Windows Hello è una soluzione che usa il riconoscimento facciale, l'impronta digitale o un PIN per accedere al proprio dispositivo con Windows 10 o per accedere al proprio account sul Web.
A partire da Windows 10, versione 1809 (October 2018 Update), è possibile usare Windows Hello o una Security Key che supporta gli standard FIDO2 (Fast IDentity Online) e CTAP2 (Client-to-Authenticator Protocol) per poter accedere al proprio Microsoft Account (se si usa il browser Edge).
Accedere senza password è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente e i dispositivi biometrici, ormai diffusi in tutti i computer portatili, possono essere utilizzati per accedere a Windows e alle applicazioni web. Per approfondimenti sull’uso del protocollo WebAuthn per l’autenticazione delle applicazioni web vi rimando alla lettura del documento https://www.w3.org/2018/Talks/06-WebAuthn.pdf
In questo articolo mi occuperò di configurare Windows Hello con un lettore di impronte digitali e fare in modo che l’accesso al Microsoft Account avvenga senza inserire la password.
Configurazione di Windows Hello
Per poter utilizzare il proprio lettore di impronte digitali per poter accedere a Windows è necessario innanzitutto accertarsi che il dispositivo sia installato e sia visibile in Device Manager.
Figura 1: Verifica che il lettore di impronte digitali sia correttamente installato in Windows
Selezionate il pulsante Start e quindi scegliete Impostazioni > Account > Opzioni di accesso per configurare Windows Hello. In Windows Hello avviate il setup per la configurazione delle impronte digitali:
Figura 2: Avvio del setup per la configurazione delle impronte digitali in Windows Hello
Seguite il wizard per la configurazione delle impronte, inserendole una alla volta in base alle indicazioni che vi appariranno a video:
Figura 3: Windows Hello setup
Figura 4: Richiesta del passaggio del dito per il rilevamento dell'impronta digitale
Figura 5: Passaggio del tipo ripetuto più volte per assicurarsi di catturare bene l'impronta
Figura 6: Richiesta di passaggio di un altro dito
Dopo che avrete memorizzato tutte le impronte, scegliendo voi quante dita volete registrare, cliccate su Set up PIN per continuare e scegliete un PIN che vi aiuti a sbloccare il vostro PC nel caso non funzioni il lettore di impronte digitale. Per inserire il PIN è necessario confermare la password di accesso a Windows.
Figura 7: Inserimento della password prima della configurazione del PIN di accesso
Figura 8: Configurazione del PIN di accesso, in alternativa a password o impronte digitali
A questo punto avrete terminato la configurazione di Windows Hello nel vostro computer. :-)
Figura 9: Configurazione di Windows Hello terminata
Configurazione di Windows Hello per accedere al Microsoft Account
Il Microsoft Account vi permette di accedere con un unico set di credenziali ad una serie enorme di servizi Microsoft, come ad esempio Xbox, Skype, Outlook.com e altro ancora.
L’obiettivo è quello di non utilizzare più la password per accedere al Microsoft Account, ma utilizzare il lettore di impronte digitali e Windows Hello.
La procedura di autenticazione che utilizza Windows Hello si basa sull’impiego del protocollo WebAuthn, che usa un algoritmo di crittografia asimmetrico che utilizza due chiavi crittografiche, una privata e una pubblica, per autenticarsi nei siti web. La chiave privata viene memorizzata all’interno del chipset TPM (Trusted Platform Module) e può essere utilizzata solo dopo averla sbloccata mediante riconoscimento biometrico o tramite il PIN. La chiave pubblica viene inviata al Microsoft Account (o a qualsiasi applicazione web che supporta il protocollo WebAuthn).
Aprite il browser Edge e collegatevi al sito https://account.microsoft.com. Se non possedete un Microsoft Account ne potete creare uno, altrimenti potete autenticarvi.
Figura 10: Apertura del portale di gestione del Microsoft Account
Cliccate su Security e successivamente su More Security Options, come evidenziato nella figura sotto:
Figura 11: Pagina di configurazione della Sicurezza dell’acoount
Nella pagina Additional Security Options scorrete fino alla voce Windows Hello and security keys e cliccate su Set up Windows Hello
Figura 12: Pagina delle opzioni di sicurezza avanzate
A questo punto partirà una procedura guidata che vi chiederà di confermare con l’impronta digitale la vostra identità e quindi associarla al Microsoft Account.
Figura 13: Inizio della procedura di registrazione ed associazione di Windows Hello al Microsoft Account
Figura 14: Conferma della propria identità tramite Windows Hello e impronta digitale
Figura 15: Nome del dispositivo associato all'impronta registrata
Figura 16: Procedura di associazione di Windows Hello al Microsoft Account completata
Verifica di funzionamento
Ora che avete associato Windows Hello al vostro Microsoft Account, ogni volta che utilizzerete il browser Edge per navigare potrete utilizzare l’impronta digitale al posto della vostra password, come mostrato nelle figure sotto:
Figura 17: Inserimento del proprio Microsoft Account in Edge
Figura 18: Utilizzo di Windows Hello al posto della password
Figura 19: Richiesta dell'impronta digitale per l'autenticazione
Funziona solo con il browser Edge?
Al momento il Microsoft Account supporta solo Edge. Il salvataggio delle credenziali che abbiamo visto è basato sul protocollo WebAuthn e le Web Authentication API sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ). Perciò probabilmente Microsoft consentirà questo tipo di funzionalità anche agli altri browser nel giro di poco tempo.
Conclusioni
Microsoft ha introdotto il supporto allo standard FIDO2 in Windows 10, versione 1809 e permette l’utilizzo di Windows Hello per accedere ai siti web senza utilizzare la password. L’utilizzo di un dispositivo biometrico o di una chiave hardware evita all’utente di digitare la propria password, rendendo più sicuro l’accesso alle applicazioni web.