Azure AD passwordless authentication con Feitian Fingerprint Card
Accedere senza password (passwordless sign in) è una delle funzionalità che Microsoft sta promuovendo ormai da diversi anni e i dispositivi biometrici, ormai diffusi in tutti i computer portatili, possono essere utilizzati per accedere a Windows e alle applicazioni web. A partire da Windows 10, versione 1809 (October 2018 Update), sono state diverse le novità introdotte da Microsoft per favorire gli utenti ed evitare sempre di più l’utilizzo delle password per effettuare l’autenticazione, a fronte dell’utilizzo di security key oppure di App installate in uno smartphone.
Microsoft consiglia metodi di autenticazione senza password (passwordless), ad esempio Windows Hello, chiavi di sicurezza FIDO2 e l’app Microsoft Authenticator perché offrono l’esperienza di accesso più sicura.
Le funzionalità come l’autenticazione a più fattori (MFA) sono un ottimo modo per proteggere l’azienda, ma gli utenti spesso sono frustrati dal dover comunque ricordare la password e successivamente utilizzare un dispositivo esterno per la verifica a due fattori. I metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica (biometria) o un’informazione nota (dispositivo esterno).
Prerequisiti
Per poter utilizzare il passwordless sign-in con Azure AD è necessario avere:
- Una security key compatibile con FIDO2
- Aver abilitato Azure Multi-Factor Authentication (MFA)
- Windows 10 versione 1809 e successive
- Un browser che supporti il protocollo WebAuthn per l’autenticazione delle applicazioni web (Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari)
Per approfondimenti sul protocollo WebAuthN vi rimando alla lettura del documento https://www.w3.org/2018/Talks/06-WebAuthn.pdf
La tabella seguente illustra alcune considerazioni sulla sicurezza dei metodi di autenticazione disponibili.
Figura 1: Sicurezza dei metodi di autenticazione disponibili in Azure AD
Alcuni metodi di autenticazione possono essere usati come fattore primario quando si accede a un’applicazione o a un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa Azure AD Multi-Factor Authentication o la reimpostazione della password self-service.
La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:
Figura 2: Modalità di funzionamento di ogni metodo di autenticazione
Per la realizzazione di questo articolo ho utilizzato Feitian Fingerprint Card F1000_A che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol). Trovate il manuale utente alla pagina https://www.ftsafe.com/fidocard
Figura 3: Feitian Fingerprint card
Figura 4: Elementi della Feitian Fingerprint card
Abilitazione della passwordless authentication come metodo di autenticazione
Per poter utilizzare la passwordless authentication come metodo di autenticazione è necessario prima di tutto collegarsi al portale Azure e da Azure Active Directory > Security cliccare su collegamento Authentication Methods.
Figura 5: Azure AD Security
Nel blade Authentication methods policies scegliete il metodo da utilizzare. Cliccate su FIDO2 Security Key e abilitate la funzionalità. Non modificate altri parametri, come mostrato nelle figure sotto:
Figura 6: Abilitazione della FIDO2 Security Key
Figura 7: Abilitazione della FIDO2 per tutti gli utenti
Figura 8: Configurazioni predefinite per le security key
Figura 9: Abilitazione delle FIDO2 Security Key completata
Questo è quanto è necessario effettuare da parte degli amministratori del tenant di Azure AD. Il resto della configurazione deve essere fatto dal singolo utente, per poter associare la security key (fingerprint card) al proprio account.
Registrazione della Security Key
Per utilizzare la Feitian fingerprint card è necessario prima registrare le impronte digitali. La registrazione viene fatta installando sul proprio smartphone un’app chiamata Fingerprint Card Manager. La versione iOS dell’app è disponibile al link https://apps.apple.com/app/id1447629537 mentre la versione pe Android è disponibile al link https://play.google.com/store/apps/details?id=com.ftsafe.FingerPrint&pli=1
La Feitian Fingerprint Card è dotata di tecnologia bluetooth, che permetterà allo smartphone di individuare la card senza necessità di lettore dedicati.
Figura 10: Link per scaricare l’app Fingerprint Card Manager
Dopo aver scaricato ed installato l’app vi basterà inserire la Fingerprint Card nell’apposito alimentatore (fornito in dotazione) e seguire le indicazioni che appariranno nell’app Fingerprint Card Manager. Qui di seguito vengono mostrati i diversi passaggi:
Registrate fino a 8 impronte digitali ed effettuate i test di verifica di funzionamento, seguendo le istruzioni che vi appariranno sullo smartphone.
NOTA: L’alimentatore (holder) serve solo per la registrazione delle impronte. Per la verifica verrà utilizzato un lettore apposito, sempre fornito in dotazione.
Associazione della Feitian Fingerprint Card al proprio Azure AD account
Per poter registrare ed associare la propria security key all’account di Azure AD, ogni utente dovrà andare nel proprio profilo utilizzando il link My Account (microsoft.com) e modificare le Security Info. Dallo stesso link sarà possibile gestire anche le funzionalità di Multi-Factor Authentication (MFA).
NOTA: Se l’utente ha già abilitato la Azure MFA potrà aggiungere direttamente la Security Key, altrimenti deve aggiungere almeno un metodo di autenticazione Azure MFA.
Figura 11: Modifica delle security info da parte dell’utente
In alternativa l’utente può anche collegarsi direttamente alla pagina My Sign-Ins | Security Info | Microsoft.com.
Nel momento in cui l’utente tenta di aggiungere un metodo di autenticazione potrà scegliere tra diverse possibilità, come mostrato nella figura sotto:
Figura 12: Scelta del metodo di autenticazione da parte dell’utente
NOTA: Se l’utente non ha precedentemente abilitato la Azure Multi-factor Authentication, una schermata a video gli chiederà di fornire 2 metodi di autenticazione. Basterà quindi seguire il wizard e compilare le informazioni richieste.
Se avete già aggiunto altri metodi di autenticazione MFA il wizard di aggiunta della Security Key procede senza intoppi. Scegliete NFC device come tipo di chiave da aggiungere.
Figura 13: Scelta del tipo di chiave da aggiungere, che nel caso della Feitian Fingerprint card deve essere NFC device
Seguite le semplici indicazioni a video per completare il processo di enrollment della fingerprint card, come mostrato nelle figure sotto.
Figura 14: Richiesta di preparare la security key per l’enrollment
Figura 15: Prompt per l’inserimento della security key
Figura 16: Richiesta di conferma dell’associazione della security key all’account di Azure AD
Figura 17: Informazioni sul setup della security key
Inserite l’apposito lettore di Fingerprint card Feitian nella porta USB del vostro computer e appoggiate (tap) la card che avete precedentemente configurato tramite l’app dello smartphone.
Figura 18: Richiesta di appoggiare la Feitian Fingerprint card sull’apposito lettore
Dopo aver appoggiato la Fingerptint card sul lettore, il led verde sulla card comincerà a lampeggiare velocemente. Vuol dire che dovrete mettere la vostra impronta digitale per poter verificare la vostra identità. Appoggiate quindi una delle dita che avete precedentemente registrato sul lettore di impronte digitali della card.
Figura 19: La carta va appoggiata (tap) sul lettore in dotazione
Dopo il riconoscimento dell’impronta digitale verrete reindirizzati alla pagina delle Security Info, dove vi verrà chiesto di inserire un nome descrittivo per distinguere facilmente la security key.
Figura 20: Inserimento di un nome che serva ad individuare facilmente la chiavetta tra i nostri metodi di autenticazione
Figura 21: Configurazione della security key FIDO 2 completata
Utilizzo della security Key per il login passwordless ad Azure AD
Per poter testare il login passwordless ad Azure AD (e quindi a Microsoft 365) dovrete servirvi di un browser che supporti il protocollo WebAuthn e le Web Authentication API, che sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ).
Mi sono collegato alla pagina di login di Microsoft 365 e sono stato reindirizzato al sito https://login.microsoftonline.com. Nella finestra che si è aperta ho cliccato sul link Sign-in options
Figura 22: Test del login passwordless
A questo punto in Microsoft Edge mi è stata presentata la possibilità di utilizzare una Security Key.
Figura 23: Tra le opzioni disponibili per il Sign-in c’è anche la Security Key
Figura 24: Richiesta di inserimento della security key o di effettuare un tap sull’apposito lettore
Appoggiate la Feitian Fingerprint
Card sull’apposito lettore e quando il led verde comincia a lampeggiare velocemente utilizzate una delle dita che avete registrato tramite smartphone per effettuare il riconoscimento dell’impronta digitale. Immediatamente verrete autenticati ad Azure Active Directory.
Figura 25: Accesso ad Azure AD effettuato
Conclusioni
Il passwordless sign-in utilizzando una Security Key è decisamente una funzionalità interessante. L’accesso passwordless garantisce che ci si possa autenticare in modo molto semplice ma allo stesso tempo molto più sicuro. Il protocollo WebAuthn e lo standard FIDO2 sono pensati per gestire al meglio le nostre credenziali di accesso. Se aggiungiamo anche la possibilità di utilizzare un lettore biometrico di impronte digitali integrato nella security key con un fattore di forma di una carta di credito, allora il nostro accesso sarà ancora più veloce e comodo.