Windows Hello for Business
Panoramica
Windows Hello è una tecnologia di autenticazione che consente agli utenti di accedere ai propri dispositivi Windows usando dati biometrici o un PIN anziché una password tradizionale. Offre una sicurezza avanzata tramite l'autenticazione a due fattori resistente al phish e la protezione integrata della forza bruta. Con FIDO/WebAuthn, Windows Hello può essere usato anche per accedere ai siti Web supportati, riducendo la necessità di ricordare più password complesse.
Windows Hello for Business è un'estensione di Windows Hello che offre funzionalità di sicurezza e gestione di livello aziendale, tra cui l'attestazione del dispositivo, l'autenticazione basata su certificati e i criteri di accesso condizionale. Le impostazioni dei criteri possono essere distribuite ai dispositivi per assicurarsi che siano sicure e conformi ai requisiti dell'organizzazione.
Nella tabella seguente sono elencate le principali differenze di autenticazione e sicurezza tra Windows Hello e Windows Hello per le aziende:
Windows Hello | Windows Hello for Business | |
---|---|---|
Authentication | Gli utenti possono eseguire l'autenticazione a: - Un account Microsoft (MSA) - Provider di identità (IDP) che supportano l'autenticazione FIDO (Fast ID Online) v2.0 |
Gli utenti possono eseguire l'autenticazione a: - Un account Microsoft Entra ID - Un account di Active Directory - Servizi provider di identità (IdP) o relying party (RP) che supportano l'autenticazione FIDO (Fast ID Online) v2.0 |
Sicurezza | Usa l'autenticazione basata su chiave . Non esiste un segreto simmetrico (password) che può essere rubato da un server o phished da un utente e usato in remoto. |
Usa l'autenticazione basata su chiave o basata su certificato . Non esiste un segreto simmetrico (password) che può essere rubato da un server o phished da un utente e usato in remoto. |
Windows Hello può essere usato anche con gli account locali per comodi accessi, invece di immettere una password. Questa configurazione non è supportata dalla chiave asimmetrica (pubblica/privata), quindi non offre lo stesso livello di sicurezza dell'autenticazione basata su chiave o basata su certificato disponibile con account msa o Microsoft Entra. In tutti gli altri aspetti, l'uso di Windows Hello con un account locale è come usarlo con MSA o Entra ID. Per una sicurezza avanzata, è consigliabile usare Windows Hello con un account Microsoft (MSA) o provider di identità (IDP) che supportano l'autenticazione FIDO2.
Nota
L'autenticazione FIDO2 (Fast Identity Online) è uno standard aperto per l'autenticazione senza password. Consente agli utenti di accedere ai propri dispositivi e app usando l'autenticazione biometrica o una chiave di sicurezza fisica, senza la necessità di una password tradizionale. Il supporto di FIDO2 in Windows Hello e Windows Hello for Business offre agli utenti un ulteriore livello di sicurezza e praticità, riducendo al tempo stesso il rischio di attacchi correlati alle password.
Vantaggi
Windows Hello for Business offre molti vantaggi, tra cui:
- Aiuta a rafforzare le protezioni contro il furto di credenziali. Un utente malintenzionato deve avere sia il dispositivo che la biometria o il PIN, rendendo molto più difficile ottenere l'accesso senza che l'utente ne sia a conoscenza
- Poiché non vengono usate password, elude gli attacchi di phishing e forza bruta. Soprattutto, impedisce violazioni del server e attacchi di riproduzione perché le credenziali sono asimmetriche e generate all'interno di ambienti isolati di TPM
- Gli utenti ottengono un metodo di autenticazione semplice e pratico (di cui è stato eseguito il backup con un PIN) sempre con loro, quindi non c'è nulla da perdere. L'uso di un PIN non compromette la sicurezza, poiché Windows Hello ha una protezione da forza bruta integrata e il PIN non lascia mai il dispositivo
- È possibile aggiungere dispositivi biometrici come parte di un'implementazione coordinata o a utenti specifici, in base alle esigenze
Il video seguente mostra una dimostrazione di Windows Hello for Business in azione, in cui un utente accede con un'impronta digitale:
Windows Hello e autenticazione a due fattori
Windows Hello for Business usa un metodo di autenticazione a due fattori che combina credenziali specifiche del dispositivo con un movimento biometrico o PIN. Questa credenziale è associata al provider di identità, ad esempio Microsoft Entra ID o Active Directory, e può essere usata per accedere ad app, siti Web e servizi dell'organizzazione.
Dopo una verifica iniziale in due passaggi dell'utente durante il provisioning, Windows Hello viene configurato nel dispositivo dell'utente e Windows chiede all'utente di impostare un movimento, che può essere biometrico, e un PIN. L'utente specifica il gesto per consentire la verifica della propria identità. Windows quindi utilizza Windows Hello per autenticare gli utenti.
Windows Hello for Business viene considerata l'autenticazione a due fattori in base ai fattori di autenticazione osservati: qualcosa che si ha, qualcosa che si conosce e qualcosa che fa parte dell'utente. Windows Hello for Business incorpora due di questi fattori: qualcosa che ti appartiene (chiave privata dell'utente protetta dal modulo di sicurezza del dispositivo) e qualcosa che conosci (PIN). Se disponi dell'hardware appropriato, puoi migliorare l'esperienza utente introducendo la biometria. Usando la biometria, è possibile sostituire il fattore di autenticazione noto con quello che fa parte del fattore, con le garanzie che gli utenti possono tornare al fattore che conosci.
Accesso biometrico
Windows Hello offre servizi di autenticazione biometrica affidabili e totalmente integrati, basati sul riconoscimento facciale o delle impronte digitali. Windows Hello usa in combinazione software e fotocamere a infrarossi (IR) speciali per una maggiore precisione e per migliorare la protezione dallo spoofing. I principali fornitori di hardware sono i dispositivi di spedizione con fotocamere e lettori di impronte digitali compatibili con Windows Hello integrati.
Nei dispositivi che supportano Windows Hello, un semplice gesto biometrico sblocca le credenziali degli utenti:
- Riconoscimento facciale: questo tipo di riconoscimento biometrico usa telecamere speciali che vedono nella luce ir, che consente loro di distinguere in modo affidabile tra una fotografia o una scansione e una persona vivente. Diversi fornitori offrono fotocamere esterne che incorporano questa tecnologia e molti produttori di portatili lo incorporano nei loro dispositivi
- Riconoscimento delle impronte digitali: questo tipo di riconoscimento biometrico usa un sensore di impronta digitale capacitiva per la scansione dell'impronta digitale. La maggior parte dei lettori di impronte digitali esistenti funziona con Windows, che siano esterni o integrati in portatili o tastiere USB
- Riconoscimento iris: questo tipo di riconoscimento biometrico usa fotocamere per eseguire la scansione dell'iride
Windows archivia i dati biometrici usati per implementare Windows Hello in modo sicuro solo nel dispositivo locale. I dati biometrici non vengono trasferiti e non vengono mai inviati a dispositivi o server esterni. Poiché Windows Hello archivia solo i dati di identificazione biometrica nel dispositivo, non esiste un singolo punto di raccolta che un utente malintenzionato può compromettere per rubare i dati biometrici.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano Windows Hello for Business:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sì | Sì | Sì | Sì |
Windows Hello for Business diritti di licenza vengono concessi dalle licenze seguenti:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Nota
Windows Hello for Business non funziona con Microsoft Entra Domain Services.
Requisiti hardware
Microsoft collabora con i produttori per garantire che ogni sensore e dispositivo soddisfi un livello elevato di prestazioni e protezione, in base ai requisiti seguenti:
- False Accept Rate (FAR): rappresenta l'istanza di una soluzione di identificazione biometrica che verifica una persona non autorizzata. Questo valore è in genere rappresentato come un rapporto tra il numero di istanze in una determinata dimensione della popolazione, ad esempio 1 su 100.000. Può anche essere rappresentata come una percentuale delle occorrenze, ad esempio 0,001%. Questa misurazione è considerata la più importante per quanto riguarda la sicurezza dell'algoritmo biometrico
- False Reject Rate (FRR): rappresenta le istanze in cui una soluzione di identificazione biometrica non riesce a verificare correttamente una persona autorizzata. Rappresentato come percentuale, la somma dei valori True Accept Rate e False Reject Rate è 1. Può essere con o senza rilevamento di anti-spoofing o liveness
Requisiti per il sensore delle impronte digitali
Per consentire la corrispondenza delle impronte digitali, i dispositivi devono avere sensori di impronta digitale e software. I sensori di impronta digitale possono essere sensori di tocco (area grande o piccola area) o sensori di scorrimento rapido. Ogni tipo di sensore ha un proprio set di requisiti dettagliati che devono essere implementati dal produttore, ma tutti i sensori devono includere misure anti-spoofing.
Intervallo di prestazioni accettabile per sensori touch di piccole e grandi dimensioni:
- False Accept Rate (FAR): <0,001 - 0,002%
- False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: <10%
Intervallo di prestazioni accettabile per i sensori di scorrimento rapido:
- False Accept Rate (FAR): <0,002%
- False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%
Sensori di riconoscimento facciale
Per consentire il riconoscimento facciale, nei dispositivi devono essere integrati i sensori a infrarossi e il relativo software. I sensori di riconoscimento facciale usano fotocamere speciali che vedono nella luce IR, consentendo loro di capire la differenza tra una foto e una persona vivente durante la scansione delle caratteristiche facciali di un dipendente. Analogamente ai sensori delle impronte digitali, questi sensori devono includere delle misure anti-spoofing (obbligatorie) e un modo per configurarle (facoltativo).
- False Accept Rate (FAR): <0,001%
- False Reject Rate (FRR) senza rilevamento anti-spoofing o della vivacità: < 5%
- False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: <10%
Nota
Windows Hello autenticazione viso non supporta l'uso di una maschera durante la registrazione o l'autenticazione. Se l'ambiente di lavoro non consente di rimuovere temporaneamente una maschera, provare a usare il PIN o l'impronta digitale.
Requisiti del sensore di riconoscimento dell'iride
Per usare l'autenticazione Iris, è necessario un dispositivo HoloLens 2. Tutte le edizioni HoloLens 2 sono dotate degli stessi sensori. Iris è implementato allo stesso modo di altre tecnologie Windows Hello e raggiunge la sicurezza biometrica FAR di 1/100K.
Per altre informazioni sui requisiti hardware per Windows Hello, vedere Windows Hello requisiti biometrici.