Metodi di autenticazione in Microsoft Entra ID - passkey (FIDO2)

Gli attacchi di phishing remoti sono in aumento. Questi attacchi mirano a rubare o inoltrare prove di identità, ad esempio password, codici SMS o passcode monouso, senza accesso fisico al dispositivo dell'utente. Gli utenti malintenzionati usano spesso tecniche di ingegneria sociale, raccolta di credenziali o downgrade per ignorare protezioni più avanzate come passkey o chiavi di sicurezza. Con i toolkit di attacco basati sull'intelligenza artificiale, queste minacce stanno diventando più sofisticate e scalabili.

I passkey consentono di evitare il phishing remoto sostituendo metodi di phishing come password, SMS e codici di posta elettronica. Basato su standard FIDO (Fast Identity Online), i passkey usano la crittografia a chiave pubblica associata all'origine, assicurando che le credenziali non possano essere riprodotte o condivise con attori malintenzionati.

Basato su standard FIDO interoperazionali (Fast Identity Online) sviluppati dagli esperti di sicurezza del settore. Usano la crittografia a chiave pubblica associata all'origine e richiedono l'interazione dell'utente locale. Prese insieme, queste caratteristiche rendono i passkey quasi impossibile da phish.

Una chiave privata viene archiviata nel dispositivo e la chiave pubblica viene archiviata con l'app o il sito Web a cui si accede. Per accedere sono necessarie entrambe le chiavi univoche. Questa combinazione di coppie di chiavi è univoca, quindi la passkey funziona solo nel sito Web o nell'app per cui è stata creata.

Ogni tentativo di accesso richiede che tu sia presente per sbloccare la chiave di accesso sul dispositivo che usi per l'accesso. Qualcuno non può ingannarti facendoti accedere su un altro dispositivo che controllano.

Oltre a una maggiore sicurezza, i passkey (FIDO2) offrono un'esperienza di accesso senza problemi eliminando le password, riducendo le richieste e abilitando l'autenticazione veloce e sicura tra i dispositivi. È possibile utilizzarli per accedere a Microsoft Entra ID o ai dispositivi Windows 11 connessi in modalità ibrida a Microsoft Entra, e ottenere l'accesso Single Sign-On alle risorse cloud e locali.

Che cosa sono i passkey?

Le passkey sono credenziali resistenti al phishing che forniscono un'autenticazione avanzata e possono fungere da metodo di autenticazione a più fattori (MFA) quando si combinano con la biometria del dispositivo o il PIN. Forniscono inoltre resistenza all'impersonificazione del verificatore, che garantisce che un autenticatore rilasci i segreti solo alla Relying Party (RP) con cui la passkey è stata registrata e non a un utente malintenzionato che finge di essere tale RP. Passkeys (FIDO2) seguono gli standard FIDO2, usando WebAuthn per browser e CTAP per la comunicazione dell'autenticazione.

Il processo seguente viene usato quando un utente accede a Microsoft Entra ID con una passkey (FIDO2):

1. L'utente avvia l'accesso a Microsoft Entra ID.
2. L'utente seleziona una passkey:
   • Stesso dispositivo (archiviato nel dispositivo)
   • Cross-device (tramite codice QR) o chiave di sicurezza FIDO2
3. Microsoft Entra ID invia una sfida (nonce) all'autenticatore.
4. L'autenticatore individua la coppia di chiavi usando l'ID rp con hash e l'ID credenziale.
5. L'utente esegue un movimento biometrico o PIN per sbloccare la chiave privata.
6. L'autenticatore firma la richiesta con la chiave privata e restituisce la firma.
7. Microsoft Entra ID verifica la firma usando la chiave pubblica e rilascia un token.

Tipi di passkey

• Passkey associati al dispositivo: la chiave privata viene creata e archiviata in un singolo dispositivo fisico e non la lascia mai. Esempi:
  • Microsoft Authenticator
  • Chiavi di sicurezza FIDO2
• Passkey sincronizzati: la chiave privata viene creata dal modulo di protezione hardware (HSM) e crittografata nel dispositivo locale. Questa chiave crittografata viene quindi sincronizzata e archiviata nel provider passkey cloud. Altri dispositivi autenticati con il provider passkey possono quindi usare la passkey. Questo può variare a seconda del provider. Le passkey sincronizzate non supportano l'attestazione. Esempi:
  • Portachiavi iCloud di Apple
  • Google Password Manager

I passkey sincronizzati offrono un'esperienza utente semplice e pratica in cui gli utenti possono usare il meccanismo di sblocco nativo di un dispositivo, ad esempio viso, impronta digitale o PIN per l'autenticazione. In base alle nozioni apprese da centinaia di milioni di utenti consumer di account Microsoft registrati e che usano passkey sincronizzati, si è appreso quanto segue:

• 99% degli utenti registrano correttamente i passkey sincronizzati
• Le passkey sincronizzate sono 14 volte più veloci rispetto alla password e a una combinazione di MFA tradizionale: 3 secondi invece di 69 secondi
• Gli utenti hanno un accesso 3 volte superiore con passkey sincronizzato rispetto ai metodi di autenticazione legacy (95% rispetto a 30%)
• I passkey sincronizzati in Microsoft Entra ID portano la semplicità dell'autenticazione a più fattori a livello aziendale per tutti gli utenti aziendali. Sono un'alternativa conveniente e a basso costo alle tradizionali opzioni di autenticazione a più fattori, ad esempio le app SMS e di autenticazione.

Per altre informazioni su come distribuire passkey nell'organizzazione, vedere Come abilitare le passkey sincronizzate.

L'attestazione verifica l'autenticità del provider passkey o del dispositivo durante la registrazione. Quando applicato:

• Fornisce un'identità del dispositivo verificabile in modo crittografico tramite FIDO Metadata Service (MDS). Quando viene applicata l'attestazione, le parti fiduciarie possono convalidare il modello di autenticatore e attuare decisioni politiche per i dispositivi certificati.
• I passkey non certificati, inclusi i passkey sincronizzati e i passkey vincolati al dispositivo non certificati, non forniscono la provenienza del dispositivo.

In Microsoft Entra ID:

• L'attestazione può essere applicata a livello di profilo passkey .
• Se l'attestazione è abilitata, sono consentite solo le passkey associate al dispositivo; le passkey sincronizzate vengono escluse.

Scegliere l'opzione passkey corretta

Le chiavi di sicurezza FIDO2 sono consigliate per settori altamente regolamentati o utenti con privilegi elevati. Offrono una sicurezza avanzata, ma possono aumentare i costi per attrezzature, formazione e supporto tecnico, soprattutto quando gli utenti perdono le chiavi fisiche e richiedono il ripristino dell'account. I passkey nell'app Microsoft Authenticator sono un'altra opzione per questi gruppi di utenti.

Per la maggior parte degli utenti, quelli esterni a ambienti altamente regolamentati o senza accesso a sistemi sensibili, i passkey sincronizzati offrono un'alternativa conveniente e a basso costo all'autenticazione a più fattori tradizionale. Apple e Google hanno implementato protezioni avanzate per passkey archiviati nei cloud.

Indipendentemente dal tipo, ovvero vincolate al dispositivo o sincronizzate, le passkey rappresentano un aggiornamento significativo della sicurezza rispetto ai metodi MFA vulnerabili al phishing.

Per altri dettagli, vedere Introduzione alla distribuzione MFA resistente al phishing in Microsoft Entra ID.

Contenuti correlati

• Abilita le passkey (FIDO2) in Microsoft Entra ID
• Abilita i profili passkey in Microsoft Entra ID
• Abilita le passkey sincronizzate in Microsoft Entra ID
• Passkey nell'app Authenticator
• Requisiti di attestazione