Azure AD passwordless authentication con Feitian Fingerprint Card

Accedere senza password (passwordless sign in) è una delle funzionalità che Microsoft sta promuovendo ormai da diversi anni e i dispositivi biometrici, ormai diffusi in tutti i computer portatili, possono essere utilizzati per accedere a Windows e alle applicazioni web. A partire da Windows 10, versione 1809 (October 2018 Update), sono state diverse le novità introdotte da Microsoft per favorire gli utenti ed evitare sempre di più l’utilizzo delle password per effettuare l’autenticazione, a fronte dell’utilizzo di security key oppure di App installate in uno smartphone.

Microsoft consiglia metodi di autenticazione senza password (passwordless), ad esempio Windows Hello, chiavi di sicurezza FIDO2 e l’app Microsoft Authenticator perché offrono l’esperienza di accesso più sicura.

Le funzionalità come l’autenticazione a più fattori (MFA) sono un ottimo modo per proteggere l’azienda, ma gli utenti spesso sono frustrati dal dover comunque ricordare la password e successivamente utilizzare un dispositivo esterno per la verifica a due fattori. I metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica (biometria) o un’informazione nota (dispositivo esterno).

Prerequisiti

Per poter utilizzare il passwordless sign-in con Azure AD è necessario avere:

  • Una security key compatibile con FIDO2
  • Aver abilitato Azure Multi-Factor Authentication (MFA)
  • Windows 10 versione 1809 e successive
  • Un browser che supporti il protocollo WebAuthn per l’autenticazione delle applicazioni web (Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari)

Per approfondimenti sul protocollo WebAuthN vi rimando alla lettura del documento https://www.w3.org/2018/Talks/06-WebAuthn.pdf

La tabella seguente illustra alcune considerazioni sulla sicurezza dei metodi di autenticazione disponibili.

Figura 1: Sicurezza dei metodi di autenticazione disponibili in Azure AD

Alcuni metodi di autenticazione possono essere usati come fattore primario quando si accede a un’applicazione o a un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa Azure AD Multi-Factor Authentication o la reimpostazione della password self-service.

La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:

Figura 2: Modalità di funzionamento di ogni metodo di autenticazione

Per la realizzazione di questo articolo ho utilizzato Feitian Fingerprint Card F1000_A che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol). Trovate il manuale utente alla pagina https://www.ftsafe.com/fidocard

Figura 3: Feitian Fingerprint card

Figura 4: Elementi della Feitian Fingerprint card

Abilitazione della passwordless authentication come metodo di autenticazione

Per poter utilizzare la passwordless authentication come metodo di autenticazione è necessario prima di tutto collegarsi al portale Azure e da Azure Active Directory > Security cliccare su collegamento Authentication Methods.

Figura 5: Azure AD Security

Nel blade Authentication methods policies scegliete il metodo da utilizzare. Cliccate su FIDO2 Security Key e abilitate la funzionalità. Non modificate altri parametri, come mostrato nelle figure sotto:

Figura 6: Abilitazione della FIDO2 Security Key

Figura 7: Abilitazione della FIDO2 per tutti gli utenti

Figura 8: Configurazioni predefinite per le security key

Figura 9: Abilitazione delle FIDO2 Security Key completata

Questo è quanto è necessario effettuare da parte degli amministratori del tenant di Azure AD. Il resto della configurazione deve essere fatto dal singolo utente, per poter associare la security key (fingerprint card) al proprio account.

Registrazione della Security Key

Per utilizzare la Feitian fingerprint card è necessario prima registrare le impronte digitali. La registrazione viene fatta installando sul proprio smartphone un’app chiamata Fingerprint Card Manager. La versione iOS dell’app è disponibile al link https://apps.apple.com/app/id1447629537 mentre la versione pe Android è disponibile al link https://play.google.com/store/apps/details?id=com.ftsafe.FingerPrint&pli=1

La Feitian Fingerprint Card è dotata di tecnologia bluetooth, che permetterà allo smartphone di individuare la card senza necessità di lettore dedicati.

Figura 10: Link per scaricare l’app Fingerprint Card Manager

Dopo aver scaricato ed installato l’app vi basterà inserire la Fingerprint Card nell’apposito alimentatore (fornito in dotazione) e seguire le indicazioni che appariranno nell’app Fingerprint Card Manager. Qui di seguito vengono mostrati i diversi passaggi:

      
      
      

Registrate fino a 8 impronte digitali ed effettuate i test di verifica di funzionamento, seguendo le istruzioni che vi appariranno sullo smartphone.

NOTA: L’alimentatore (holder) serve solo per la registrazione delle impronte. Per la verifica verrà utilizzato un lettore apposito, sempre fornito in dotazione.

Associazione della Feitian Fingerprint Card al proprio Azure AD account

Per poter registrare ed associare la propria security key all’account di Azure AD, ogni utente dovrà andare nel proprio profilo utilizzando il link My Account (microsoft.com) e modificare le Security Info. Dallo stesso link sarà possibile gestire anche le funzionalità di Multi-Factor Authentication (MFA).

NOTA: Se l’utente ha già abilitato la Azure MFA potrà aggiungere direttamente la Security Key, altrimenti deve aggiungere almeno un metodo di autenticazione Azure MFA.

Figura 11: Modifica delle security info da parte dell’utente

In alternativa l’utente può anche collegarsi direttamente alla pagina My Sign-Ins | Security Info | Microsoft.com.

Nel momento in cui l’utente tenta di aggiungere un metodo di autenticazione potrà scegliere tra diverse possibilità, come mostrato nella figura sotto:

Figura 12: Scelta del metodo di autenticazione da parte dell’utente

NOTA: Se l’utente non ha precedentemente abilitato la Azure Multi-factor Authentication, una schermata a video gli chiederà di fornire 2 metodi di autenticazione. Basterà quindi seguire il wizard e compilare le informazioni richieste.

Se avete già aggiunto altri metodi di autenticazione MFA il wizard di aggiunta della Security Key procede senza intoppi. Scegliete NFC device come tipo di chiave da aggiungere.

Figura 13: Scelta del tipo di chiave da aggiungere, che nel caso della Feitian Fingerprint card deve essere NFC device

Seguite le semplici indicazioni a video per completare il processo di enrollment della fingerprint card, come mostrato nelle figure sotto.

Figura 14: Richiesta di preparare la security key per l’enrollment

Figura 15: Prompt per l’inserimento della security key

Figura 16: Richiesta di conferma dell’associazione della security key all’account di Azure AD

Figura 17: Informazioni sul setup della security key

Inserite l’apposito lettore di Fingerprint card Feitian nella porta USB del vostro computer e appoggiate (tap) la card che avete precedentemente configurato tramite l’app dello smartphone.

Figura 18: Richiesta di appoggiare la Feitian Fingerprint card sull’apposito lettore

Dopo aver appoggiato la Fingerptint card sul lettore, il led verde sulla card comincerà a lampeggiare velocemente. Vuol dire che dovrete mettere la vostra impronta digitale per poter verificare la vostra identità. Appoggiate quindi una delle dita che avete precedentemente registrato sul lettore di impronte digitali della card.

Figura 19: La carta va appoggiata (tap) sul lettore in dotazione

Dopo il riconoscimento dell’impronta digitale verrete reindirizzati alla pagina delle Security Info, dove vi verrà chiesto di inserire un nome descrittivo per distinguere facilmente la security key.

Figura 20: Inserimento di un nome che serva ad individuare facilmente la chiavetta tra i nostri metodi di autenticazione

Figura 21: Configurazione della security key FIDO 2 completata

Utilizzo della security Key per il login passwordless ad Azure AD

Per poter testare il login passwordless ad Azure AD (e quindi a Microsoft 365) dovrete servirvi di un browser che supporti il  protocollo WebAuthn e le Web Authentication API, che sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ).

Mi sono collegato alla pagina di login di Microsoft 365 e sono stato reindirizzato al sito https://login.microsoftonline.com. Nella finestra che si è aperta ho cliccato sul link Sign-in options

Figura 22: Test del login passwordless

A questo punto in Microsoft Edge mi è stata presentata la possibilità di utilizzare una Security Key.

Figura 23: Tra le opzioni disponibili per il Sign-in c’è anche la Security Key

Figura 24: Richiesta di inserimento della security key o di effettuare un tap sull’apposito lettore

Appoggiate la Feitian Fingerprint
Card sull’apposito lettore e quando il led verde comincia a lampeggiare velocemente utilizzate una delle dita che avete registrato tramite smartphone per effettuare il riconoscimento dell’impronta digitale. Immediatamente verrete autenticati ad Azure Active Directory.

Figura 25: Accesso ad Azure AD effettuato

Conclusioni

Il passwordless sign-in utilizzando una Security Key è decisamente una funzionalità interessante. L’accesso passwordless garantisce che ci si possa autenticare in modo molto semplice ma allo stesso tempo molto più sicuro. Il protocollo WebAuthn e lo standard FIDO2 sono pensati per gestire al meglio le nostre credenziali di accesso. Se aggiungiamo anche la possibilità di utilizzare un lettore biometrico di impronte digitali integrato nella security key con un fattore di forma di una carta di credito, allora il nostro accesso sarà ancora più veloce e comodo.