Nicola FerriniAbilitare il passwordless sign-in per Azure AD e per Microsoft 365 utilizzando una security key FIDO2 bluetooth
La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati per via della scarsa cura che gli utenti ne hanno oppure della semplicità delle password utilizzate.
Accedere senza password (passwordless sign in) è una delle funzionalità che Microsoft sta promuovendo ormai da diversi anni e i dispositivi biometrici, ormai diffusi in tutti i computer portatili, possono essere utilizzati per accedere a Windows e alle applicazioni web. A partire da Windows 10, versione 1809 (October 2018 Update), sono state diverse le novità introdotte da Microsoft per favorire gli utenti ed evitare sempre di più l’utilizzo delle password per effettuare l’autenticazione, a fronte dell’utilizzo di security key oppure di App installate in uno smartphone.
I concetti di base sull’autenticazione passwordless sono ben descritti nell’articolo What is passwordless? e trovate anche diverse guide che ho scritto su questo sito a proposito della passwordless authentication.
Prerequisiti
Per poter utilizzare il passwordless sign-in con Azure AD è necessario avere:
- Una security key compatibile con FIDO2
- Aver abilitato Azure Multi-Factor Authentication (MFA)
- Azure AD Premium P1
- Windows 10 versione 1809 e successive
- Un browser che supporti il protocollo WebAuthn per l’autenticazione delle applicazioni web (Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari)
Per approfondimenti sul protocollo WebAuthN vi rimando alla lettura del documento https://www.w3.org/2018/Talks/06-WebAuthn.pdf
Per la realizzazione di questo articolo ho utilizzato una security key che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol).
Si tratta della chiave FEITIAN MultiPass FIDO K25, un dispositivo molto versatile perché ha la possibilità di essere collegata sia tramite cavo USB che tramite bluetooth ed è supportato da Microsoft, come si può vedere alla pagina https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-passwordless#fido2-security-key-providers
Figura 1: FEITIAN MultiPass FIDO K25
Abilitazione della passwordless authentication come metodo di autenticazione
Per poter utilizzare la passwordless authentication come metodo di autenticazione è necessario prima di tutto collegarsi al portale Azure e da Azure Active Directory > Security cliccare su collegamento Authentication Methods.
Figura 2: Azure AD Security
Nel blade Authentication methods policies scegliete il metodo da utilizzare. Cliccate su FIDO2 Security Key e abilitate la funzionalità. Non modificate altri parametri, come mostrato nelle figure sotto:
Figura 3: Abilitazione della FIDO2 Security Key
Figura 4: Abilitazione della FIDO2 per tutti gli utenti
Figura 5: Configurazioni predefinite per le security key
Figura 6: Abilitazione delle FIDO2 Security Key completata
Questo è quanto è necessario effettuare da parte degli amministratori del tenant di Azure AD. Il resto della configurazione deve essere fatto dal singolo utente, per poter associare la security key al proprio account.
Registrazione della Security Key
Questa particolare security key FEITIAN MultiPass FIDO K25 ha la possiblità di essere utilizzata tramite Bluetooth. Quindi come prima operazione l’utente che dovrà utilizzare la chiave deve effettuare il pairing
bluetooth con il proprio computer. Dall’app Settings scegliete Bluetooth & other devices e aggiungete uno nuovo dispositivo bluetooth.
Figura 7: Aggiunta di un nuovo dispositivo bluetooth al computer dell’utente
Tenete premuto per 5 secondi il tasto centrale della security key, fino a quando il led blu del bluetooth non inizia a lampeggiare (la security key si metterà in modalità pairing).
Figura 8: La security key viene individuata dal computer
Per effettuare il pairing verrà richiesto di inserire il passcode del dispositivo bluetooth, che è scritto sul retro della security key.
Figura 9: Retro della security key FEITIAN MultiPass FIDO K25
Figura 10: Inserimento del passcode bluetooth necessario ad effettuare il pairing
Figura 11: La security key FEITIAN MultiPass FIDO K25 è associata correttamente al computer dell’utente
Figura 12: FEITIAN MultiPass FIDO K25 visibile tra i dispositivi associati ed indicazione del livello di carica
Associazione della security key all’account di Azure AD
Per poter registrare ed associare la propria security key all’account di Azure AD, ogni utente dovrà andare nel proprio profilo utilizzando il link My Account (microsoft.com) e modificare le Security Info. Dallo stesso link sarà possibile gestire anche le funzionalità di Multi-Factor Authentication (MFA).
Se l’utente ha già abilitato la Azure MFA potrà aggiungere direttamente la Security Key, altrimenti deve aggiungere almeno un metodo di autenticazione Azure MFA.
Figura 13: Modifica delle security info da parte dell’utente
In alternativa l’utente può anche collegarsi direttamente alla pagina My Sign-Ins | Security Info | Microsoft.com.
Nel momento in cui l’utente tenta di aggiungere un metodo di autenticazione potrà scegliere tra diverse possibilità, come mostrato nella figura sotto:
Figura 14: Scelta del metodo di autenticazione da parte dell’utente
Figura 15: Scelta della security key come metodo di autenticazione
Se l’utente non ha precedentemente abilitato la Azure Multi-factor Authentication, una schermata a video gli chiederà di fornire 2 metodi di autenticazione. Basterà quindi seguire il wizard e compilare le informazioni richieste, come mostrato nelle figure sotto:
Figura 16: Richiesta di abilitazione della Azure Multi-factor authentication
Figura 17: Configurazione dei metodi da utilizzare per la Azure MFA
Figura 18: Abilitazione della Azure MFA completata
Se l’utente ha già abilitato la Azure MFA potrà aggiungere direttamente la Security Key cliccando sul bottone +Add method, scegliendo dal menu a tendina di aggiungere una Security Key e scegliendo il tipo di chiave da utilizzare. Nel mio caso la chiave è di tipo USB device, anche se la voglio utilizzare in modalità bluetooth..
Figura 19: Scelta del tipo di security key da utilizzare
Nelle figure sotto sono mostrati tutti i passaggi necessari all’aggiunta della security key FIDO2.
Figura 20: Il wizard ci assiste nella configurazione della security key FIDO2
Figura 21: Setup della security FIDO2
Figura 22: Informazioni sul setup della security key FIDO2
Poiché sul computer è stata registrata una chiave bluetooth, apparirà un messaggio che chiede di accendere il bluetooth o di connettere la chiave tramite USB per poter individuare la security key.
Figura 23: Richiesta di accensione del bluetooth per individuare la security key
Premete il tasto centrale della security key FEITIAN MultiPass FIDO K25 per poter effettuare l’associazione. In questo modo la chiavetta verrà individuata. È necessario proteggere l’accesso alla security key con un PIN. Il PIN dovrà essere inserito ogni volta che vorrete utilizzare la Security Key per autenticarvi. Usate un PIN alfanumerico e abbastanza lungo per proteggere l’accesso alla security key.
Figura 24: Configurazione del PIN per la protezione della security key
Dopo aver inserito il PIN verrà chiesto di confermare l’utilizzo della security key semplicemente premendo il tasto centrale del FEITIAN MultiPass FIDO K25.
Figura 25: Connessione alla security key FEITIAN MultiPass FIDO K25
Poiché è possibile utilizzare diverse security key per uno stesso account di Azure AD, vi verrà chiesto di inserire un nome descrittivo per distinguere facilmente le diverse security key.
Figura 26: Inserimento di un nome che serva ad individuare facilmente la chiavetta tra i nostri metodi di autenticazione
Figura 27: Configurazione della security key FIDO 2 completata
Figura 28: La security key è stata associata al nostro account ed è visibile tra i metodi di autenticazione dell’utente
Utilizzo della security Key per il login passwordless ad Azure AD
Per poter testare il login passwordless ad Azure AD (e quindi a Microsoft 365) dovrete servirvi di un browser che supporti il protocollo WebAuthn e le Web Authentication API, che sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ).
Mi sono collegato alla pagina di login di Microsoft 365 e sono stato reindirizzato al sito https://login.microsoftonline.com. Nella finestra che si è aperta ho cliccato sul link Sign-in options
Figura 29: Test del login passwordless
A questo punto in Microsoft Edge mi è stata presentata la possibilità di utilizzare una Security Key.
Figura 30: Tra le opzioni disponibili per il Sign-in c’è anche la Security Key
Figura 31: Richiesta di inserimento della security key o di attivazione del bluetooth
Premete una sola volta il tasto centrale della security key FEITIAN MultiPass FIDO K25 e quando viene richiesto inserite il PIN alfanumerico che avete configurato quando avete registrato la chiave.
NOTA: Non dovete usare il PIN che è scritto dietro la chiave, quello è solo il passcode necessario al pairing bluetooth
Figura 32: Inserimento del PIN per l’accesso alla chiave FEITIAN MultiPass FIDO K25
Figura 33: Il sistema è in attesa di parlare con il dispositivo bluetooth FEITIAN MultiPass FIDO K25
Premete una sola volta il tasto centrale della security key FEITIAN MultiPass FIDO K25 per confermare l’accesso.
Figura 34: Accesso ad Azure AD effettuato
Figura 35: Accesso al portale di Microsoft 365 completato
Gestione delle security key FeiTian
Per gestire al meglio le security key FeiTian avete a disposizione il software FEITIAN SK Manager Tool disponibile alla pagina https://fido.ftsafe.com/feitian-sk-manager-tool-user-manual/ . Tramite questo software sarà possibile recuperrare le infirmazioni hardware delle security key, cambiare il PIN, resettare il dispositivo, aggiungere ulteriori impronte digitali nel caso di un dispositivo BioPass, ecc.
Nelle figure sotto sono mostrate alcune schermate del software.
Figura 36: Avvio del software FEITIAN SK Manager Tool con richiesta di inserimento della security key
Poiché sto utilizzando la security key FEITIAN MultiPass FIDO K25 sarà necessario collegarla con il cavo USB in dotazione per poterla configurare, nonostante abbia già effettuato il pairing bluetooth.
Figura 37: Security key inserita
Figura 38: Informazioni sull’hardware della security key inserita
Figura 39: Configurazioni della security key MultiPass FIDO2
Conclusioni
Il passwordless sign-in utilizzando una Security Key è decisamente una funzionalità interessante. L’accesso passwordless garantisce che ci si possa autenticare in modo molto semplice ma allo stesso tempo molto più sicuro. Il protocollo WebAuthn e lo standard FIDO2 sono pensati per gestire al meglio le nostre credenziali di accesso. Se aggiungiamo anche la possibilità di utilizzare un dispositivo bluetooth il nostro accesso sarà comodo, sicuro e molto rapido.