FIDO Alliance
Prima di iniziare è giusto fare una premessa su FIDO (Fast IDentity Online).
Si tratta di una serie di standard di autenticazione mirati a rafforzare la procedura di accesso dell’utente ai servizi online. Questi standard sono stati sviluppati e vengono mantenuti da FIDO Alliance e promuovono processi di autenticazione più veloci e sicuri con l’obiettivo globale di eliminare del tutto l’accesso basato su password.
FIDO Alliance raggruppa oltre 250 aziende con nomi di spicco come Microsoft, Apple, Google, Samsung, Amazon, PayPal.
Funzionamento FIDO2
Il protocollo si basa sulla crittografia asimmetrica garantendo un sistema di autenticazione sicuro e phishing-resistant.
Viene utilizzata una coppia di chiavi (Passkey), una privata e una pubblica, per convalidare l’identità degli utenti e autorizzare gli accessi. La parte privata è mantenuta nel dispositivo FIDO2 mentre la pubblica viene messa a disposizione dal servizio online a cui vogliamo accedere.
Entra ID supporta diverse tipologie di autenticazione passwordless ma oggi, come anticipato dal titolo, vorrei concentrarmi sulle Security Keys FIDO2.
Per l’occasione ho acquistato la Thetis Pro FIDO2 Key perché, grazie alla presenza di USB-A, USB-C e NFC, risulta compatibile con praticamente qualsiasi device.
Sono, comunque, disponibili chiavi di ogni genere, è possibile verificarne la certificazione FIDO a questo indirizzo.
La prima cosa da fare è abilitare il supporto all’autenticazione con FIDO2 dal portale Entra. Nella sezione Protection selezionare gli Authentication methods e poi abilitare Passkey FIDO2 come segue:
Quella che abbiamo visto è la configurazione più semplice, potremmo utilizzare anche un AAGUID per limitare il funzionamento solo ad alcuni Vendor oppure, se il livello di licenza di Entra ID lo permettesse, definire delle Conditional Access policy.
Ma, per il momento, vediamo cosa accade lato utente una volta abilitato il supporto a FIDO2.
Dovremo innanzitutto inserire un PIN per la chiave Thetis tramite l’applicazione di gestione:
Gli utenti potranno ora, in autonomia, registrare la propria Security Key attraverso la pagina myaccount.microsoft.com andando alla sezione Security Info:
Ci verrà richiesto di inserire il PIN che abbiamo precedentemente impostato per l’accesso alla chiavetta:
Per completare la configurazione è sufficiente dare un nome alla Security Key, così da identificarla tra i metodi di authenticazione:
A questo punto la nostra chiave di sicurezza è inserita tra gli authentication methods e ci permetterà di eseguire l’accesso senza richiesta di password.
Importante dire che è sempre opportuno avere più di una security key, soprattutto se parliamo di account amministrativi/sensibili, per ovviare alla perdita o dimenticanza dell’oggetto.
Un altro consiglio che posso dare è quello di mantenere attivi anche altri metodi alternativi di autenticazione, primo su tutti Microsoft Authenticator.
In particolare per l’Authenticator di Microsoft, a partire da Maggio 2024, è in Preview la compatibilità con gli standard FIDO2: Enable passkeys in Microsoft Authenticator (preview).
Categories: 365 All Azure Cloud Sistemi Virtual Desktop Windows