Windows Hello, tutti i modi per il login veloce. Ma quanto è sicuro?

Già con Windows 8 e poi con Windows 10, Microsoft ha puntato molto sugli account utente online. Per accedere a Windows, l’utente viene invitato a usare o comunque a creare un account Microsoft (nell’articolo Come creare account Microsoft e quando preferire un account locale abbiamo illustrato le differenze tra un account locale e un account Microsoft).

Ma quanto è scomodo dover digitare, ogni volta, la password associata al proprio account Microsoft? Oltre all’alternativa “account locale”, Windows 10 consente di effettuare il login sul sistema usando una password grafica, un comodo codice PIN (vedere Il PIN di Windows 10 è sicuro?) o Windows Hello.

Ma che cos’è Windows Hello e quanto e sicuro?

Cos’è Windows Hello

Windows Hello è una nuova funzionalità introdotta con Windows 10 che facilita e velocizza il login utilizzando un lettore di impronte digitali, una videocamera compatibile, un dispositivo collegato, un device USB o un token.
Da qualche tempo a questa parte, anche Edge ha abbracciato l’utilizzo di Windows Hello e ne consente l’uso per l’autenticazione rapida nelle app e sui siti web.
Al momento l’autenticazione Windows Hello non è stata abbracciata da molte app Windows Store e da molti siti web ma Microsoft ha preparato un sito di test che permette di saggiarne il funzionamento.

Alcuni notebook (certi neppure propriamente moderni…) dispongono di un lettore di impronte digitali integrato che può essere utilizzato con Windows Hello senza installare alcun driver separatamente né software addizionali.
Altri, certamente più recenti, usano una webcam compatibile con Windows Hello che può essere sfruttata per attivare il riconoscimento facciale e permettere autenticazione e login automatici.

Su Amazon sono disponibili diversi lettori di impronte digitali USB ma è bene verificarne attentamente la compatibilità con Windows Hello/Windows 10.
In ogni caso, suggeriamo di non installarne mai i driver e lasciare che sia Windows 10 a riconoscerli e abilitarne automaticamente l’utilizzo.

Per quanto riguarda le webcam collegabili con Windows Hello che consentono quindi login e autenticazione mediante riconoscimento facciale, la scelta è ancora molto ridotta.
Fatta eccezione per i notebook equipaggiati con una videocamera Intel RealSense, la scelta di webcam che supportano direttamente la tecnologia RealSense è ancora limitatissima (c’è la Razer Stargazer ma non costa poco).

Come abbiamo accennato nell’articolo Bloccare il PC dopo un certo tempo, in vista del rilascio di Windows 10 Creators Update, i tecnici Microsoft starebbero per aggiungere una nuova funzionalità che permettere di bloccare automaticamente il dispositivo e richiedere il login ogniqualvolta ci si allontana. Dynamic lock dovrebbe basare il suo funzionamento sul rilevamento della presenza dell’utente attraverso la webcam.
Non è dato sapere se sia necessario usare una videocamera compatibile Windows Hello ma è verosimile ipotizzare che la webcam si attivi solamente quando Windows 10 dovesse rilevare l’inattività da parte dell’utente (mancato uso di tutte le periferiche in input).

Da quando è stato rilasciato Windows 10 Anniversary Update è possibile usare anche un’ulteriore modalità: per effettuare il login automatico in Windows e l’autenticazione con Edge si può ricorrere alle chiavette USB FIDO U2F (ne avevamo parlato nell’articolo Un mondo senza password con le soluzioni FIDO).

Utilizzare una Yubikey come quelle presentate nell’articolo precedente va benissimo nel caso in cui si voglia ad esempio proteggere l’accesso al proprio account Google (tutti i dettagli nell’articolo Accedere a Google, Gmail e Dropbox senza digitare password) anche se Google ha recentemente presentato un sistema di autenticazione a due fattori che è molto pratico e funziona benissimo: Accedere a Google in sicurezza da più dispositivi.

Nel caso di Windows 10, le Yubikey (vedere questi articoli su Amazon) e le altre chiavette FIDO U2F sono sì compatibili con Windows Hello ma richiedono comunque l’impostazione di un PIN e di una password.
Senza la chiavetta, quindi, un terzo interessato ad accedere al sistema potrebbe quindi comunque provare a “indovinare” PIN o password.

Come spiega Microsoft in quest’articolo, Windows Hello supporta poi circa 100 dispositivi sviluppati da altri produttori che consentono di sbloccare il sistema operativo su richiesta dell’utente.

Viene ad esempio citata la Nymi Band, un bracciale che una volta indossato permette di sbloccare il sistema Windows 10 con un tocco interfacciandosi con Windows Hello.
Lo sblocco è consentito solo al legittimo proprietario: Nymi Band è capace di registrare il ritmo cardiaco “univoco” dell’utente (effettua una sorta di elettrocardiogramma) distinguendolo da quello proprio di qualunque altro individuo.

Tutte le informazioni biometriche usate da Windows Hello vengono memorizzate in locale. Quando si configura Windows Hello, la funzionalità acquisisce i dati dal sensore per il volto o da quello dell’iride oppure, ancora, dal lettore di impronte digitali e crea una rappresentazione dei dati (non si tratta di un’immagine, ma piuttosto di un grafo) che viene crittografata e memorizzata nel dispositivo dell’utente.
Come riportato in questa pagina, è bene comunque tenere presente che alcune informazioni – rese anonime – possono essere raccolto sui server Microsoft (in forma cifrata) con l’obiettivo di migliorare il sistema operativo.

Come impostare Windows Hello

Per verificare se fosse possibile attivare Windows Hello sul proprio sistema Windows 10, basta digitare Opzioni di accesso nella casella di ricerca e premere Invio.

Se, in corrispondenza della voce Windows Hello, dovesse apparire il messaggio Windows Hello non è disponibile in questo dispositivo significa che il sistema operativo non ha rilevato device compatibili.
Nel caso in cui il sistema fosse equipaggiato con un lettore di impronte digitali, il consiglio è quello di provare ad aggiornarne i driver (facendo riferimento al sito web del produttore), riavviare il sistema e tornare nella schermata Opzioni di accesso.

Nell’articolo Windows Hello, come usare il lettore di impronte digitali per il login abbiamo spiegato come configurare il lettore di impronte digitali con Windows Hello.

Prodotti come Yubico YubiKey e il bracciale Nymi Band richiedono invece la preventiva installazione di un software scaricabile dal sito dei produttori.

Windows Hello è sicuro?

Al momento non è stata scoperta alcuna vulnerabilità in Windows Hello. Inoltre, come evidenziato in precedenza, tutti i dati biometrici degli utenti vengono salvati in forma cifrata.

Windows Hello, quindi, di per sé è sicuro ma nulla può fare se i dati memorizzati sui dischi fissi non lo sono. Spieghiamo meglio.

Windows Hello protegge l’accesso a Windows ma i dati degli utenti restano accessibili da parte di terzi se non vengono adeguatamente difesi. Un aggressore può tranquillamente usare un supporto di boot (una distribuzione “live” di Linux oppure lo stesso DVD di installazione di Windows (vedere Salvare file da un computer che non si avvia o non si accende) e accedere ai file degli utenti.

In alternativa può usare gli strumenti e le metodologie illustrate nell’articolo Password dimenticata, come trovare quella di Windows, Gmail e di altri servizi (paragrafo finale Accedere alle password memorizzate nei browser web se non si ricordano le credenziali dell’account utente Windows) o, ancora, disconnettere fisicamente hard disk e SSD e collegarli a un altro sistema per poi accedere ai dati in essi conservati (esistono anche delle comodissime docking station per velocizzare la procedura…).

Tutto vero tranne nel caso in cui l’utente abbia abilitato la cifratura dei dati sul disco fisso.
Indipendentemente dall’utilizzo di Windows Hello, quindi, è sempre cosa buona – se si tiene alla riservatezza dei propri dati – cifrare il contenuto di hard disk e unità SSD.

La sicurezza dei dati, infatti, deve cominciare al livello più basso; altrimenti si rischierà di adottare semplici palliativi.

A tal proposito, suggeriamo la lettura dei seguenti articoli in cui ci soffermiamo non soltanto su Microsoft BitLocker ma anche sull’opensource Veracrypt:

– Come proteggere il contenuto dell’hard disk con VeraCrypt e Bitlocker
– Differenza tra Bitlocker, EFS e Crittografia del dispositivo
– BitLocker, come funzionano il recupero delle chiavi e lo sblocco con USB
– Cancellare le chiavi crittografiche dai server Microsoft