da centinaia di milioni di utenti consumer di account Microsoft registrati e che usano passkey sincronizzati, abbiamo appreso:
- 99% degli utenti registrano correttamente i passkey sincronizzati
- Le passkey sincronizzate sono 14 volte più veloci rispetto alla password e a una combinazione di MFA tradizionale: 3 secondi invece di 69 secondi
- Gli utenti hanno un accesso 3 volte superiore con passkey sincronizzato rispetto ai metodi di autenticazione legacy (95% rispetto a 30%)
- I passkey sincronizzati in Microsoft Entra ID portano la semplicità MFA su larga scala per tutti gli utenti aziendali. Sono un'alternativa conveniente e a basso costo alle tradizionali opzioni di autenticazione a più fattori, ad esempio le app SMS e di autenticazione.
Per altre informazioni su come distribuire passkey nell'organizzazione, vedere Come abilitare le passkey sincronizzate.
L'attestazione verifica l'autenticità del provider passkey o del dispositivo durante la registrazione. Quando applicato:
- Fornisce un'identità del dispositivo verificabile in modo crittografico tramite FIDO Metadata Service (MDS). Quando viene applicata l'attestazione, le parti fiduciarie possono convalidare il modello di autenticatore e attuare decisioni politiche per i dispositivi certificati.
- I passkey non certificati, inclusi i passkey sincronizzati e i passkey vincolati al dispositivo non certificati, non forniscono la provenienza del dispositivo.
In Microsoft Entra ID:
- L'attestazione può essere applicata a livello di profilo passkey .
- Se l'attestazione è abilitata, sono consentite solo le passkey associate al dispositivo; le passkey sincronizzate vengono escluse.
Scegliere l'opzione passkey corretta
Le chiavi di sicurezza FIDO2 sono consigliate per settori altamente regolamentati o utenti con privilegi elevati. Offrono una sicurezza avanzata, ma possono aumentare i costi per attrezzature, formazione e supporto tecnico, soprattutto quando gli utenti perdono le chiavi fisiche e richiedono il ripristino dell'account. I passkey nell'app Microsoft Authenticator sono un'altra opzione per questi gruppi di utenti.
Per la maggior parte degli utenti, quelli esterni a ambienti altamente regolamentati o senza accesso a sistemi sensibili, i passkey sincronizzati offrono un'alternativa conveniente e a basso costo all'autenticazione a più fattori tradizionale. Apple e Google hanno implementato protezioni avanzate per passkey archiviati nei cloud.
Indipendentemente dal tipo, ovvero vincolate al dispositivo o sincronizzate, le passkey rappresentano un aggiornamento significativo della sicurezza rispetto ai metodi MFA vulnerabili al phishing.
Per altri dettagli, vedere Introduzione alla distribuzione MFA resistente al phishing in Microsoft Entra ID.