Windows Hello for Business: autenticazione di nuova generazione per i negozi Windows

Autenticazione: l’atto di provare la propria identità con soddisfazione di qualche autorità centrale. Per la maggior parte, questo processo significa digitare un nome utente e una password. È così da anni e anni.

Ma le password, specialmente le password richieste dalla maggior parte delle aziende, che devono essere complesse, con lunghe stringhe di numeri e frasi speciali con alcuni simboli (ma non tutti! cielo no, non quello che vuoi) sono difficili da ricordare e spesso finiscono per essere scritto su foglietti adesivi. Quindi devi reimpostarli ogni tanto in modo che hacker e cracker lavorino verso obiettivi in ​​movimento.

Le password possono essere trapelate o violate anche dall’interno, come abbiamo visto con numerosi attacchi di dump delle credenziali negli ultimi anni. E gli utenti possono rivelare accidentalmente le loro password se cadono vittime di attacchi di phishing sempre più sofisticati.

Fortunatamente per i negozi Windows, Microsoft ha introdotto un metodo di qualità aziendale per utilizzare l’identificazione e l’autenticazione biometrica senza richiedere l’acquisto di hardware di fascia alta ed è integrato direttamente in Windows 10, che molti reparti IT stanno iniziando a implementare per sostituire Windows 7, 8 e 8.1. In questo articolo, voglio dare un’occhiata a questa innovazione, chiamata Windows Hello for Business, spiegare come funziona e mostrare come abilitarla per proteggere la tua azienda eliminando la necessità per i tuoi utenti di gestire password ingombranti.

Windows Hello è lo schema di autenticazione biometrico più comune e più conosciuto supportato da Windows. Consente agli utenti di Windows 10 che dispongono di dispositivi con lettori di impronte digitali o fotocamere speciali di accedere a Windows tramite impronta digitale o riconoscimento facciale.

[ More info: What is Windows Hello? Microsoft’s biometrics security system explained ]

Windows Hello for Business prende l’idea Hello e la combina con strumenti di gestione e tecniche di imposizione per garantire un profilo di sicurezza uniforme e un atteggiamento di sicurezza aziendale. Windows Hello for Business usa Criteri di gruppo o criteri di gestione dei dispositivi mobili (MDM) per la gestione e l’applicazione e sfrutta l’autenticazione basata su chiavi e certificati nella maggior parte degli scenari incentrati sul cloud per la massima protezione.

Windows Hello agisce su uno dei due fronti: può scansionare l’impronta digitale di una persona oppure può scattare un’immagine a infrarossi del viso di un utente ed eseguire un’analisi su di essa. (Hello supporta anche la scansione dell’iride, ma poiché le fotocamere dell’iride sono più adatte ai telefoni che ai laptop o ai display desktop, i primi due metodi sono più pratici per l’azienda.) Associa questi attributi fisici unici di ciascun utente con chiavi crittografiche che sostituiscono le password come metodi di autenticazione. Queste chiavi sono archiviate all’interno di hardware di sicurezza specializzato o sono crittografate nel software e sbloccate solo dopo che Windows le ritiene autentiche. Per le organizzazioni non interessate alla biometria, Windows Hello supporta anche l’utilizzo del PIN per sostituire le password trasmesse in rete.

Windows Hello protegge gli account Microsoft (gli account che usi per accedere ai servizi cloud Microsoft, Xbox, Office 365 e simili), gli account di dominio che fanno parte di una distribuzione aziendale di Active Directory, gli account di dominio aggiunti a un dominio di Azure Active Directory (questi sono relativamente nuovi) e, in futuro, account protetti da provider di identità federati che supporteranno il protocollo Fast ID Online (IDO) 2.0.

Perché Windows Hello è considerato più potente di una password tradizionale? Per prima cosa, la sicurezza è sempre migliore in tre, il miglior metodo di autenticazione è fornire qualcosa che hai, qualcosa che conosci e qualcosa che sei. In questo caso, Windows Hello può autenticare gli utenti soddisfacendo tutte e tre le regole: qualcosa che hai (la tua chiave privata, che è protetta dal modulo di sicurezza del tuo dispositivo), qualcosa che conosci (il PIN utilizzato per impostazione predefinita da Windows Hello dal punto dalla registrazione in poi) e qualcosa che sei (o il tuo volto, che è estremamente difficile da copiare e utilizzare in modo dannoso, o la tua impronta digitale, che ancora una volta senza rimuovere le cifre è difficile da copiare e utilizzare in modo nefasto).

La cosa più interessante è che tutti questi dati biometrici sono memorizzati solo sul dispositivo locale e sono non centralizzato nella directory o in qualche altra fonte di autenticazione; questo significa che gli attacchi di raccolta delle credenziali non sono utili contro gli account abilitati per Windows Hello semplicemente perché le credenziali non esistono nel luogo che verrebbe violato. Sebbene sia tecnicamente possibile che il modulo della piattaforma attendibile di ciascun dispositivo, o TPM, possa essere violato, un utente malintenzionato dovrebbe violare la macchina di ogni singolo utente, anziché eseguire semplicemente un attacco riuscito contro un singolo controller di dominio vulnerabile.