Nicola Ferrini

Entra ID passwordless authentication con Feitian SlimTag

Visualizzazioni: 1.007

L’autenticazione senza password, o “passwordless authentication”, è un approccio alla sicurezza informatica che cerca di eliminare l’uso delle tradizionali password come unico metodo di verifica dell’identità degli utenti. Questo sistema si basa su alternative più sicure e convenienti per autenticare gli utenti.

I metodi più comuni utilizzati nell’autenticazione senza password sono:

  • Biometria: Si basa sull’uso delle caratteristiche uniche del corpo umano, come impronte digitali, riconoscimento facciale, riconoscimento dell’iride o del battito cardiaco.
  • Token hardware: Utilizzo di dispositivi fisici, come smart card o chiavette USB, per confermare l’identità dell’utente.
  • App di autenticazione: Applicazioni mobile o desktop che generano codici di autenticazione temporanei o che consentono di approvare l’accesso tramite una notifica push.
  • Authenticator via SMS o email: Invio di un codice di verifica temporaneo tramite messaggio SMS o email.

I vantaggi dell’autenticazione senza password sono certamente:

  • Maggiore sicurezza: Le password possono essere facilmente soggette a violazioni di sicurezza a causa di password deboli o comportamenti utente non sicuri. L’autenticazione senza password riduce il rischio di accessi non autorizzati.
  • Maggiore comodità: Gli utenti spesso trovano fastidioso dover ricordare diverse password complesse. L’autenticazione senza password semplifica il processo di accesso, migliorando l’esperienza utente.
  • Riduzione del rischio di phishing: Molti attacchi di phishing si concentrano sul furto di password. Con metodi di autenticazione senza password, il rischio di cadere vittima di phishing è ridotto poiché i cibercriminali avrebbero bisogno di molto più di una semplice password per ottenere l’accesso.
  • Minore dipendenza dalle password deboli: Gli utenti sono spesso inclini a utilizzare password deboli o a riutilizzare le stesse password su più servizi. Eliminando completamente le password, si elimina questo rischio.

Abbiamo scritto molto a proposito di passwordless authentication in questi anni e potete trovare una lista delle nostre guide visitando la pagina Articoli che trattano di passwordless – ICT Power

Oggi voglio mostrarvi come implementare la passwordless authentication in Microsoft Entra ID utilizzando Feitian SlimTag.

   

Figura 1: Feitian SlimTag

Feitian SlimTag è un Security Key che ha l’aspetto di una carta di credito, può essere utilizzata con Apple Find My e permette anche di utilizzare la multi-factor authentication.

Apple Find My è un servizio che consente agli utenti di localizzare i propri dispositivi Apple, come iPhone, iPad, Mac, Apple Watch e anche gli AirTag, che sono dispositivi di localizzazione Bluetooth progettati specificamente per aiutare a trovare oggetti smarriti.

Ecco come funziona il sistema:

  1. Attivazione degli AirTag:
    • Gli AirTag devono essere associati a un account Apple. Questo avviene durante la fase di configurazione iniziale.
  2. Bluetooth e Localizzazione:
    • Gli AirTag utilizzano la connessione Bluetooth per comunicare con i dispositivi Apple nelle vicinanze.
    • Quando l’AirTag è fuori dalla portata Bluetooth diretta, può sfruttare la rete Find My per comunicare la sua posizione a un altro dispositivo Apple, mantenendo così la tracciabilità.
  3. Rete Find My:
    • Quando un AirTag è fuori dalla portata Bluetooth, può sfruttare la vasta rete di dispositivi Apple in tutto il mondo per inviare informazioni sulla sua posizione in modo anonimo e crittografato.
  4. App Find My:
    • Gli utenti possono utilizzare l’app Find My su dispositivi Apple (iPhone, iPad, Mac) per localizzare i propri AirTag.
    • L’app fornisce una mappa che indica la posizione approssimativa dell’AirTag.
  5. Precisione della Posizione:
    • La precisione della posizione dipende dalla disponibilità di segnali Bluetooth e dalla rete Find My. In aree con più dispositivi Apple, la posizione può essere più accurata.
  6. Allarmi di Separazione:
    • Gli utenti possono impostare avvisi per essere avvertiti quando si separano dagli AirTag o da altri dispositivi associati.
  7. Modalità Perso:
    • Se si perde un AirTag, l’utente può attivare la modalità “Perso” nell’app Find My. Questa modalità permette di ricevere notifiche quando un altro dispositivo Apple individua l’AirTag e fornisce informazioni sulla posizione.
  8. Privacy e Sicurezza:
    • Tutte le comunicazioni sono crittografate e anonime, proteggendo la privacy degli utenti.

In sintesi, il sistema Find My di Apple sfrutta una combinazione di Bluetooth, rete Find My e la vasta rete di utenti Apple per fornire un metodo efficace per trovare oggetti smarriti, inclusi gli AirTag. E la Feitian SlimTag si comporta proprio come un AirTag.

 

Utilizzo di Feitian SlimTag per la multi-factor authentication in Entra ID

È possibile utilizzare Feitian SlimTag con una security key per la multi-factor authentication in Entra ID.

Per prima cosa, se non lo avete già fatto, è necessario abilitare le FIDO 2 Security Key come metodo di autenticazione in Microsoft Entra ID. Questa funzionalità è disponibile solo se avete una versione a pagamento di Entra ID (Premium 1 o Premoum 2). Collegatevi al portale Microsoft Entra admin center e selezionate Protection > Authentication methods > Policies

Figura 2: Authentication methods in Microsoft Entra ID

Cliccate sul link FIDO2 security key e abilitate la funzionalità per il gruppo di utenti che sono stati licenziati nel vostro tenant e a cui volete consentire l’utilizzo delle Security Key per l’autenticazione.

Figura 3: Abilitazione dell’utilizzo delle FIDO2 security keys per gli utenti del tenant di Entra ID

Nella scheda Configure assicuratevi che sia abilitata la funzionalità Enforce attestation.

La funzionalità Enforce attestation è a una pratica di sicurezza che richiede che la chiave di sicurezza utilizzi un processo di attestazione o che fornisca una prova di integrità o di provenienza verificata.

Ecco cosa significa in termini più dettagliati:

  • Attestation:
    • L’attestazione è il processo attraverso il quale una chiave di sicurezza fornisce una dichiarazione o una prova di determinati attributi. Ad esempio, può attestare che è un dispositivo di fiducia, che è originale e non compromesso, o altre informazioni che dimostrano la sua integrità e provenienza.
  • Enforce Attestation:
    • L’opzione “Enforce attestation” indica che l’uso di una security key sarà consentito solo se la chiave fornisce una corretta attestazione, dimostrando che soddisfa determinati criteri di sicurezza.
    • Questa funzionalità rafforza la sicurezza del sistema, garantendo che solo dispositivi di fiducia e conformi siano autorizzati per l’accesso o l’autenticazione.

In sostanza, l’opzione Enforce attestation è una misura aggiuntiva per garantire che le security key utilizzate per l’autenticazione siano attendibili, originali e sicure, contribuendo così a proteggere l’accesso a sistemi e dati sensibili.

Figura 4: Abilitazione dell’opzione Enforce attestation

A questo punto le operazioni di configurazione di Microsoft Entra ID sono terminate. Gli utenti licenziati d’ora in poi potranno scegliere le security key come metodo di autenticazione passwordless.

 

Registrazione della Feitian SlimTag

La registrazione del metodo di autenticazione è un’operazione che deve fare l’utente finale dal proprio dispositivo. La procedura per registrare una security key nel proprio account può variare a seconda del servizio o della piattaforma che si sta utilizzando.

Noi utilizzeremo un dispositivo Apple iPhone con iOS 17.1.1. e dal browser Safari navigheremo nella pagina My Sign-Ins | Security Info | Microsoft.com, dove aggiungeremo la Feitian SlimTag come una Security Key di tipo NFC. Nelle schermate sotto sono mostrati tutti i passaggi necessari.

Terminata la procedura di registrazione, la nuova Security Key sarà disponibile nell’elenco dei metodi di sign-in dell’utente.

Figura 5: La Feitian SlimTag è disponibile nell’elenco dei metodi di sign-in dell’utente

Test di funzionamento

D’ora in poi, quando l’utente vorrà collegarsi ad un’applicazione che utilizza Microsoft Entra ID, per autenticarsi potrà utilzzare la modalità passwordless e la Feitian SlimTag. Nelle schermate sotto sono mostrati tutti i passaggi richiesti al momento del login al portale Microsoft 365.

Conclusioni

L’utilizzo della “passwordless authentication” offre diversi vantaggi rispetto all’autenticazione basata sulle tradizionali password. Molte aziende stanno adottando questa forma di autenticazione per implementare maggiore sicurezza, riduure il richio delle password debioli, avere una migliore esperienza utente, adottare l’uso della multi-factor authentication e proteggersi contro il phishing.