A partire da Windows 10, versione 1703 (Creators Update) è disponibile una funzionalità interessante chiamata Dynamic Lock. Questa funzionalità permette, dopo aver collegato il PC al proprio smartphone tramite collegamento bluetooth, di poter bloccare il computer.

La funzionalità, chiamata anche Windows Goodbye in contrapposizione a Windows Hello, è interessante perché permette di aumentare il livello di sicurezza quando si lavora su postazioni di lavoro sensibili. Basta infatti allontanarsi col proprio smartphone dalla postazione e in circa 30 secondi Windows si bloccherà automaticamente.

Per abilitare la funzionalità è prima di tutto necessario collegare il proprio smartphone al PC utilizzando una connessione bluetooth. Dall’app Settings cliccate su Devices e dalla finestra Bluetooth & other devices cliccate su + Add Bluetooth or other device. Questa operazione permetterà di effettuare il pairing tra lo smartphone e il PC. Scegliete il vostro smartphone dall’elenco dei dispositivi rilevati ed effettuate il pairing, seguendo le istruzioni mostrate a video.

 

 

Figura 1: Aggiunta di un nuovo dispositivo bluetooth al proprio PC

 

 

 

Figura 2: Smartphone collegato al PC - pairing effettuato

 

Dopo aver abilitato il pairing andate nell’app Settings  > Accounts > Sign-in options e scorrete fino a trovare la voce Dynamic lock. Selezionate Allow Windows to automatically lock your device when you're away per abilitare la funzionalità.

 

 

Figura 3: Abilitazione della funzionalità di Dynamic Lock in Windows 10

 

Test della funzionalità

Allontanatevi dal PC portando con voi lo smartphone e dopo circa 30 secondi vedrete che il computer si bloccherà automaticamente. Per sbloccare il PC dovrete inserire la password oppure il PIN oppure utilizzare Windows Hello, perché Dynamic Lock serve solo a bloccare il PC e non a sbloccarlo ed effettuare il login.

Diminuzione della distanza di attivazione di Dynamic Lock

Ma quanto mi devo allontanare dal pc per sbloccarlo? A dirla tutta sembra che la soglia tollerata sia un’attenuazione di -10 decibels (dB). Utilizzando il software Draconyx, che potete scaricare gratuitamente dal link https://gitlab.com/WithinRafael/draconyx/raw/master/bin/Release/draconyx.exe ho rilevato quanto fosse l’attenuazione per capire quanto mi dovevo allontanare per bloccare il PC.

 

 

Figura 4: Il software Draconyx permette di visualizzare la potenza del segnale bluetooth dei dispositivi collegati

 

Ho scoperto che praticamente sarei dovuto uscire di casa 😊 e quindi ho creato una nuova chiave di registro chiamata BluetoothRssiMaxDelta nel ramo  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NaAuth e ho inserito un valore che ho calcolato.

Mi sono allontanato dal PC e quando ho deciso a quale distanza si sarebbe dovuto bloccare ho verificato dall’applicazione Draconyx il valore di attenuazione. Nel mio caso era di -5dB. Per questo motivo nella chiave ho inserito il valore 5.

 

 

Figura 5: Modifica al registro di Windows per la riduzione della distanza di attivazione di Dynamic Lock

 

Provate diverse volte a calcolare il valore, che dipenderà dalla potenza dei vostri dispositivi bluetooth e dalle interferenza ambientali, oltre che dalle pareti e dagli altri oggetti presenti vicino a voi.

Grazie a Rafael Rivera per il suo prezioso articolo https://www.thurrott.com/windows/windows-10/90883/using-calibrating-dynamic-lock-windows-10-creators-update

 

Conclusioni

La funzionalità Dynamic Lock in Windows 10 è davvero interessante per essere sicuri che quando ci allontaniamo dalla postazione questa si blocchi automaticamente. Lo sapevate che oltre a Windows Hello c’è anche Windows Goodbye? 😊

 

 

Abbiamo visto nel precedente articolo Utilizzare Windows Hello in Windows 10 per accedere al Microsoft Account con WebAuthn che è possibile accedere al proprio Microsoft Account utilizzando Windows Hello e il protocollo WebAuthn, che si serve di un algoritmo di crittografia asimmetrico che utilizza due chiavi crittografiche, una privata e una pubblica, per autenticarsi nei siti web.

La chiave privata viene memorizzata all’interno del chipset TPM (Trusted Platform Module) e può essere utilizzata solo dopo averla sbloccata mediante riconoscimento biometrico o tramite il PIN. La chiave pubblica viene inviata al Microsoft Account (o a qualsiasi applicazione web che supporti il protocollo WebAuthn).

Microsoft ha introdotto il supporto allo standard FIDO2 in Windows 10, versione 1809 per permettere l’accesso alle applicazioni in modalità passwordless, cioè senza digitare una password.

Oggi invece vi voglio parlare dell’autenticazione al Microsoft Account tramite una Security Key (nel mio caso una Yubikey 5 Nano). Le Yubikey sono delle chiavette USB prodotte dalla Yubico che riescono a gestire la multi-factor authentication e la passwordless authentication, supportando FIDO2, FIDO U2F, one-time-password (OTP) e smart card (PIV). Sono disponibili nei formati USB-A, USB-C e NFC.

 

 

Figura 1: Protocolli supportati da Yubikey 5

 

 

Dopo aver acquistato la Yubikey, in Windows 10, versione 1809 e successive aprite il browser Edge e collegatevi al sito https://account.microsoft.com ed autenticatevi. Se non possedete un Microsoft Account ne potete creare uno.

 

 

Figura 2: Apertura del portale di gestione del Microsoft Account

 

Cliccate su Security e successivamente su More Security Options, come evidenziato nella figura sotto:

 

 

Figura 3: Pagina di configurazione della sicurezza dell’account

 

Nella pagina Additional Security Options scorrete fino alla voce Windows Hello and security keys e cliccate su Set up a security key.

ATTENZIONE: Windows Hello and security keys  vi appariranno solo se utilizzate il browser Edge e state utilizzando Windows 10, versione 1809 o successiva

 

 

Figura 4: Pagina delle opzioni di sicurezza avanzate

 

Dopo aver cliccato verrete reindirizzati alla pagina di configurazione del vostro dispositivo USB (o in alternativa potete utilizzare un dispositivo NFC, molto utile nel caso vogliate utilizzare lo smartphone).

 

 

Figura 5: Pagina di configurazione della security key

 

Cliccando su Next vi verrà chiesto di inserire la Yubikey nella porta USB e, dopo averla inserita, di creare un PIN da associare alla chiave, che vi verrà chiesto ogni volta che la inserite per autenticarvi. In questo modo avrete una doppia sicurezza: il dispositivo hardware ed un PIN associato al dispositivo.

 

 

Figura 6: Richiesta di inserimento della security key nella porta USB

 

 

Figura 7: Richiesta di generazione di un PIN per proteggere l'accesso alla Yubiley

 

Il passaggio successivo consiste nel toccare leggermente la Yubikey, in modo tale che la chiave crittografica da 128 bit protetta da un algoritmo di cifratura AES, contenuta al suo interno, sia utilizzata ed associata al vostro account Microsoft.

 

 

Figura 8: Toccando la Yubikey utilizziamo la chiave contenuta al suo interno per effettuare l'accesso al Microsoft Account

 

Inserite un nome per la chiave che state utilizzando, perché è possibile utilizzarne più di una e nel caso la vogliate eliminare la potrete identificare più facilmente.

 

 

Figura 9: Nome distintivo della chiave Yubikey per una più veloce individuazione e successiva gestione

 

 

Figura 10: Configurazione della security key completata

 

Ritornate nella pagina delle Additional security options (https://account.live.com/proofs/Manage/additional) e cliccate sul link Manage your sign-in methods che si trova nella parte riservata alla configurazione di Windows Hello and security keys. Avrete in questo modo la possibilità di verificare la chiave appena aggiunta ed eventualmente rimuoverla, oltre ovviamente ad aggiungerne altre, come ho già scritto prima.

 

 

Figura 11: Pagina di gestione di Windows Hello and security keys

 

 

Accesso al Microsoft Account utilizzando la Yubikey

Se volete accedere al vostro Microsoft Account utilizzando la Yubikey quando vi verrà chiesto di inserire la password lasciate il campo vuoto e selezionate Sign in with Windows Hello o a security key.

 

 

Figura 12: Sign in al Micrososft Account utilizzando una security key

 

Vi verrà chiesto di inserire la Yubiley, digitare il PIN associato alla chiave e poi toccare leggermente la Yubikey per utilizzare la chiave numerica contenuta nel dispositivo, come mostrato nelle figure sotto:

 

 

Figura 13: Richiesta del PIN associato alla Yubikey inserita

 

 

Figura 14: Richiesta di tocco della Yubikey per accedere alla chiave numerica contenuta nel dispositivo

 

 

Figura 15: Accesso al Microsoft Account completata

 

Funziona solo con il browser Edge?

Al momento il Microsoft Account supporta solo Edge. Il salvataggio delle credenziali che abbiamo visto è basato sul protocollo WebAuthn e le Web Authentication API sono utilizzate dai browser più recenti, compresi Google Chrome (dalla versione 67 in poi https://developers.google.com/web/updates/2018/05/webauthn ) e Mozilla Firefox (dalla versione 60 in poi https://www.mozilla.org/en-US/firefox/60.0/releasenotes/ ). Perciò probabilmente Microsoft consentirà questo tipo di funzionalità anche agli altri browser nel giro di poco tempo.

 

Conclusioni

Come sappiamo le password rappresentano sempre un problema per gli utenti e non sono facili da gestire. L’accesso passwordless garantisce che ci si possa autenticare in modo molto semplice ma allo stesso tempo molto più sicuro. Il protocollo WebAuthn e lo standard FIDO2 sono pensati per darci una mano a gestire al meglio le nostre credenziali di accesso.

 

 

Come molti di voi sapranno, Windows Hello è una soluzione che usa il riconoscimento facciale, l'impronta digitale o un PIN per accedere al proprio dispositivo con Windows 10. Windows Hello è anche comodo per sbloccare facilmente il pc quando vi allontanate dalla vostra postazione e ritornate a lavorare.

In Windows 10 Home, Pro oppure Enterprise a partire dalla Anniversary Edition (versione 1607) è possibile utilizzare anche delle Security Keys per poter sbloccare il proprio PC.

In questa guida vi mostrerò come abilitare una chiave Yubikey 4 in Windows Hello. La versione di Windows 10 che utilizzerò è la 1809 (October 2018 Update).

Per maggiori informazioni sulle Yubikey potete visitare il sito ufficiale https://www.yubico.com/

 

Dopo aver acquistato la vostra chiave Yubikey aprite il Microsoft Store e cercate l’applicazione Yubikey for Windows Hello. Scaricate ed installate l’applicazione.

 

 

Figura 2: Applicazione Yubikey per Windows Hello

 

Lanciate l’applicazione Yubikey for Windows Hello e seguite il wizard per registrare la vostra chiave. I passaggi sono veramente semplici e sono descritti nelle immagini sotto:

 

 

 

Figura 3:Lancio dell'applicazione Yubikey for Windows Hello

 

 

Figura 4: Richiesta di inserimento della Yubikey

 

 

Figura 5: Scelta di un nome identificativo per la vostra Yubikey

 

 

Figura 6: Richiesta di autenticazione per confermare la propria identità

 

 

Figura 7: Configurazione dell'app Yubikey for Windows Hello completata

 

È anche possibile aggiungere diverse chiavi allo stesso account utente. Nel caso ne possediate diverse, cliccate su Register per ricominciare la procedura di registrazione della nuova chiave.

 

 

Figura 8: É possibile registrare diverse chiavi Yubikey con lo stesso account

 

A questo punto vedrete che nella schermata di login di Windows 10 sarà disponibile un’ulteriore opzione per l’autenticazione (Companion Device). In realtà la Yubikey non può essere utilizzata per il login, ma solo per sbloccare il PC. Infatti, se cercherete di usare la Yubikey dopo un riavvio o dopo un logoff riceverete il messaggio di errore mostrato nella figura 10.

 

 

Figura 9: Tra le opzioni di login c'è anche la possibilità di utilizzare un Companion Device

 

 

Figura 10: La chiave Yubikey non può essere utilizzata per il login, ma solo per sbloccare il pc

 

Verifica del funzionamento della Yubikey

Se bloccate il PC o se dovesse partire lo screen saver, per potervi loggare vi basterà inserire la Yubikey nella porta USB per poter effettuare l’autenticazione. Non sarà necessario digitare la password o il PIN.

 

 

Figura 11: Inserendo la Yubikey a PC bloccato sarà possibile effettuare lo sblocco e l'accesso

 

Utilizzo della Yubikey nei sistemi operativi Windows 10 Pro e Windows 10 Enterprise

Se utilizzate Windows 10 Pro oppure Enterprise sarà necessario modificare una policy per utilizzare la Yubikey. Aprite la Local Group Policy e da Computer Configuration > Administrative Templates > Windows Components > Microsoft Secondary Authentication Factor mettete su Enabled la voce Allow Companion Device For Secondary Authentication, come mostrato in figura 12:

 

 

Figura 12: Abilitazione della policy locale in Window s10 Pro ed Enterprise per permettere l'utilizzo della Yubikey

 

L’applicazione YubiKey for Windows Hello è anche disponibile nel Microsoft Store for Business e in Microsoft Intune e può essere utilizzata facilmente anche in ambiente enterprise.

 

Se volete utilizzare la Yubikey per loggarvi a Windows (o a Mac) , la Yubico mette a disposizione anche applicazioni specifiche https://www.yubico.com/products/services-software/download/computer-logon-tools/

 

Link utili

Per approfondimenti e per un eventuale troubleshooting vi rimando al link https://support.yubico.com/support/solutions/articles/15000006472-using-your-yubikey-4-or-neo-with-the-windows-hello-app

 

Conclusioni

La Yubikey per Windows Hello è decisamente un’opzione interessante per agevolare gli utenti e per permettere di sbloccare facilmente la propria postazione. Stiamo andando sempre di più verso soluzioni passwordless, che permetteranno di innalzare il livello di sicurezza di accesso alle applicazioni e ai sistemi operativi.

Vi ricordo inoltre che la Yubikey è utilizzabile anche come secondo fattore di autenticazione (multi-factor authentication MFA) per tantissimi servizi, tra cui Gmail, Facebook, Dropbox, Twitter, Joomla!, Wordpress, LastPass, Keepass e moltissimi altri! Trovate il catalogo completo alla pagina https://www.yubico.com/works-with-yubikey/catalog/

 

Nic