Panoramica di Windows Hello for Business

  • Articolo
  • 9 minuti per la lettura
  • Si applica a:
    Windows 10 and later

Windows Hello for Business sostituisce le password con l'autenticazione a due fattori avanzata nei dispositivi. Questa autenticazione è costituita da un tipo di credenziali utente associate a un dispositivo e che usa un PIN o biometrico.

Nota

Nella prima versione rilasciata di Windows 10, il sistema includeva Microsoft Passport e Windows Hello e i due sistemi interagivano per offrire l'autenticazione a più fattori. Per semplificare la distribuzione e agevolare il supporto, Microsoft ha riunito queste tecnologie in un'unica soluzione sotto il nome Windows Hello. I clienti che hanno già distribuito queste tecnologie non noteranno alcuna variazione a livello funzionale. I clienti che devono ancora valutare Windows Hello troveranno più semplice la distribuzione di questa soluzione, grazie a criteri, documentazione e semantica semplificati.

Windows Hello consente di risolvere i seguenti problemi associati alle password:

  • Le password complesse possono essere difficili da ricordare e gli utenti spesso usano una stessa password in più siti.
  • Violazioni dei server possono esporre le credenziali di rete simmetriche (password).
  • Le password sono soggette ad attacchi di tipo replay.
  • Gli utenti possono esporre involontariamente le proprie password a causa di attacchi di phishing.

Windows Hello consente agli utenti di effettuare l'autenticazione a:

  • Un account Microsoft.
  • Un account di Active Directory.
  • Un account Microsoft Azure Active Directory (Azure AD).
  • Servizi provider di identità o relying party che supportano l'autenticazione FIDO (Fast ID Online) v2.0 .

Dopo una verifica iniziale in due passaggi dell'utente durante la registrazione, Windows Hello viene impostato nel dispositivo dell'utente e Windows chiede a quest'ultimo di impostare un gesto, che può essere un elemento biometrico, come un'impronta digitale, o un PIN. L'utente specifica il gesto per consentire la verifica della propria identità. Windows quindi utilizza Windows Hello per autenticare gli utenti.

L'amministratore di un'organizzazione aziendale o didattica può creare criteri per la gestione dell'uso di Windows Hello for Business nei dispositivi basati su Windows 10 che si connettono all'organizzazione stessa.

Accesso biometrico

Windows Hello offre servizi di autenticazione biometrica affidabili e totalmente integrati, basati sul riconoscimento facciale o delle impronte digitali. Windows Hello usa in combinazione software e fotocamere a infrarossi (IR) speciali per una maggiore precisione e per migliorare la protezione dallo spoofing. I principali fornitori di hardware sono dispositivi di spedizione che dispongono di fotocamere compatibili con Windows Hello integrate. L'hardware del lettore di impronte digitali può essere usato o aggiunto ai dispositivi che attualmente non lo hanno. Nei dispositivi che supportano Windows Hello, un semplice movimento biometrico sblocca le credenziali degli utenti.

  • Riconoscimento facciale. Questo tipo di riconoscimento biometrico usa speciali fotocamere in grado di operare con luce a infrarossi, in modo da poter distinguere in modo affidabile tra una fotografia o una scansione e una persona reale. Diversi fornitori offrono fotocamere esterne che incorporano questa tecnologia e anche i principali produttori di portatili la stanno integrando nei loro dispositivi.
  • Riconoscimento dell'impronta digitale. Questo tipo di riconoscimento biometrico usa un sensore capacitivo per effettuare la scansione dell'impronta digitale dell'utente. I lettori di impronte digitali sono disponibili per i computer Windows da anni, ma l'attuale generazione di sensori è più affidabile e meno soggetta a errori. La maggior parte dei lettori di impronte digitali esistenti funziona con Windows 10 e Windows 11, sia esterni che integrati in portatili o tastiere USB.
  • Riconoscimento dell'iride. Questo tipo di riconoscimento biometrico usa fotocamere per eseguire la scansione dell'iride. HoloLens 2 è il primo dispositivo Microsoft a introdurre uno scanner Iris. Questi scanner iris sono gli stessi in tutti i dispositivi HoloLens 2.

Windows archivia i dati biometrici usati per implementare Windows Hello in modo sicuro solo nel dispositivo locale. I dati biometrici non vengono trasferiti e non vengono mai inviati a dispositivi o server esterni. Poiché Windows Hello archivia solo i dati di identificazione biometrica nel dispositivo, non esiste un singolo punto di raccolta che un utente malintenzionato può compromettere per rubare i dati biometrici. Per altre informazioni sull'autenticazione biometrica con Windows Hello for Business, vedere Windows Hello biometria nell'organizzazione.

Differenza tra Windows Hello e Windows Hello for Business

  • Ognuno può creare un PIN o un movimento biometrico sul proprio dispositivo personale per accedere comodamente. Questo uso di Windows Hello è univoco per il dispositivo in cui è configurato, ma può usare un hash della password a seconda del tipo di account di un individuo. Questa configurazione viene definita PIN Windows Hello pratico e non è supportata da autenticazione asimmetrica (chiave pubblica/privata) o basata su certificato.

  • Windows Hello for Business, configurata da criteri di gruppo o da criteri di gestione dei dispositivi mobili (MDM), usa sempre l'autenticazione basata su chiave o basata su certificato. Questo comportamento lo rende più sicuro di Windows Hello PIN pratico.

Vantaggi di Windows Hello

Le notizie di furti di identità e di violazioni su ampia scala sono sempre più frequenti. Nessuno vorrebbe scoprire che il proprio nome utente e la propria password sono stati esposti.

Ci si potrebbe chiedere in che modo un PIN possa dimostrarsi migliore di una password per la protezione di un dispositivo. Le password sono segreti condivisi; vengono immessi in un dispositivo e trasmessi in rete al server. Il nome dell'account intercettato e la password possono essere usati da chiunque, ovunque. Sono archiviati in un server. Una violazione del server può quindi rivelare le credenziali archiviate.

In Windows 10 e versioni successive Windows Hello sostituisce le password. Quando un provider di identità supporta le chiavi, il processo di provisioning Windows Hello crea una coppia di chiavi crittografiche associata al modulo TPM (Trusted Platform Module), se un dispositivo ha un TPM 2.0 o nel software. L'accesso a queste chiavi e la possibilità di ottenere una firma per convalidare il possesso della chiave privata da parte dell'utente sono abilitati solo dal PIN o dal gesto biometrico. La verifica in due passaggi che avviene durante la registrazione di Windows Hello crea una relazione di trust tra il provider di identità e l'utente quando la parte pubblica della coppia di chiavi pubblica/privata viene inviata a un provider di identità e associata a un account utente. Quando un utente immette il movimento nel dispositivo, il provider di identità sa che si tratta di un'identità verificata, a causa della combinazione di tasti e gesti Windows Hello. Fornisce quindi un token di autenticazione che consente a Windows di accedere a risorse e servizi.

Nota

Windows Hello per praticità di accesso usa l'autenticazione normale di nome utente e password, senza che l'utente immesso la password.

Funzionamento dell'autenticazione in Windows Hello.

Immagina che qualcuno ti spii mentre ritiri denaro allo sportello Bancomat e veda il PIN che immetti. Il PIN non permetterà al ficcanaso di accedere al tuo conto, perché è necessaria anche la tessera Bancomat. Allo stesso modo, conoscere il PIN del proprio dispositivo non consentirà all'autore di un attacco di accedere all'account. Il PIN infatti è locale al dispositivo specifico e non permette alcun tipo di autenticazione da qualsiasi altro dispositivo.

Windows Hello contribuisce alla protezione delle identità e delle credenziali degli utenti. Dal momento che l'utente non immette una password, se non durante il provisioning, consente di evitare phishing e attacchi di tipo "brute force". Contribuisce inoltre a evitare violazioni dei server. Infatti le credenziali Windows Hello sono costituite da una coppia di chiavi asimmetriche e ciò consente di prevenire gli attacchi di riproduzione, se tali chiavi vengono protette da TPM.

Come funziona Windows Hello for Business: punti chiave

  • Le credenziali Windows Hello sono basate su certificato o su una coppia di chiavi asimmetriche. Le credenziali Windows Hello possono essere associate al dispositivo, così come il token che si ottiene.

  • Un provider di identità convalida l'identità utente e esegue il mapping della chiave pubblica Windows Hello a un account utente durante il passaggio di registrazione. I provider di esempio sono Active Directory, Azure AD o un account Microsoft.

  • A seconda dei criteri, le chiavi possono essere generate come hardware (TPM 1.2 o 2.0 per le organizzazioni e TPM 2.0 per i consumer). Per garantire che le chiavi vengano generate nell'hardware, è necessario impostare i criteri.

  • L'autenticazione è l'autenticazione a due fattori con la combinazione di una chiave o un certificato associato a un dispositivo e qualcosa che la persona conosce (un PIN) o qualcosa che la persona è (biometrica). Il movimento Windows Hello non esegue il roaming tra dispositivi e non viene condiviso con il server. I modelli biometrici vengono archiviati in locale in un dispositivo. Il PIN non viene mai archiviato o condiviso.

  • La chiave privata non lascia mai un dispositivo quando si usa TPM. Il server di autenticazione dispone di una chiave pubblica mappata all'account utente durante il processo di registrazione.

  • L'immissione del PIN e il movimento biometrico attivano sia Windows 10 che versioni successive per usare la chiave privata per firmare in modo crittografico i dati inviati al provider di identità. Il provider di identità verifica l'identità dell'utente e lo autentica.

  • Gli account personali (account Microsoft) e aziendali (Active Directory o Azure AD) usano un singolo contenitore per le chiavi. Tutte le chiavi sono separate dai domini dei provider di identità per assicurare la privacy dell'utente.

  • Le chiavi private dei certificati possono essere protette dal contenitore Windows Hello e dal movimento Windows Hello.

Per ulteriori informazioni, consultare Come funziona Windows Hello for Business.

Confronto tra l'autenticazione basata su chiavi e quella basata su certificati

Per confermare l'identità, Windows Hello for Business può usare sia chiavi (hardware o software) sia certificati in hardware o software. Le aziende che dispongono di un'infrastruttura a chiave pubblica (PKI) per l'emissione e la gestione dei certificati degli utenti finali possono continuare a usare L'infrastruttura a chiave pubblica in combinazione con Windows Hello for Business. Le aziende che non usano PKI o vogliono ridurre lo sforzo associato alla gestione dei certificati utente possono basarsi su credenziali basate su chiave per Windows Hello. Questa funzionalità usa ancora i certificati nei controller di dominio come radice di attendibilità. A partire da Windows 10 versione 21H2, è disponibile una funzionalità denominata trust Kerberos cloud per le distribuzioni ibride, che usa Azure AD come radice dell'attendibilità. l'attendibilità Kerberos cloud usa le credenziali basate su chiave per Windows Hello, ma non richiede certificati nel controller di dominio.

Windows Hello for Business con una chiave, inclusa l'attendibilità Kerberos cloud, non supporta le credenziali fornite per RDP. RDP non supporta l'autenticazione con una chiave o un certificato autofirma. RDP con Windows Hello for Business è supportato con distribuzioni basate su certificati come credenziale fornita. Windows Hello for Business con credenziali chiave possono essere usate con Windows Defender Remote Credential Guard.

Scopri di più

Implementazione dell'autenticazione utente avanzata con Windows Hello for Business

Implementazione di Windows Hello for Business in Microsoft

Windows Hello for Business: autenticazione: in questo video vengono fornite informazioni sui Windows Hello for Business e su come viene usato per accedere alle risorse.

Autenticazione della faccia e Windows Hello