Accesso senza password
Le password sono una parte fondamentale della sicurezza digitale, ma sono spesso scomode e vulnerabili agli attacchi informatici. Con Windows 11, gli utenti possono usufruire della protezione senza password, che offre un'alternativa più sicura e intuitiva. Dopo un processo di autorizzazione sicuro, le credenziali vengono protette da più livelli di sicurezza hardware e software, offrendo agli utenti un accesso facile e senza password alle app e ai servizi cloud.
Windows Hello
Troppo spesso, le password sono deboli, rubate o dimenticate. Le organizzazioni si stanno muovendo verso l'accesso senza password per ridurre il rischio di violazioni, ridurre il costo della gestione delle password e migliorare la produttività e la soddisfazione per gli utenti e i clienti. Microsoft si impegna ad aiutare le organizzazioni a passare a un futuro sicuro e senza password con Windows Hello, una pietra miliare della sicurezza e della protezione delle identità di Windows.
Windows Hello può abilitare l'accesso senza password usando la verifica biometrica o pin e fornisce il supporto predefinito per lo standard del settore senza password FIDO2. Di conseguenza, gli utenti non devono più trasportare hardware esterno come una chiave di sicurezza per l'autenticazione.
L'esperienza di accesso sicura e pratica può aumentare o sostituire le password con un modello di autenticazione più avanzato basato su un PIN o dati biometrici, ad esempio il riconoscimento facciale o delle impronte digitali protetto da Trusted Platform Module (TPM). Le indicazioni dettagliate semplificano la configurazione.
Usando le chiavi asimmetriche di cui è stato effettuato il provisioning nel TPM, Windows Hello protegge l'autenticazione associando le credenziali di un utente al dispositivo. Windows Hello convalida l'utente in base a un PIN o a una corrispondenza biometrica e consente solo l'uso di chiavi di crittografia associate a tale utente nel TPM.
I dati biometrici e PIN rimangono nel dispositivo e non possono essere archiviati o accessibili esternamente. Poiché non è possibile accedere ai dati da nessuno senza accesso fisico al dispositivo, le credenziali sono protette da attacchi di riproduzione, phishing e spoofing, nonché dal riutilizzo e dalle perdite di password.
Windows Hello possono autenticare gli utenti in un account Microsoft (MSA), servizi provider di identità o relying party che implementano anche gli standard FIDO2 o WebAuthn.
Ulteriori informazioni
PIN di Windows Hello
Il PIN Windows Hello, che può essere immesso solo da un utente con accesso fisico al dispositivo, può essere usato per l'autenticazione a più fattori avanzata. Il PIN è protetto dal TPM e, come i dati biometrici, non lascia mai il dispositivo. Quando un utente immette il PIN, una chiave di autenticazione viene sbloccata e usata per firmare una richiesta inviata al server di autenticazione.
Il TPM protegge dalle minacce, inclusi gli attacchi di forza bruta del PIN su dispositivi smarriti o rubati. Dopo troppe ipotesi errate, il dispositivo si blocca. Gli amministratori IT possono impostare criteri di sicurezza per i PIN, ad esempio i requisiti di complessità, lunghezza e scadenza.
Novità di Windows 11 versione 24H2
Se il dispositivo non dispone di dati biometrici predefiniti, Windows Hello è stato migliorato per l'uso della sicurezza basata su virtualizzazione (VBS) per impostazione predefinita per isolare le credenziali. Questo ulteriore livello di protezione consente di proteggersi dagli attacchi a livello di amministratore. Anche quando si accede con un PIN, le credenziali vengono archiviate in un contenitore sicuro, garantendo la protezione nei dispositivi con o senza sensori biometrici predefiniti.
Windows Hello biometrica
Windows Hello l'accesso biometrico migliora sia la sicurezza che la produttività con un'esperienza di accesso rapida e conveniente. Non è necessario immettere il PIN; basta usare i dati biometrici per un accesso semplice e piacevole.
I dispositivi Windows che supportano l'hardware biometrico, ad esempio fotocamere con impronta digitale o riconoscimento facciale, si integrano direttamente con Windows Hello, consentendo l'accesso a risorse e servizi client Windows. I lettori biometrici per viso e impronta digitale devono rispettare Windows Hello requisiti biometrici. Windows Hello riconoscimento facciale è progettato per l'autenticazione solo da fotocamere attendibili usate al momento della registrazione.
Se una fotocamera periferica è collegata al dispositivo dopo la registrazione, può essere usata per l'autenticazione facciale una volta convalidata accedendo con la fotocamera interna. Per maggiore sicurezza, le fotocamere esterne possono essere disabilitate per l'uso con Windows Hello riconoscimento facciale.
Ulteriori informazioni
Rilevamento della presenza di Windows
Il rilevamento della presenza di Windows[9] offre un altro livello di protezione della sicurezza dei dati per i lavoratori ibridi. Windows 11 dispositivi possono adattarsi in modo intelligente alla presenza di un utente per aiutarli a rimanere sicuri e produttivi, sia che lavorino a casa, in ufficio o in un ambiente pubblico.
Il rilevamento della presenza di Windows combina i sensori di rilevamento della presenza con Windows Hello riconoscimento facciale per firmare l'utente a mani libere e blocca automaticamente il dispositivo quando l'utente se ne va. Con la dimmeratura adattiva, il PC oscura lo schermo quando l'utente guarda lontano i dispositivi compatibili con sensori di presenza. È anche più facile che mai configurare i sensori di presenza nei dispositivi, con facilità di abilitazione nell'esperienza predefinita e nuovi collegamenti in Impostazioni per trovare le funzionalità di rilevamento della presenza. I produttori di dispositivi possono personalizzare e compilare estensioni per il sensore di presenza.
La privacy è la parte superiore della mente e più importante che mai. I clienti vogliono avere maggiore trasparenza e controllo sull'uso delle loro informazioni. Le nuove impostazioni di privacy dell'app consentono agli utenti di consentire o bloccare l'accesso alle informazioni del sensore di presenza. Gli utenti possono decidere queste impostazioni durante la configurazione iniziale Windows 11.
Gli utenti possono anche sfruttare le impostazioni più granulari per abilitare e disabilitare facilmente le funzionalità di rilevamento della presenza differenziata, ad esempio l'approccio alla riattivazione, il blocco in uscita e l'attenuazione adattiva. Stiamo anche supportando gli sviluppatori con nuove API per il rilevamento della presenza per applicazioni di terze parti. Le applicazioni di terze parti possono ora accedere alle informazioni sulla presenza degli utenti nei dispositivi con sensori di presenza.
Ulteriori informazioni
Windows Hello for Business
Windows Hello for Business estende Windows Hello per l'uso con gli account Active Directory e Microsoft Entra ID di un'organizzazione. Fornisce l'accesso Single Sign-On alle risorse aziendali o dell'istituto di istruzione, ad esempio OneDrive, posta elettronica aziendale e altre app aziendali. Windows Hello for Business offre anche agli amministratori IT la possibilità di gestire il PIN e altri requisiti di accesso per i dispositivi che si connettono alle risorse aziendali o dell'istituto di istruzione.
Dopo il provisioning di Windows Hello for Business, gli utenti possono usare un PIN, un viso o un'impronta digitale per sbloccare le credenziali e accedere al dispositivo Windows.
I metodi di provisioning includono:
- Passkey (anteprima), che consentono agli utenti di eseguire l'autenticazione a Microsoft Entra ID senza immettere un nome utente o una password
- Pass di accesso temporaneo (TAP), un passcode limitato nel tempo con requisiti di autenticazione avanzata emessi tramite Microsoft Entra ID
- Autenticazione a più fattori esistente con Microsoft Entra ID, inclusa l'app Microsoft Authenticator
Windows Hello for Business migliora la sicurezza sostituendo nomi utente e password tradizionali con una combinazione di una chiave di sicurezza o un certificato e un PIN o dati biometrici. Questa configurazione esegue il mapping sicuro delle credenziali a un account utente.
Sono disponibili diversi modelli di distribuzione per Windows Hello for Business, offrendo flessibilità per soddisfare le diverse esigenze delle diverse organizzazioni. Tra questi, il modello di attendibilità Kerberos cloud ibrido è consigliato e considerato il più semplice per le organizzazioni che operano in ambienti ibridi.
Ulteriori informazioni
Reimpostazione del PIN
Il servizio Reimpostazione PIN Microsoft consente agli utenti di reimpostare i PIN Windows Hello dimenticati senza dover ripetere la registrazione. Dopo aver registrato il servizio nel tenant Microsoft Entra ID, la funzionalità deve essere abilitata nei dispositivi Windows usando Criteri di gruppo o una soluzione di gestione dei dispositivi come Microsoft Intune[4].
Gli utenti possono avviare una reimpostazione del PIN dalla schermata di blocco di Windows o dalle opzioni di accesso in Impostazioni. Il processo prevede l'autenticazione e il completamento dell'autenticazione a più fattori per reimpostare il PIN.
Ulteriori informazioni
Sblocco a più fattori
Per le organizzazioni che necessitano di un livello aggiuntivo di sicurezza di accesso, lo sblocco a più fattori consente agli amministratori IT di configurare Windows per richiedere una combinazione di due segnali attendibili univoci per l'accesso. Gli esempi di segnali attendibili includono un PIN o dati biometrici (viso o impronta digitale) combinati con pin, Bluetooth, configurazione IP o Wi-Fi.
Lo sblocco a più fattori è utile per le organizzazioni che devono impedire agli information worker di condividere le credenziali o devono rispettare i requisiti normativi per un criterio di autenticazione a due fattori.
Ulteriori informazioni
Esperienza senza password di Windows
Windows Hello for Business ora supportare un'esperienza completamente senza password.
Gli amministratori IT possono configurare un criterio in Microsoft Entra ID computer aggiunti in modo che gli utenti non vedano più l'opzione di immettere una password quando accedono alle risorse aziendali. Dopo aver configurato i criteri, le password vengono rimosse dall'esperienza utente di Windows, sia per gli scenari di sblocco del dispositivo che di autenticazione in sessione. Tuttavia, le password non vengono ancora eliminate dalla directory identity. Gli utenti devono esplorare gli scenari di autenticazione di base usando credenziali solide, resistenti ai phishing e basate sul possesso, ad esempio Windows Hello for Business e chiavi di sicurezza FIDO2. Se necessario, gli utenti possono usare meccanismi di ripristino senza password, ad esempio il servizio di reimpostazione del PIN Microsoft o l'accesso Web.
Gli utenti eseguono l'autenticazione direttamente con Microsoft Entra ID, consentendo di velocizzare l'accesso alle applicazioni locali e ad altre risorse.
Ulteriori informazioni
Sicurezza avanzata dell'accesso (ESS)
Windows Hello supporta la sicurezza avanzata dell'accesso, che usa componenti hardware e software specializzati per aumentare ulteriormente la barra di sicurezza per l'accesso biometrico.
La biometria della sicurezza di accesso avanzata usa la sicurezza basata su virtualizzazione (VBS) e il TPM per isolare i processi e i dati di autenticazione utente e proteggere il percorso con cui vengono comunicate le informazioni.
Questi componenti specializzati proteggono da una classe di attacchi che include l'inserimento di campioni biometrici, la riproduzione e la manomissione. Ad esempio, i lettori di impronte digitali devono implementare Secure Device Connection Protocol, che usa la negoziazione delle chiavi e un certificato emesso da Microsoft per proteggere e archiviare in modo sicuro i dati di autenticazione utente. Per il riconoscimento facciale, componenti come la tabella Secure Devices (SDEV) e l'isolamento dei processi con trustlet consentono di evitare più classi di attacco.
La sicurezza di accesso avanzata viene configurata dai produttori di dispositivi durante il processo di produzione ed è in genere supportata nei PC con core protetti. Per il riconoscimento facciale, la sicurezza di accesso avanzata è supportata da combinazioni specifiche di silicio e fotocamera: verificare con il produttore del dispositivo specifico. L'autenticazione tramite impronta digitale è disponibile in tutti i tipi di processore. Per informazioni dettagliate sul supporto, contattare specifici OEM.
Ulteriori informazioni
FIDO2
La FIDO Alliance, l'organismo di standard del settore Fast Identity Online, è stata creata per promuovere le tecnologie di autenticazione e gli standard che riducono la dipendenza dalle password. FIDO Alliance e World Wide Web Consortium (W3C) hanno collaborato per definire le specifiche CTAP2 (Client to Authenticator Protocol) e Web Authentication (WebAuthn). Queste specifiche sono lo standard del settore per fornire autenticazione avanzata, resistente al phishing, facile da usare e privacy che preserva l'autenticazione nel Web e nelle app. Gli standard e le certificazioni FIDO vengono riconosciuti come standard leader per la creazione di soluzioni di autenticazione sicure in aziende, governi e mercati consumer.
Windows 11 può anche usare chiavi di sicurezza FIDO2 esterne per l'autenticazione insieme o oltre a Windows Hello e Windows Hello for Business, che è anche una soluzione senza password certificata FIDO2. Di conseguenza, Windows 11 può essere usato come autenticatore FIDO per molti servizi di gestione delle identità più diffusi.
Passkey
Windows 11 rende molto più difficile per gli hacker che sfruttano le password rubate tramite attacchi di phishing consentendo agli utenti di sostituire le password con passkey. Le passkey sono il futuro multipiattaforma dell'accesso sicuro. Microsoft e altri leader tecnologici supportano passkey nelle piattaforme e nei servizi.
Una passkey è un segreto crittografico univoco e non archiviabile archiviato in modo sicuro nel dispositivo. Anziché usare un nome utente e una password per accedere a un sito Web o a un'applicazione, Windows 11 gli utenti possono creare e usare una passkey con Windows Hello, un provider passkey di terze parti, una chiave di sicurezza FIDO2 esterna o il dispositivo mobile. Le passkey in Windows funzionano in qualsiasi browser o app che le supportano per l'accesso.
Le passkey create e salvate con Windows Hello sono protette da Windows Hello o Windows Hello for Business. Gli utenti possono accedere al sito o all'app usando il viso, l'impronta digitale o il PIN del dispositivo. Gli utenti possono gestire le passkey daPasskeyaccount>impostazioni>.
Presto disponibile[7]
Il modello plug-in per i provider passkey di terze parti consente agli utenti di gestire le passkey con gestori passkey di terze parti. Questo modello garantisce un'esperienza di piattaforma senza problemi, indipendentemente dal fatto che le passkey siano gestite direttamente da Windows o da un autenticatore di terze parti. Quando si usa un provider passkey di terze parti, le passkey vengono protette e gestite in modo sicuro dal provider di terze parti.
Ulteriori informazioni
Microsoft Authenticator
L'app Microsoft Authenticator, eseguita su dispositivi iOS e Android, consente di mantenere Windows 11 gli utenti sicuri e produttivi. Microsoft Authenticator con passkey Microsoft Entra può essere usato come metodo resistente al phish per il bootstrap Windows Hello for Business.
Microsoft Authenticator consente anche l'accesso facile e sicuro per tutti gli account online usando l'autenticazione a più fattori, l'accesso telefonico senza password, l'autenticazione resistente al phishing (passkey) o il riempimento automatico delle password. Gli account nell'app Authenticator sono protetti con una coppia di chiavi pubblica/privata nell'archiviazione basata su hardware, ad esempio keychain in iOS e keystore in Android. Gli amministratori IT possono usare diversi strumenti per spingere gli utenti a configurare l'app Authenticator, fornire loro un contesto aggiuntivo sulla provenienza dell'autenticazione e assicurarsi di usarla attivamente.
I singoli utenti possono eseguire il backup delle credenziali nel cloud abilitando l'opzione di backup crittografato nelle impostazioni. Possono anche visualizzare la cronologia di accesso e le impostazioni di sicurezza per gli account Microsoft personali, aziendali o dell'istituto di istruzione.
L'uso di questa app sicura per l'autenticazione e l'autorizzazione consente agli utenti di controllare come, dove e quando vengono usate le credenziali. Per rimanere al passo con un panorama di sicurezza in continua evoluzione, l'app viene costantemente aggiornata e vengono aggiunte nuove funzionalità per rimanere al passo con i vettori di minacce emergenti.
Ulteriori informazioni
Accesso Web
Con il supporto dell'accesso Web, gli utenti possono accedere senza password usando l'app Microsoft Authenticator o un pass di accesso temporaneo (TAP). L'accesso Web consente anche l'accesso federato con un provider di identità SAML-P.
Ulteriori informazioni
Accesso federato
Windows 11 supporta l'accesso federato con servizi di gestione delle identità per l'istruzione esterni. Per gli studenti che non possono digitare facilmente o ricordare password complesse, questa funzionalità consente l'accesso sicuro tramite metodi come codici a matrice o immagini.
Ulteriori informazioni
Smart card
Le organizzazioni possono anche scegliere le smart card, un metodo di autenticazione esistente prima dell'autenticazione biometrica. Questi dispositivi di archiviazione portatili e resistenti alle manomissioni migliorano la sicurezza di Windows autenticando gli utenti, firmando codice, proteggendo i messaggi di posta elettronica e accedendo con gli account di dominio Windows.
Le smart card offrono:
- Facilità d'uso in scenari come il settore sanitario, in cui gli utenti devono accedere e uscire rapidamente senza usare le mani o quando condividono una workstation
- Isolamento dei calcoli critici per la sicurezza che implicano l'autenticazione, le firme digitali e lo scambio di chiavi da altre parti del computer. Questi calcoli vengono eseguiti sulla smart card
- Portabilità di credenziali e altre informazioni private tra computer al lavoro, a casa o in viaggio
Le smart card possono essere usate solo per accedere agli account di dominio o agli account Microsoft Entra ID.
Quando si usa una password per accedere a un account di dominio, Windows usa il protocollo Kerberos versione 5 (V5) per l'autenticazione. Se si usa una smart card, il sistema operativo usa l'autenticazione Kerberos V5 con certificati X.509 V3. In Microsoft Entra ID dispositivi aggiunti è possibile usare una smart card con Microsoft Entra ID autenticazione basata su certificati. Le smart card non possono essere usate con gli account locali.
Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.
Ulteriori informazioni
Protezione avanzata dal phishing in Microsoft Defender SmartScreen
Man mano che la protezione da malware e altre misure di sicurezza si evolvono, i criminali informatici cercano nuovi modi per aggirare le misure di sicurezza. Il phishing è una minaccia principale, con app e siti Web progettati per rubare le credenziali inducendo le persone a immettere volontariamente le password. Di conseguenza, molte organizzazioni stanno passando alla facilità e alla sicurezza dell'accesso senza password con Windows Hello o Windows Hello for Business.
Sappiamo che le persone si trovano in diverse parti del loro percorso senza password. Per facilitare il percorso per gli utenti che usano ancora le password, Windows 11 offre una protezione avanzata delle credenziali. Microsoft Defender SmartScreen include ora una protezione avanzata dal phishing per rilevare automaticamente quando la password Microsoft di un utente viene immessa in qualsiasi app o sito Web. Windows identifica quindi se l'app o il sito esegue l'autenticazione sicura con Microsoft e avvisa se le credenziali sono a rischio. Poiché l'utente viene avvisato al momento di un potenziale furto di credenziali, può intraprendere un'azione preventiva prima che la password venga usata per loro o per la propria organizzazione.
Ulteriori informazioni