Abbiamo visto nel precedente articolo Utilizzare Windows Hello in Windows 10 per accedere al Microsoft Account con WebAuthn che è possibile accedere al proprio Microsoft Account utilizzando Windows Hello e il protocollo WebAuthn, che si serve di un algoritmo di crittografia asimmetrico che utilizza due chiavi crittografiche, una privata e una pubblica, per autenticarsi nei siti web.
La chiave privata viene memorizzata all’interno del chipset TPM (Trusted Platform Module) e può essere utilizzata solo dopo averla sbloccata mediante riconoscimento biometrico o tramite il PIN. La chiave pubblica viene inviata al Microsoft Account (o a qualsiasi applicazione web che supporti il protocollo WebAuthn).
Microsoft ha introdotto il supporto allo standard FIDO2 in Windows 10, versione 1809 per permettere l’accesso alle applicazioni in modalità passwordless, cioè senza digitare una password.
Oggi invece vi voglio parlare dell’autenticazione al Microsoft Account tramite una Security Key (nel mio caso una Yubikey 5 Nano). Le Yubikey sono delle chiavette USB prodotte dalla Yubico che riescono a gestire la multi-factor authentication e la passwordless authentication, supportando FIDO2, FIDO U2F, one-time-password (OTP) e smart card (PIV). Sono disponibili nei formati USB-A, USB-C e NFC.
Figura 1: Protocolli supportati da Yubikey 5
Dopo aver acquistato la Yubikey, in Windows 10, versione 1809 e successive aprite il browser Edge e collegatevi al sito https://account.microsoft.com ed autenticatevi. Se non possedete un Microsoft Account ne potete creare uno.
Figura 2: Apertura del portale di gestione del Microsoft Account
Cliccate su Security e successivamente su More Security Options, come evidenziato nella figura sotto:
Figura 3: Pagina di configurazione della sicurezza dell’account
Nella pagina Additional Security Options scorrete fino alla voce Windows Hello and security keys e cliccate su Set up a security key.
ATTENZIONE: Windows Hello and security keys vi appariranno solo se utilizzate il browser Edge e state utilizzando Windows 10, versione 1809 o successiva
Figura 4: Pagina delle opzioni di sicurezza avanzate
Dopo aver cliccato verrete reindirizzati alla pagina di configurazione del vostro dispositivo USB (o in alternativa potete utilizzare un dispositivo NFC, molto utile nel caso vogliate utilizzare lo smartphone).
Figura 5: Pagina di configurazione della security key
Cliccando su Next vi verrà chiesto di inserire la Yubikey nella porta USB e, dopo averla inserita, di creare un PIN da associare alla chiave, che vi verrà chiesto ogni volta che la inserite per autenticarvi. In questo modo avrete una doppia sicurezza: il dispositivo hardware ed un PIN associato al dispositivo.
Figura 6: Richiesta di inserimento della security key nella porta USB
Figura 7: Richiesta di generazione di un PIN per proteggere l'accesso alla Yubiley
Il passaggio successivo consiste nel toccare leggermente la Yubikey, in modo tale che la chiave crittografica da 128 bit protetta da un algoritmo di cifratura AES, contenuta al suo interno, sia utilizzata ed associata al vostro account Microsoft.
Figura 8: Toccando la Yubikey utilizziamo la chiave contenuta al suo interno per effettuare l'accesso al Microsoft Account
Inserite un nome per la chiave che state utilizzando, perché è possibile utilizzarne più di una e nel caso la vogliate eliminare la potrete identificare più facilmente.
Figura 9: Nome distintivo della chiave Yubikey per una più veloce individuazione e successiva gestione
Figura 10: Configurazione della security key completata
Ritornate nella pagina delle Additional security options (https://account.live.com/proofs/Manage/additional) e cliccate sul link Manage your sign-in methods che si trova nella parte riservata alla configurazione di Windows Hello and security keys. Avrete in questo modo la possibilità di verificare la chiave appena aggiunta ed eventualmente rimuoverla, oltre ovviamente ad aggiungerne altre, come ho già scritto prima.
Figura 11: Pagina di gestione di Windows Hello and security keys
Accesso al Microsoft Account utilizzando la Yubikey
Se volete accedere al vostro Microsoft Account utilizzando la Yubikey quando vi verrà chiesto di inserire la password lasciate il campo vuoto e selezionate Sign in with Windows Hello o a security key.
Figura 12: Sign in al Micrososft Account utilizzando una security key
Vi verrà chiesto di inserire la Yubiley, digitare il PIN associato alla chiave e poi toccare leggermente la Yubikey per utilizzare la chiave numerica contenuta nel dispositivo, come mostrato nelle figure sotto:
Figura 13: Richiesta del PIN associato alla Yubikey inserita
Figura 14: Richiesta di tocco della Yubikey per accedere alla chiave numerica contenuta nel dispositivo
Figura 15: Accesso al Microsoft Account completata
Funziona solo con il browser Edge?
Al momento il Microsoft Account supporta solo Edge. Il salvataggio delle credenziali che abbiamo visto è basato sul protocollo WebAuthn e le Web Authentication API sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ). Perciò probabilmente Microsoft consentirà questo tipo di funzionalità anche agli altri browser nel giro di poco tempo.
Conclusioni
Come sappiamo le password rappresentano sempre un problema per gli utenti e non sono facili da gestire. L’accesso passwordless garantisce che ci si possa autenticare in modo molto semplice ma allo stesso tempo molto più sicuro. Il protocollo WebAuthn e lo standard FIDO2 sono pensati per darci una mano a gestire al meglio le nostre credenziali di accesso.