Come utilizzare il telefono cellulare come autenticatore FIDO2 per le sessioni Windows

Se sei stanco di combattere con password impossibili, verifica tramite SMS e codici che scadono in 30 secondiUsare il tuo cellulare come autenticatore FIDO2 per accedere a Windows e alle applicazioni aziendali è, letteralmente, una svolta. L'idea è semplice: il tuo telefono diventa la tua chiave di sicurezza e ti basta sbloccarlo con l'impronta digitale, il volto o il PIN per dimostrare la tua identità.

Negli ultimi anni, giganti come Microsoft, Google, Apple e molti fornitori di sicurezza hanno investito in FIDO2 e passkey come veri sostituti delle passwordQuesta tecnologia non è più sperimentale: funziona su Windows 10/11. Android, iOSmacOS, ChromeOS e i browser più diffusi. E, ciò che ci interessa qui, ti consente di utilizzare il tuo dispositivo mobile come autenticatore FIDO2 sia per accedere alle risorse cloud sia per le sessioni Windows gestite dalla tua organizzazione.

Che cosa sono FIDO2, le passkey e perché il tuo cellulare può essere un autenticatore?

Quando parliamo di utilizzare un telefono cellulare come autenticatore per Windows, in realtà stiamo parlando di utilizzare gli standard FIDO2 e le passkey (chiavi di accesso)FIDO è l'acronimo di Fast Identity Online, un'alleanza di aziende che ha dedicato anni a progettare metodi di autenticazione senza ricorrere a password deboli e riutilizzate.

FIDO2 è lo standard moderno che riunisce due componenti chiave: WebAuthn (dal W3C, la parte del browser e il applicazioni) y CTAP2 (il protocollo che comunica con l'autenticatore, come il telefono o la chiave fisica)Insieme, consentono a un servizio online di chiederti di autenticarti con il tuo telefono cellulare, Windows Hello, una chiavetta USB/NFC FIDO2, ecc., invece di obbligarti a ricordare un'altra password.

In questo modello, il tuo telefono cellulare può fungere da autenticatore FIDO di tipo multipiattaformaMemorizza in modo sicuro la tua chiave privata e può firmare le richieste inviate da Windows, Microsoft Entra ID, Google o altri servizi. Puoi sbloccare il telefono con il tuo metodo abituale (impronta digitale, riconoscimento facciale, PIN) e il dispositivo gestisce la parte crittografica per te.

Sotto il cofano, FIDO2 utilizza crittografia a chiave pubblicaOgni volta che registri una passkey per un servizio specifico, viene generata una coppia di chiavi: la chiave privata viene memorizzata sull'autenticatore (il tuo cellulare, il tuo PC, una chiave fisica) e non lo lascia mai; la chiave pubblica viene inviata al servizio e associata al tuo account. Quando accedi nuovamente, il server invia una richiesta di verifica che l'autenticatore firma con la chiave privata, e il server verifica tale firma con la chiave pubblica.

Il risultato pratico è che Non ci sono password da filtrare, codici monouso da intercettare e segreti condivisi da rubare dal server.Se qualcuno tenta di phishing, anche se ti indirizza a un sito web falso, la verifica crittografica non sarà valida per la tua vera chiave pubblica, quindi l'attacco fallisce da solo.

Tipi di autenticatori FIDO2 e ruolo dei dispositivi mobili

Nell'ecosistema FIDO2 si distinguono due tipi principali di autenticatori: piattaforma e multipiattaformaComprendere questa differenza ti aiuterà a capire dove si colloca il mobile quando parliamo di sessioni Windows.

Un autenticatore di piattaforma è quello che È integrato nel dispositivo stesso.Ad esempio, Windows Hello su un laptop con lettore di impronte digitali o fotocamera compatibili, Touch ID su un MacBook o il sensore di impronte digitali su un laptop moderno. Può essere utilizzato solo dallo stesso computer su cui è installato e non può essere trasferito su un altro dispositivo.

Gli autenticatori multipiattaforma sono quelli che Puoi utilizzarlo da diversi dispositivi.È qui che entrano in gioco le chiavi di sicurezza FIDO2 (YubiKey, SoloKey, Nitrokey, chiavi NFC/USB generiche) e, cosa molto importante per il nostro argomento, i telefoni cellulari Android e iOS utilizzati come autenticatori esterni per altri dispositivi.

A seconda delle impostazioni, il tuo cellulare può comportarsi in due modi: come autenticatore di piattaforma (quando si utilizza una passkey direttamente nel browser/app mobile) o come autenticatore multipiattaforma (quando il telefono cellulare viene utilizzato per accedere a un altro dispositivo, ad esempio un PC Windows, tramite un codice QR e Bluetooth).

Oltre ai telefoni cellulari e alle chiavi fisiche, esistono altri autenticatori software e hardware compatibile, come ad esempio Windows Hello, Touch ID, Face ID, autenticatori mobili specializzati e app come Hideez Authenticator che ampliano la gamma di opzioni per gli ambienti aziendali misti, in cui le moderne app FIDO2 coesistono con sistemi legacy ancora basati su password.

Compatibilità FIDO2 in Windows, browser e servizi

Affinché il dispositivo mobile funzioni come autenticatore FIDO2 nelle sessioni Windows, è essenziale che Supporto completo FIDO2/WebAuthn: il sistema operativo, il browser o l'app e il servizio di identitàFortunatamente, il supporto attuale è molto ampio.

Dal lato del sistema operativo, Windows 10 (versione 1903 e successive) e Windows 11 Supportano nativamente l'autenticazione FIDO2, soprattutto se il dispositivo è associato a un ID Microsoft Entra (in precedenza Azure AD) o a un dominio ibrido. Windows Hello funge da autenticatore di piattaforma e il sistema può funzionare anche con chiavi USB/NFC FIDO2 e autenticatori mobili.

Per quanto riguarda i browser, Chrome, Edge, Firefox e Safari Hanno incluso il supporto WebAuthn in diverse versioni, sia per desktop che per dispositivi mobili. Questo consente a servizi come Microsoft Entra, Google, Bitwarden e altri gestori di password e provider SSO di avviare il flusso di autenticazione FIDO2 direttamente dal browser.

A livello di servizio, quasi l'intero ecosistema che conta oggi supporta o sta adottando le chiavi di accesso: ID Microsoft Entra, account Google, Google Workspace, provider SSO aziendali, gestori di password come Bitwarden e piattaforme di identità come Hideez Cloud IdentityOgnuno integra FIDO2 in un modo leggermente diverso, ma l'idea di base è la stessa: il tuo autenticatore (mobile, chiave o Windows Hello) firma le richieste invece di inserire le password.

Negli ambienti aziendali, inoltre, Microsoft Entra ID consente di gestire FIDO2 come metodo di autenticazione ufficialeCiò comporta l'utilizzo di policy specifiche per abilitarlo, la limitazione di specifici AAGUID (modelli di chiave o autenticatori) e l'applicazione in condizioni di accesso condizionale. Questo è fondamentale quando si desidera proteggere risorse sensibili e implementare un'autenticazione a più fattori (MFA) resistente al phishing.

Accedi a Microsoft con le passkey FIDO2. Accedi tramite il tuo dispositivo mobile.

Il primo scenario pratico per l'utilizzo di un telefono cellulare come autenticatore FIDO2 con Windows di solito prevede ID Microsoft Entraperché molte sessioni aziendali di Windows 10/11 sono collegate a Entra e utilizzano tale identità per risorse come Office, Teams, SharePoint e app interne.

Entra supporta tre principali modelli di passkey FIDO2 per gli utenti: Chiavi di accesso memorizzate sul dispositivo di accesso stesso, chiavi memorizzate su un altro dispositivo (ad esempio il telefono cellulare) e chiavi memorizzate su una chiave di sicurezza fisica.Tutti questi modelli possono essere combinati all'interno della stessa organizzazione.

Quando la passkey è memorizzata sullo stesso dispositivo (ad esempio, su un laptop Windows con Windows Hello o sul telefono cellulare su cui sono installati Microsoft Authenticator e la passkey), il flusso è molto semplice: Si accede alla risorsa (ufficio, portale aziendale, ecc.) e si seleziona l'opzione di autenticazione con volto, impronta digitale, PIN o chiave di sicurezzaIl sistema apre una finestra di sicurezza e ti chiede di identificarti utilizzando il metodo configurato.

Se la chiave di accesso si trova su un altro dispositivo, come il tuo telefono cellulare, il processo incorpora autenticazione tra dispositiviIn Windows 11 23H2 o versioni successive, ad esempio, quando si sceglie di accedere con una chiave di sicurezza, viene offerta la possibilità di selezionare un dispositivo esterno come "iPhone, iPad o dispositivo Android." Il PC visualizza un codice QR, che puoi scansionare con la fotocamera del tuo cellulare; quindi, il telefono ti chiederà i tuoi dati biometrici o il PIN e, tramite Bluetooth e Internet, completerà l'autenticazione sul computer remoto.

In entrambi i casi, una volta completato il flusso, verrai autenticato tramite ID Microsoft Entrache a sua volta consente di accedere alle applicazioni cloud e, in ambienti ben integrati, alle sessioni Windows o alle app desktop che dipendono da tale identità.

Utilizzo specifico di Microsoft Authenticator con passkey su Android e iOS

Uno dei modi più convenienti per utilizzare il tuo telefono cellulare come autenticatore FIDO2 negli ambienti Microsoft è tramite Microsoft Authenticator con supporto per chiave di accessoQuesta app può fungere da autenticatore FIDO2 sia sullo stesso dispositivo (autenticazione locale) sia tra dispositivi (per accedere a un PC Windows o a un altro computer).

Su iOS, puoi utilizzare Authenticator come autenticatore della piattaforma per accedere a Microsoft. Inserisci il tuo ID in un browser proprio iPhone l'iPad e nelle applicazioni Microsoft native come OneDrive, SharePoint o Outlook. Il sistema ti mostrerà l'opzione "Riconoscimento facciale, impronta digitale, PIN o chiave di sicurezza" e, una volta selezionata, ti chiederà di utilizzare Face ID, Touch ID o il PIN del tuo dispositivo.

Per l'autenticazione tra dispositivi in ​​iOS, il processo classico è: Sull'altro computer (ad esempio, un computer Windows 11), vai alla pagina di accesso di Microsoft. Accedi, scegli altri metodi di accesso, seleziona l'autenticazione tramite chiave di sicurezza e scegli il dispositivo iPhone/iPad/Android.In quel momento sullo schermo del PC viene visualizzato un codice QR.

Con il tuo iPhone, apri il app della fotocamera di sistema (non la fotocamera integrata in Authenticator, poiché non riconosce il codice QR WebAuthn) e puntala verso il codice. L'iPhone offre l'opzione "Accedi con passcode" e, dopo aver verificato l'identità con Face ID, Touch ID o PIN, il telefono completa l'autenticazione FIDO2 con il PC tramite Bluetooth e una connessione Internet.

Su Android, il comportamento è simile, sebbene con alcune sfumature. L'autenticazione dello stesso dispositivo in un browser richiede Android 14 o successivo Per utilizzare Authenticator come archivio di passkey sul tuo telefono, vai al sito web My Security Info, scegli le opzioni di accesso e seleziona riconoscimento facciale, impronta digitale, PIN o chiave di sicurezza. Se hai più passkey salvate, il sistema ti chiederà di scegliere quale utilizzare.

Per l'autenticazione tra dispositivi su Android, segui lo stesso schema sul tuo PC: Vai su Invio, scegli la chiave di sicurezza, seleziona il dispositivo AndroidIl dispositivo remoto visualizza un codice QR, che è possibile scansionare con la fotocamera del sistema o dall'app Authenticator stessa, inserendo l'account della chiave di accesso e utilizzando il pulsante di scansione del codice QR visibile nei dettagli della passkey.

In tutti questi scenari è essenziale avere Bluetooth e connessione internet attivi su entrambi i dispositiviSe l'organizzazione ha policy Bluetooth restrittive, l'amministratore potrebbe dover configurare delle eccezioni per consentire gli abbinamenti solo con gli autenticatori abilitati per passkey FIDO2.

Altri casi d'uso di FIDO2: Google, Bitwarden e SSO aziendale

Oltre a Microsoft e Windows, il concetto stesso di utilizzare un telefono cellulare come autenticatore FIDO2 si adatta perfettamente a Google Passkeys, gestori di password FIDO2 e soluzioni SSO aziendaliTutto concorre a rendere il tuo cellulare il fulcro della tua identità digitale.

In Google, puoi creare chiavi di accesso per il tuo account personale o Workspace e utilizzarle el metodo di sblocco schermo del cellulare (impronta digitale, volto, PIN) come fattore principale. Una volta impostata la passkey sul tuo telefono Android o iPhone, puoi accedere al tuo account Google su un PC utilizzando la procedura "Prova un altro modo" / "Usa la tua chiave di accesso" e scansionando un codice QR che appare nel browser del computer.

L'esperienza è simile: il PC visualizza un codice QR, lo si scansiona con la fotocamera del telefono o con lo scanner integrato e il telefono chiede di sbloccarlo. Dopo aver verificato i dati biometrici o il PIN, Il cellulare firma la sfida FIDO2 e il PC ottiene l'accesso al tuo accountDopodiché, Google potrebbe suggerirti di creare una passkey locale sul tuo computer, ma è facoltativo.

Bitwarden, da parte sua, consente di abilitare accesso in due passaggi con FIDO2 WebAuthn nelle sue applicazioni. È possibile registrare chiavi di sicurezza fisiche certificate FIDO2, ma anche utilizzare autenticatori nativi come Windows Hello o Touch ID. Sui dispositivi mobili, è possibile utilizzare chiavi abilitate NFC (come YubiKey NFC) avvicinandole all'area di lettura del telefono; a volte è necessario "mirare" con attenzione perché la posizione del lettore NFC varia a seconda del modello.

Nell'ambiente aziendale, piattaforme come Hideez Cloud Identity Combinano passkey FIDO2 sincronizzate (quelle che potresti avere in Google o iCloud) con i propri autenticatori mobili basati su codici QR dinamici. Il flusso di lavoro tipico è il seguente: per accedere a un PC, apri l'app sul tuo telefono, scansiona un codice QR visualizzato sullo schermo del computer e autorizza l'accesso dal tuo dispositivo mobile, che funge da autenticatore sicuro.

Questo approccio è particolarmente utile quando si ha un mix di Applicazioni moderne compatibili con FIDO2 e sistemi legacy che si basano ancora su nome utente e passwordAlcune chiavi hardware e soluzioni di identità consentono addirittura alla stessa chiave di funzionare come autenticatore FIDO2 per nuovi servizi e come gestore di password crittografia per applicazioni legacy.

Abilitare FIDO2/passkey nelle organizzazioni con accesso Microsoft

Se il tuo obiettivo è consentire agli utenti di utilizzare il loro dispositivo mobile come autenticatore FIDO2 nelle sessioni Windows e nelle applicazioni aziendali, il percorso da seguire prevede Attivare formalmente il metodo FIDO2 in Microsoft Entra ID e definire quali tipi di autenticatori sono consentiti.

Dal centro di amministrazione di Microsoft Entra, un amministratore dei criteri di autenticazione può andare su ID Entra → Metodi di autenticazione → Criteri e individuare il metodo "chiave di sicurezza (FIDO2)Qui puoi abilitarlo a livello globale o per gruppi di sicurezza specifici, configurare se è consentita la registrazione self-service e decidere se è richiesta l'attestazione del dispositivo.

L'opzione di attestazione consente di accettare solo quanto segue: Chiavi e autenticatori FIDO2 da fornitori legittimiPoiché ogni produttore pubblica un AAGUID (Authenticator Attestation GUID) che identifica marca e modello, è possibile applicare una "policy di restrizione delle chiavi" per autorizzare solo determinati AAGUID e bloccare i restanti. Questo è molto utile quando si desidera disporre di un pool controllato di chiavi o di autenticatori mobili aziendali.

Per scenari più avanzati, Microsoft offre API Microsoft Graph per la gestione di FIDO2Tramite l'endpoint di configurazione FIDO2 authenticationMethodsPolicy, è possibile automatizzare la creazione delle credenziali, convalidare AAGUID specifici o persino fornire chiavi di sicurezza FIDO2 per conto degli utenti (versione di anteprima), utilizzando CTAP e creationOptions restituiti da Entra.

Una volta configurato correttamente il metodo FIDO2, è possibile creare punti di forza dell'autenticazione basata sulla passkey e utilizzarli nelle policy di accesso condizionale. Ad esempio, impostare una regola che richieda l'autenticazione con chiavi di accesso FIDO2 (e facoltativamente limitarla a uno o più AAGUID di autenticatori mobili o chiavi specifiche) per accedere ad applicazioni critiche o sessioni di desktop remoto.

Vengono presi in considerazione anche gli scenari di manutenzione: Eliminazione delle chiavi di accesso utente dal centro di amministrazioneModifiche UPN (nel qual caso l'utente deve eliminare la vecchia chiave FIDO2 e registrarne una nuova) e limitazioni come l'attuale mancanza di supporto per gli utenti guest B2B per registrare le credenziali FIDO2 direttamente nel tenant della risorsa.

Configura e usa le chiavi di sicurezza FIDO2 con il tuo telefono cellulare

Sebbene il focus di questo testo sia il telefono cellulare come autenticatore, in molti ambienti ha senso combinarlo con Chiavi di sicurezza fisica FIDO2in particolare per amministratori, personale con accesso critico o utenti che necessitano di un secondo metodo affidabile.

La configurazione di solito inizia dai portali di sicurezza dell'account, ad esempio in https://aka.ms/mfasetup o nelle pagine "Le mie informazioni di sicurezza" di Microsoft. Lì selezioni "Chiave di sicurezza" e scegli se è USB o NFC, e si segue la procedura guidata, che varia a seconda del sistema operativo e del tipo di chiave. Infine, alla chiave viene assegnato un nome per l'identificazione futura.

Una volta registrata, la chiave può essere utilizzata da browser supportati (Edge, Chrome, Firefox) o anche per accedere ai computer Windows 10/11 forniti e configurati dall'organizzazione. Inoltre, sistemi come RSA offrono utility specifiche (RSA Security Key Utility) per gestire il PIN della chiave, modificarlo, reimpostare il dispositivo e integrarlo con prodotti di autenticazione aziendali come SecurID.

Nel contesto di FIDO2, le chiavi hardware sono semplicemente un altro tipo di autenticazione multipiattaforma. Il tuo dispositivo mobile può utilizzarle simultaneamente. Puoi avere chiavi di accesso sincronizzate sul tuo dispositivo mobile, chiavi fisiche per usi critici e autenticatori di piattaforma come Windows Hello sui tuoi computer di lavoro.Quanto più solidi e ben gestiti saranno i tuoi metodi, tanto meno dipenderai da password deboli.

In ogni caso, sia che si utilizzino chiavi fisiche o mobili, si consiglia che l'amministratore definisca politiche chiare per l'aggiunta, la rimozione e la sostituzione degli autenticatorinonché le procedure da seguire in caso di smarrimento o furto di un dispositivo (revocare la passkey associata, rivedere gli accessi recenti, forzare l'MFA al prossimo accesso, ecc.).

Vantaggi e limiti reali dell'utilizzo di FIDO2 con il tuo cellulare

Netto miglioramento sia in termini di sicurezza che di usabilità Quando si utilizza il telefono cellulare come autenticatore FIDO2 per sessioni Windows e servizi associati, ci sono anche degli svantaggi e delle sfumature che è opportuno conoscere.

Il vantaggio principale è quello L'autenticazione diventa resistente agli attacchi di phishing e furto di credenzialiPoiché la chiave privata non lascia mai il telefono e viene utilizzata solo per firmare le richieste crittografiche, un aggressore non può "rubare" la tua password perché semplicemente non esiste. Anche se un servizio subisce una violazione, ciò che viene esposto sono le chiavi pubbliche, che sono inutili senza l'autenticatore fisico.

Un altro vantaggio importante è l'esperienza utente: Sbloccare il telefono tramite impronta digitale o riconoscimento facciale è molto più rapido e naturale. rispetto alla scrittura di password lunghe, alla gestione di OTP tramite SMS o alla memorizzazione delle risposte alle domande di sicurezza. In molti casi, elimina anche la necessità di un secondo livello di MFA tradizionale, poiché FIDO2 soddisfa i requisiti per un MFA robusto e resistente al phishing.

A livello normativo, l'adozione di FIDO2 aiuta le organizzazioni a allinearsi alle normative come GDPR, HIPAA, PSD2 o NIS2E con le linee guida del NIST o del CISA che raccomandano l'MFA resistente al phishing, non è un caso che governi e grandi aziende si stiano rivolgendo alle soluzioni FIDO nell'ambito delle strategie zero-trust.

Dal lato delle limitazioni, uno dei problemi più evidenti è l' eredità tecnologicaMolte applicazioni, VPN legacy, desktop remoti specifici o sistemi interni non supportano FIDO2 o il moderno SSO. Per questi, saranno comunque necessarie password o autenticatori tradizionali, sebbene sia possibile integrare parte dell'accesso con un IdP moderno che comunichi FIDO2 all'esterno.

Inoltre, in molti servizi ancora La password non scompare completamenteSpesso viene utilizzato come meccanismo di recupero nel caso in cui si perdano tutte le passkey, il che significa che, se non gestito correttamente, esiste comunque un "piano B" meno sicuro. Il settore si sta orientando verso modelli in cui è possibile fare affidamento esclusivamente sulle passkey, ma per ora le password continueranno a essere ovunque.

Un'altra sfumatura importante è la differenza tra Passkey sincronizzate e passkey collegate al dispositivoI primi vengono replicati tramite servizi cloud (come iCloud Keychain o Google Password Manager), il che migliora la praticità ma complica il controllo aziendale; i secondi restano legati a un singolo hardware (chiave fisica aziendale, dispositivo mobile), il che conferisce maggiore controllo all'IT a discapito di una certa praticità per l'utente.

Per molti utenti e aziende, utilizzare un dispositivo mobile come autenticatore FIDO2 per le sessioni Windows e l'accesso alle risorse cloud è un modo molto ragionevole per sali sul carro dell'autenticazione senza passwordCombina la sicurezza della crittografia a chiave pubblica con la comodità di sbloccare il telefono che già porti con te, si integra con Windows 10/11, Microsoft Entra, Google e altri servizi moderni e ti consente di convivere con chiavi fisiche e sistemi legacy mentre passi a un mondo in cui le password stanno diventando sempre meno importanti.