Condividi tramite


Supporto per passkey in Windows

Le passkey offrono un metodo più sicuro e pratico per accedere a siti Web e applicazioni rispetto alle password. A differenza delle password, che gli utenti devono ricordare e digitare, le passkey vengono archiviate come segreti in un dispositivo e possono usare il meccanismo di sblocco di un dispositivo (ad esempio la biometria o un PIN). Le passkey possono essere usate senza la necessità di altre sfide di accesso, rendendo il processo di autenticazione più veloce, sicuro e più pratico.

Puoi usare passkey con qualsiasi applicazione o sito Web che li supporta per creare e accedere con Windows Hello. Dopo aver creato e archiviato una passkey con Windows Hello, puoi usare la biometria o il PIN del dispositivo per accedere. In alternativa, è possibile usare un dispositivo complementare (telefono o tablet) per accedere.

Nota

A partire da Windows 11 versione 22H2 con KB5030310, Windows offre un'esperienza nativa per la gestione delle passkey. Tuttavia, le passkey possono essere usate in tutte le versioni supportate dei client Windows.

Questo articolo descrive come creare e usare passkey nei dispositivi Windows.

Funzionamento delle passkey

Microsoft è da tempo membro fondatore di FIDO Alliance e ha contribuito a definire e usare le passkey in modo nativo all'interno di un autenticatore di piattaforma come Windows Hello. Le passkey usano lo standard di sicurezza del settore FIDO, adottato da tutte le principali piattaforme. Aziende tecnologiche leader come Microsoft supportano passkey come parte di FIDO Alliance e numerosi siti Web e app stanno integrando il supporto per le passkey.

I protocolli FIDO si basano su tecniche di crittografia a chiave pubblica/privata standard per offrire un'autenticazione più sicura. Quando un utente si registra con un servizio online, il dispositivo client genera una nuova coppia di chiavi. La chiave privata viene archiviata in modo sicuro nel dispositivo dell'utente, mentre la chiave pubblica viene registrata nel servizio. Per eseguire l'autenticazione, il dispositivo client deve dimostrare di possedere la chiave privata firmando una richiesta di verifica. Le chiavi private possono essere usate solo dopo essere state sbloccate dall'utente usando il fattore di sblocco Windows Hello (biometrica o PIN).

I protocolli FIDO assegnano priorità alla privacy degli utenti, in quanto sono progettati per impedire ai servizi online di condividere informazioni o tenere traccia degli utenti tra servizi diversi. Inoltre, tutte le informazioni biometriche usate nel processo di autenticazione rimangono nel dispositivo dell'utente e non vengono trasmesse attraverso la rete o al servizio.

Passkey rispetto alle password

Le passkey hanno diversi vantaggi rispetto alle password, tra cui la loro facilità d'uso e la loro natura intuitiva. A differenza delle password, le passkey sono facili da creare, non devono essere ricordate e non devono essere protette. Inoltre, le passkey sono univoche per ogni sito Web o applicazione, impedendone il riutilizzo. Sono altamente sicure perché vengono archiviate solo nei dispositivi dell'utente, con il servizio che archivia solo le chiavi pubbliche. Le passkey sono progettate per impedire agli utenti malintenzionati di indovinarle o ottenerle, il che consente di renderle resistenti ai tentativi di phishing in cui l'utente malintenzionato potrebbe tentare di ingannare l'utente a rivelare la chiave privata. Le passkey vengono applicate dai browser o dai sistemi operativi per essere usate solo per il servizio appropriato, anziché basarsi sulla verifica umana. Infine, le passkey forniscono l'autenticazione multipiattaforma e multipiattaforma, ovvero una passkey da un dispositivo può essere usata per accedere a un altro dispositivo.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano le passkey:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza passkeys sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Esperienze utente

Creare una passkey

Per impostazione predefinita, Windows offre di salvare la passkey in locale nel dispositivo Windows, nel qual caso la passkey è protetta da Windows Hello (biometrica e PIN). È anche possibile scegliere di salvare la passkey in una delle posizioni seguenti:

  • iPhone, iPad o dispositivo Android: la passkey viene salvata su un telefono o tablet, protetto dalla biometria del dispositivo, se offerto dal dispositivo. Questa opzione richiede la scansione di un codice a matrice con il telefono o il tablet, che deve essere in prossimità del dispositivo Windows
  • Dispositivo collegato: la passkey viene salvata su un telefono o tablet, protetta dalla biometria del dispositivo, se offerta dal dispositivo. Questa opzione richiede che il dispositivo collegato sia in prossimità del dispositivo Windows ed è supportato solo per i dispositivi Android
  • Chiave di sicurezza: la passkey viene salvata in una chiave di sicurezza FIDO2, protetta dal meccanismo di sblocco della chiave (ad esempio biometrica o PIN)

Selezionare una delle opzioni seguenti per informazioni su come salvare una passkey, in base alla posizione in cui si vuole archiviarlo.

  1. Aprire un sito Web o un'app che supporta le passkey
  1. Creare una passkey dalle impostazioni dell'account
  1. Selezionare l'opzione Usa un altro dispositivo>Avanti
  1. Selezionare Avanti questo dispositivo> Windows
  1. Selezionare un metodo di verifica Windows Hello e procedere con la verifica, quindi selezionare OK
  1. La passkey viene salvata nel dispositivo Windows. Per confermare selezionare OK

Usare una passkey

Quando apri un sito Web o un'app che supporta le passkey, se una passkey viene archiviata in locale, ti viene automaticamente richiesto di usare Windows Hello per accedere. È anche possibile scegliere di usare una passkey da una delle posizioni seguenti:

  • iPhone, iPad o dispositivo Android: usare questa opzione se si vuole accedere con una passkey memorizzata su un telefono o tablet. Questa opzione richiede la scansione di un codice a matrice con il telefono o il tablet, che deve essere in prossimità del dispositivo Windows
  • Dispositivo collegato: usare questa opzione se si vuole accedere con una passkey archiviata in un dispositivo in prossimità del dispositivo Windows. Questa opzione è supportata solo per i dispositivi Android
  • Chiave di sicurezza: usare questa opzione se si vuole accedere con una passkey archiviata in una chiave di sicurezza FIDO2

Selezionare una delle opzioni seguenti per informazioni su come usare una passkey, in base alla posizione in cui è stata salvata.

  1. Aprire un sito Web o un'app che supporta le passkey
  1. Selezionare Accedi con una passkey o un'opzione simile
  1. Selezionare l'opzione Usa un altro dispositivo>Avanti
  1. Selezionare Avanti questo dispositivo> Windows
  1. Selezionare un'opzione di sblocco di Windows Hello
  1. Selezionare OK per continuare l'accesso

Gestire le passkey

A partire da Windows 11 versione 22H2 con KB5030310, puoi usare l'app Impostazioni per visualizzare e gestire le passkey salvate per app o siti Web. Passare a Impostazioni > Account > Passkeys o usare il collegamento seguente:

  • Viene visualizzato un elenco di passkey salvate ed è possibile filtrarle in base al nome
  • Per eliminare una passkey, selezionare ... > Eliminare la passkey accanto al nome della passkey

Screenshot dell'app Impostazioni che mostra l'opzione di eliminazione per una passkey.

Nota

Alcune passkey per login.microsoft.com non possono essere eliminate perché vengono usate con l'ID Microsoft Entra e/o l'account Microsoft per l'accesso al dispositivo e ai servizi Microsoft.

Passkey in ambienti con restrizioni Bluetooth

Per gli scenari di autenticazione tra dispositivi passkey, sia il dispositivo Windows che il dispositivo mobile devono avere Bluetooth abilitato e connesso a Internet. Ciò consente all'utente di autorizzare un altro dispositivo in modo sicuro tramite Bluetooth senza trasferire o copiare la passkey stessa.

Alcune organizzazioni limitano l'utilizzo del Bluetooth, che include l'uso di passkey. In questi casi, le organizzazioni possono consentire le passkey consentendo l'associazione Bluetooth esclusivamente agli autenticatori FIDO2 abilitati per passkey.

Per limitare l'uso del Bluetooth solo ai casi d'uso passkey, usare il CSP dei criteri Bluetooth e il provider di servizi di configurazione dei criteri DeviceInstallation.

Configurazione dei dispositivi

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Per configurare i dispositivi con Microsoft Intune, è possibile usare criteri personalizzati con queste impostazioni:

Impostazione
  • URI OMA: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
  • Tipo di dati: Numero intero
  • Valore: 0

  • Se impostato su 0, il dispositivo non invia annunci pubblicitari.
  • URI OMA: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode
  • Tipo di dati: Numero intero
  • Valore: 0

  • Se impostato su 0, gli altri dispositivi non possono rilevare il dispositivo.
  • URI OMA: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing
  • Tipo di dati: Numero intero
  • Valore: 0

  • Impedisce l'associazione automatica di specifiche periferiche Bluetooth in bundle con il dispositivo host.
  • URI OMA: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections
  • Tipo di dati: Numero intero
  • Valore: 0

  • Impedisce agli utenti di usare la coppia Swift e altri scenari basati sulla prossimità.
  • URI OMA: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList
  • Tipo di dati: String
  • Valore: {0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB}

    Impostare un elenco di profili e servizi Bluetooth consentiti:
    - Servizio di autenticazione a secondo fattore universale di FIDO Alliance (0000fffd-0000-1000-8000-00805f9b34fb)
    - Servizio di trasporto da client a autenticatore sicuro FIDO2 (0000FFF9-0000-1000-8000-00805F9B34FB)

    Per altre informazioni, vedere la specifica standard FIDO CTAP 2.1 e il documento Numeri assegnati Bluetooth.
  • URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs
  • Tipo di dati: String
  • Valore: <enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1&#xF000;BTH\MS_BTHPAN"/>

  • Disabilita la scheda di rete PAN (Bluetooth Personal Area Network) esistente, impedendo l'installazione della scheda di rete Bluetooth che può essere usata per la connettività di rete o il tethering.

    Nota

    Una volta applicate le impostazioni, se si tenta di associare un dispositivo tramite Bluetooth, inizialmente si accoppierà e si disconnetterà immediatamente. Il dispositivo Bluetooth non viene caricato e non è disponibile da Impostazioni né da Gestione dispositivi.

    Fornire commenti e suggerimenti

    Per fornire commenti e suggerimenti per le passkey, aprire l'hub di feedback e usare la categoria Passkey sicurezza e privacy>.