Trace Id is missing
Passa a contenuti principali
Microsoft Security

Che cos'è FIDO2?

Informazioni di base sull'autenticazione senza password FIDO2, incluso il funzionamento e la protezione di singoli utenti e organizzazioni da attacchi online.

Riduci i rischi con l'autenticazione senza password

FIDO2 definito

FIDO2 (Fast IDentity Online 2) è uno standard aperto per l’autenticazione utenti che mira a rafforzare il modo in cui le persone accedono a Servizi online per aumentare la fiducia complessiva. FIDO2 rafforza la sicurezza e protegge singoli utenti e organizzazioni dai crittografici usando credenziali crittografiche anti-phishing per convalidare le identità degli utenti.

FIDO2 è lo standard di autenticazione aperto più recente sviluppato da FIDO Alliance, un consorzio di settore di Microsoft e di altre organizzazioni tecnologiche, commerciali e governative. L'associazione ha rilasciato gli standard di autenticazione FIDO 1.0 che hanno introdotto l'autenticazione a più fattori resistente al phishing (MFA) nel 2014 e la più recente autenticazione senza password standard FIDO2 (nota anche come FIDO 2.0 o FIDO 2) nel 2018.

Che cosa sono le passkey e come sono correlate a FIDO2?

Indipendentemente dalla durata o dalla complessità o dalla frequenza con cui vengono modificate, le password possono essere compromesse mediante la condivisione volontariamente o involontariamente. Anche con una soluzione complessa di protezione delle password, ogni organizzazione è a rischio di phishing, hacking e altri cyberattacchi in cui le password vengono rubate. Una volta nelle mani sbagliate, le password possono essere usate per ottenere l'accesso non autorizzato ad account, dispositivi e file online.

Le passkey sono credenziali di accesso FIDO2 create usando la crittografia a chiave pubblica. Un'efficace sostituzione delle password, aumenta la cybersecurity, rendendo l'accesso alle applicazioni Web e ai siti Web supportati più intuitivo rispetto ai metodi tradizionali.

L'autenticazione senza password FIDO2 si basa su algoritmi crittografici per generare una coppia di passkey private e pubbliche lunghe e casuali,  numeri correlati matematicamente. La coppia di chiavi viene usata per eseguire l'autenticazione dell'utente direttamente su un dispositivo dell'utente’finale, sia che si tratti di un computer desktop, un portatile, un telefono cellulare o una chiave di sicurezza. Una passkey può essere associata a un singolo dispositivo utente o sincronizzata automaticamente tra più dispositivi di un utente’tramite un servizio cloud.

Come funziona l'autenticazione FIDO2?

L'autenticazione FIDO2 senza password funziona in genere usando le passkey come primo e principale fattore per l'autenticazione dell'account. In breve, quando un utente si registra con un servizio online supportato da FIDO2, il dispositivo client registrato per eseguire l'autenticazione genera una coppia di chiavi che funziona solo per l'app Web o il sito Web.

La chiave pubblica viene crittografata e condivisa con il servizio, ma la chiave privata rimane sicura nel dispositivo dell'utente. Quindi, ogni volta che l'utente tenta di accedere al servizio, il servizio presenta una sfida univoca al client. Il client attiva il dispositivo passkey per firmare la richiesta con la chiave privata e restituirla. In questo modo il processo viene protetto crittograficamente dal phishing.

Tipi di autenticatori FIDO2

Prima che il dispositivo possa generare un set FIDO2 univoco di passkey, deve verificare che l'utente che richiede l'accesso non sia un utente non autorizzato o un tipo di malware. Questa operazione viene eseguita con un autenticatore, ovvero un dispositivo in grado di accettare un PIN, una biometria o un altro movimento dell'utente.

Esistono due tipi di autenticatori FIDO:

Autenticatori mobili (o multipiattaforma)

Questi autenticatori sono dispositivi hardware portatili separati dai dispositivi client degli utenti. Gli autenticatori mobili includono chiavi di sicurezza, smartphone, tablet, dispositivi indossabili e altri dispositivi che si connettono con i dispositivi client tramite il protocollo USB o la tecnologia wireless NFC (Near Field Communication) e Bluetooth. Gli utenti verificano le proprie identità in diversi modi, ad esempio collegando un tasto FIDO e premendo un pulsante o fornendo una biometria, ad esempio un'impronta digitale, sullo smartphone. Gli autenticatori mobili sono noti anche come autenticatori multipiattaforma perché consentono agli utenti di eseguire l'autenticazione su più computer, in qualsiasi momento e ovunque.

Autenticatori della piattaforma (o associati)

Questi autenticatori sono incorporati nei dispositivi client degli utenti, che si tratti di un desktop, un portatile, un tablet o uno smartphone. Grazie alle funzionalità biometriche e ai chip hardware per la protezione delle passkey, gli autenticatori della piattaforma richiedono all'utente di accedere ai servizi supportati da FIDO con il dispositivo client e quindi eseguire l'autenticazione tramite lo stesso dispositivo, in genere con un PIN o biometrico.

Esempi di autenticatori della piattaforma che usano dati biometrici includono Microsoft Windows Hello, Apple Touch ID e Face ID e Android Fingerprint.

Come registrarsi e accedere ai servizi supportati da FIDO2:

Per sfruttare la maggiore sicurezza offerta dall'autenticazione FIDO2, seguire questa procedura di base:

Come registrarsi ai servizi supportati da FIDO2:

Passaggio 1: Quando si esegue la registrazione con un servizio, verrà richiesto di scegliere un metodo di autenticazione FIDO supportato.

Passaggio 2: Attivare l'autenticatore FIDO con un semplice movimento supportato dall'autenticatore, ovvero l'immissione di un PIN, il tocco di un lettore di impronte digitali o l'inserimento di una chiave di sicurezza FIDO2.

Passaggio 3: Dopo l'attivazione dell'autenticatore, il dispositivo genererà una coppia di chiavi pubblica e privata univoca per il dispositivo, l'account e il servizio.

Passaggio 4: Il dispositivo locale archivia in modo sicuro la chiave privata e tutte le informazioni riservate relative al metodo di autenticazione, ad esempio i dati biometrici. La chiave pubblica viene crittografata e, insieme a un ID credenziale generato in modo casuale, registrata con il servizio e archiviata nel relativo server di autenticazione.

Come accedere ai servizi supportati da FIDO2:

Passaggio 1: Il servizio genera una richiesta di crittografia per confermare la presenza.

Passaggio 2: Quando richiesto, eseguire lo stesso movimento di autenticazione usato durante la registrazione dell'account. Dopo aver confermato la presenza con il movimento, il dispositivo userà quindi la chiave privata archiviata localmente nel dispositivo per firmare la richiesta.

Passaggio 3: Il dispositivo invia la richiesta di verifica firmata al servizio, che la verifica con la chiave pubblica registrata in modo sicuro.

Passaggio 4: Al termine dell'accesso, si è connessi.

Quali sono i vantaggi dell'autenticazione FIDO2?

I vantaggi dell'autenticazione senza password FIDO2 includono maggiore sicurezza e privacy, esperienze intuitive e maggiore scalabilità. FIDO2 riduce anche i carichi di lavoro e i costi associati alla gestione degli accessi.

  • Aumenta la sicurezza

    L'autenticazione senza password FIDO2 migliora significativamente la sicurezza degli accessi usando passkey univoche. Con FIDO2, gli hacker non possono accedere facilmente a queste informazioni riservate tramite phishing, ransomware e altri atti comuni di furto informatico. Le chiavi biometriche e FIDO2 consentono anche di eliminare le vulnerabilità nei metodi di autenticazione a più fattori tradizionali, ad esempio l'invio di passcode monouso tramite SMS.

  • Migliora la privacy degli utenti

    L'autenticazione FIDO rafforza la privacy degli utenti archiviando in modo sicuro le chiavi crittografiche private e i dati biometrici nei dispositivi degli utenti. Inoltre, poiché questo metodo di autenticazione genera coppie di chiavi univoche, consente di impedire ai provider di servizi di tenere traccia degli utenti tra i siti. Inoltre, in risposta alle preoccupazioni degli utenti relative al potenziale uso improprio dei dati biometrici, gli enti pubblici stanno applicando leggi sulla privacy che impediscono alle organizzazioni di vendere o condividere informazioni biometriche.

  • Promuove la facilità d'uso

    Con l'autenticazione FIDO, i singoli utenti possono autenticare in modo rapido e pratico le proprie identità usando chiavi FIDO2, app di autenticazione o lettori di impronte digitali o fotocamere incorporate nei dispositivi. Anche se gli utenti devono eseguire un secondo o anche terzo passaggio di sicurezza (ad esempio quando è necessaria più di una biometria per la verifica dell'identità), risparmiano tempo e problemi associati alla creazione, alla memorizzazione, alla gestione e alla reimpostazione delle password.

  • Migliora la scalabilità

    FIDO2 è uno standard aperto e senza licenza che consente alle aziende e ad altre organizzazioni di ridimensionare i metodi di autenticazione senza password in tutto il mondo. Con FIDO2, possono offrire esperienze di accesso sicure e semplificate a tutti i dipendenti, i clienti e i partner, indipendentemente dal browser e dalla piattaforma scelti.

  • Semplifica la gestione degli accessi

    I team IT non devono più distribuire e gestire i criteri e l'infrastruttura per le password, riducendo i costi e liberandoli perché possano concentrarsi sulle attività di valore superiore. Inoltre, la produttività tra help desk personale aumenta, in quanto non è necessario supportare richieste basate su password, ad esempio la reimpostazione delle password.

Che cosa sono WebAuthn e CTAP2?

Il set di specifiche FIDO2 ha due componenti: Autenticazione Web (WebAuthn) e Protocollo da client ad autenticatore 2 (CTAP2). Il componente principale, WebAuthn, è un'API JavaScript implementata in web browser e piattaforme conformi in modo che i dispositivi registrati possano eseguire l'autenticazione FIDO2. Il World Wide Web Consortium (W3C), l'organizzazione di standard internazionali per il World Wide Web, ha sviluppato WebAuthn in collaborazione con FIDO Alliance. WebAuthn è diventato uno standard Web W3C formale nel 2019.

Il secondo componente, CTAP2, sviluppato da FIDO Alliance, consente agli autenticatori mobili, ad esempio le chiavi di sicurezza FIDO2 e i dispositivi mobili, di comunicare con le piattaforme e il browser supportati da FIDO2.

Che cosa sono FIDO U2F e FIDO UAF?

FIDO2 si è evoluta da FIDO 1.0, le prime specifiche di autenticazione FIDO rilasciate dall'associazione nel 2014. Queste specifiche originali includevano il protocollo FIDO Universal Second Factor (FIDO U2F) e il protocollo FIDO Universal Authentication Framework (FIDO UAF).

FIDO U2F e FIDO UAF sono forme di autenticazione a più fattori, che richiede due o tre elementi di evidenza (o fattori) per convalidare un utente. Questi fattori possono essere qualcosa che solo l'utente conosce (ad esempio un passcode o un PIN), possiede (ad esempio una chiave FIDO o un'app di autenticazione in un dispositivo mobile) o possiede come caratteristica individuale (ad esempio una biometria).

Scopri di più sulle specifiche:

FIDO U2F

FIDO U2F rafforza gli standard di autorizzazione basati su password con l'autenticazione a due fattori (2FA), che convalida l'utente con due elementi di prova. Il protocollo FIDO U2F richiede a un utente di fornire una combinazione valida di nome utente e password come primo fattore, quindi usare un dispositivo USB, NFC o Bluetooth come secondo fattore, in genere eseguendo l'autenticazione premendo un pulsante o una chiave in un OTP sensibile al tempo.

FIDO U2F è il successore di CTAP 1 e predecessore di CTAP2, che consente agli utenti di usare i dispositivi mobili oltre alle chiavi FIDO come dispositivi a due fattori.

FIDO UAF

FIDO UAF facilita l'autenticazione senza password a più fattori. Richiede a un utente di accedere con un dispositivo client registrato FIDO che conferma la presenza dell'utente con un controllo biometrico, ad esempio un'impronta digitale o un'analisi del viso, o con un PIN come primo fattore. Il dispositivo genera quindi la coppia di chiavi univoca come secondo fattore. Un sito Web o un'app può anche usare un terzo fattore, ad esempio una biometria o la posizione geografica dell'utente.

FIDO UAF è il predecessore dell'autenticazione senza password FIDO2.

Come si implementa il FIDO2

L'implementazione dello standard FIDO2 nei siti Web e nelle app richiede che l'organizzazione disponga di hardware e software moderni. Fortunatamente, tutte le principali piattaforme Web, inclusi i sistemi Microsoft Windows, Apple iOS e MacOS e Android, e tutti i principali Web browser, tra cui Microsoft Edge, Google Chrome, Apple Safari e Mozilla Firefox, supportano FIDO2. La soluzione di gestione delle identità e degli accessi (IAM) deve supportare anche l'autenticazione FIDO2.

In generale, l'implementazione dell'autenticazione FIDO2 in siti Web e app nuovi o esistenti comporta questi passaggi chiave:

  1. Definire l'esperienza di accesso utente e i metodi di autenticazione e impostarecriteri di controllo di accesso.
  2. Creare nuove pagine di registrazione e accesso esistenti o modificarle con le specifiche del protocollo FIDO appropriate.
  3. Configurare un server FIDO per autenticare le richieste di registrazione e autenticazione FIDO. Il server FIDO può essere un server autonomo, integrarsi con un server Web o un server applicazioni o essere fornito come modulo IAM.
  4. Creare nuovi flussi di lavoro di autenticazione o modificarne di esistenti.

AUTENTICAZIONE FIDO2 e biometrica

L'autenticazione biometrica utilizza le caratteristiche biologiche o comportamentali uniche di una persona di una persona per confermare che l'utente è quello che dichiara di essere. I dati biometrici vengono raccolti e convertiti in modelli biometrici accessibili solo con un algoritmo segreto. Quando l'utente tenta di accedere, il sistema recupera le informazioni, le converte e le confronta con la biometria archiviata.

Di seguito sono riportati alcuni esempi di autenticazione biometrica:

Biologico

  • Analisi delle impronte digitali
  • Analisi retina
  • Riconoscimento vocale
  • Corrispondenza DNA
  • Scansione delle vene

Comportamentali

  • Uso del touchscreen
  • Velocità di digitazione
  • Scelte rapide da tastiera
  • Attività del mouse

L'autenticazione biometrica è una realtà nei luoghi di lavoro ibridi e digitali di oggi. Ai dipendenti piace il fatto che offre loro la flessibilità necessaria per eseguire l'autenticazione in modo rapido e sicuro ovunque si trovino. Le aziende in questo modo riducono significativamente la superficie di attacco, disincentivando i criminali informatici che altrimenti potrebbero individuare come target questi dati e sistemi.

Tuttavia, l'autenticazione biometrica non è completamente a prova di hacker. Ad esempio, gli attori non validi possono usare i dati biometrici di qualcun altro, ad esempio una foto o un'impronta digitale, per rappresentare tale individuo. In alternativa, possono combinare più analisi delle impronte digitali per creare un'analisi principale che consenta l'accesso a diversi account utente.

Esistono altri svantaggi dell'autenticazione biometrica. Alcuni sistemi di riconoscimento facciale, ad esempio, hanno una distorsione intrinseca contro le donne e le persone di colore. Inoltre, alcune organizzazioni scelgono di archiviare i dati biometrici nei server di database anziché nei dispositivi degli utenti finali, generando domande sulla sicurezza e sulla privacy. Tuttavia, l'autenticazione biometrica a più fattori rimane uno dei metodi più sicuri attualmente disponibili per verificare le identità degli utenti.

Esempi di autenticazione FIDO2

I requisiti di sicurezza e logistica per la verifica dell'identità variano all'interno e all'interno delle organizzazioni. Di seguito sono riportati i modi comuni in cui le organizzazioni in diversi settori implementano l'autenticazione FIDO2.

  • Servizi bancari, servizi finanziari e assicurazione

    Per proteggere i dati aziendali e dei clienti sensibili, i dipendenti che lavorano negli uffici aziendali spesso usano desktop o portatili forniti dall'azienda con autenticatori della piattaforma. I criteri aziendali impediscono loro di usare questi dispositivi per uso personale. I dipendenti del ramo locale e del call center usano spesso dispositivi condivisi e verificano le identità usando autenticatori mobili.

  • Voli e compagnie aeree

    Le organizzazioni di questi settori devono anche supportare le persone che lavorano in impostazioni diverse e hanno responsabilità diverse. I dirigenti, le risorse umane e altri dipendenti basati su ufficio spesso usano desktop e portatili dedicati ed eseguono l'autenticazione con autenticatori di piattaforma o mobili. Gli agenti di controllo dell'aeroporto, i meccanismi degli aerei e i membri degli equipaggi spesso usano chiavi di sicurezza hardware o app di autenticazione nei propri smartphone personali per l'autenticazione su tablet o workstation condivise.

  • Produzione

    Per garantire la sicurezza fisica delle strutture di produzione, i dipendenti autorizzati e altri utenti usano autenticatori mobili come smart card abilitate per FIDO2 e chiavi FIDO2 o smartphone personali registrati con autenticatori della piattaforma per sbloccare le porte. Inoltre, i team di progettazione dei prodotti spesso usano desktop o portatili dedicati con autenticatori della piattaforma per accedere a sistemi di progettazione online che contengono informazioni proprietarie.

  • Servizi di emergenza

    Le agenzie governative e altri fornitori di servizi di emergenza non possono sempre autenticare i paramedici e gli altri soccorritori con le scansioni delle impronte digitali o dell'iride. Spesso questi individui indossano guanti o protezioni per gli occhi nello stesso momento in cui devono accedere rapidamente a Servizi online. In questi casi, vengono invece identificati tramite sistemi di riconoscimento vocale. È anche possibile usare tecnologie emergenti per l'analisi delle forme dell'auricolare con smartphone.

Crea una sicurezza senza problemi con FIDO2

L’autenticazione senza password sta diventando rapidamente una procedura consigliata per IAM. Adottando FIDO2, si sa che si usa uno standard attendibile per assicurarsi che gli utenti siano chi dichiarano di essere.

Per iniziare a usare FIDO2, valutare attentamente i requisiti aziendali e di settore specifici per la verifica dell'identità. Semplificare quindi l'implementazione FIDO2 con Microsoft Entra ID (noto in precedenza come Azure Active Directory). La procedura guidata dei metodi senza password in Microsoft Entra ID semplifica la gestione di Windows Hello for Business, dell'app Microsoft Authenticator e delle chiavi di sicurezza FIDO2.

Altre informazioni su Microsoft Security

Microsoft Entra ID (precedentemente Azure Active Directory)

Proteggi l'accesso alle risorse e ai dati utilizzando un'autenticazione forte e accesso adattivo basato sul rischio.

Altre informazioni

Microsoft Entra Identity Governance

Incrementa la produttività e rafforza la sicurezza automatizzando l'accesso ad app e servizi.

Altre informazioni

Gestione delle autorizzazioni di Microsoft Entra

Gestisci le autorizzazioni per qualsiasi identità o risorsa nell'infrastruttura multi-cloud.

Scopri di più

ID verificato di Microsoft Entra

Rilascia e verifica in tutta sicurezza l'area di lavoro e altre credenziali con una soluzione standard aperta.

Scopri di più

Identità dei carichi di lavoro di Microsoft Entra

Riduci i rischi concedendo alle app e ai servizi l'accesso condizionale alle risorse cloud, tutto in un'unica posizione.

Altre informazioni

Domande frequenti

  • FIDO2 è l'acronimo di Fast IDentity Online 2, lo standard di autenticazione aperto più recente rilasciato da FIDO Alliance. Costituita da Microsoft e da altre organizzazioni tecnologiche, commerciali e governative, l'associazione cerca di eliminare l'uso delle password nel World Wide Web.

    Le specifiche FIDO2 includono l'autenticazione Web (WebAuthn), un'API Web che consente a Servizi online di comunicare con gli autenticatori della piattaforma FIDO2 (ad esempio tecnologie di riconoscimento delle impronte digitali e facciali incorporate in Web browser e piattaforme). Sviluppato dal World Wide Web Consortium (W3C) in collaborazione con FIDO Alliance, WebAuthn è uno standard W3C formale.

    FIDO2 include anche il protocollo CTAP2 (Client-to-Authenticator Protocol 2), sviluppato dall'associazione. CTAP2 connette gli autenticatori mobili (ad esempio le chiavi di sicurezza FIDO2 esterne e i dispositivi mobili) ai dispositivi client FIDO2 tramite USB, BLE o NFC.

  • FIDO2 è uno standard aperto e senza licenza per l'autenticazione senza password a più fattori in ambienti mobili e desktop. FIDO2 usa la crittografia a chiave pubblica anziché le password per convalidare le identità degli utenti, bloccando i criminali informatici che tentano di rubare le credenziali utente tramite phishing, malware e altri attacchi basati su password.

  • I vantaggi dell'autenticazione FIDO2 includono maggiore sicurezza e privacy, esperienze intuitive e maggiore scalabilità. FIDO2 semplifica anche il controllo di accesso per i team IT e il personale dell'help desk riducendo i carichi di lavoro e i costi associati alla gestione di nomi utente e password.

  • Una chiave FIDO2, detta anche chiave di sicurezza FIDO2, è un dispositivo hardware fisico necessario per l'autenticazione a due fattori e a più fattori. Funge da autenticatore FIDO mobile, usa USB, NFC o Bluetooth per connettersi a un dispositivo client FIDO2, consentendo agli utenti di eseguire l'autenticazione su più computer, in ufficio, a casa o in un'altra impostazione.

    Il dispositivo client verifica l'identità dell'utente chiedendo all'utente di usare il tasto FIDO2 per eseguire un movimento, ad esempio toccare un lettore di impronte digitali, premere un pulsante o immettere un PIN. I tasti FIDO2 includono chiavi plug-in, smartphone, tablet, dispositivi indossabili e altri dispositivi.

  • Le organizzazioni distribuiscono i metodi di autenticazione FIDO2 in base ai requisiti specifici di sicurezza, logistica e settore.

    Ad esempio, le banche e i produttori basati sulla ricerca spesso richiedono che gli uffici e altri dipendenti usano desktop e portatili forniti dall'azienda per l'uso aziendale e portatili con autenticatori della piattaforma. Le organizzazioni con persone in viaggio, ad esempio squadre di compagnie aeree e team di risposta alle emergenze, accedono invece spesso a tablet o workstation condivisi e quindi eseguono l'autenticazione usando chiavi di sicurezza o app di autenticazione sui propri smartphone.

Segui Microsoft 365