Microsoft porta accessi anti-phishing su Windows con le passkey

La progressiva eliminazione delle password dai sistemi di autenticazione aziendali procede a passo spedito. Microsoft ha iniziato a introdurre il supporto alle passkey in Microsoft Entra per i dispositivi Windows, una funzionalità che estende l’accesso passwordless tramite Windows Hello e introduce un livello di protezione progettato per resistere alle campagne di phishing.

L’aggiornamento si inserisce in un percorso più ampio che punta a sostituire progressivamente le credenziali tradizionali. Microsoft ha già dichiarato che i nuovi account consumer sono creati in Windows “senza password” per impostazione predefinita. Con l’arrivo della gestione integrata in Windows Hello e il progressivo ampliamento delle funzionalità in Microsoft Entra, l’autenticazione basata su chiavi crittografiche si avvicina alla piena adozione, almeno negli ambienti enterprise.

Passkey su Windows e autenticazione resistente al phishing

La novità principale riguarda l’integrazione delle passkey direttamente nei dispositivi Windows tramite Windows Hello. L’utente può creare una credenziale locale associata al dispositivo e utilizzarla per autenticarsi alle risorse protette da Entra. Il processo utilizza meccanismi biometrici o un PIN locale, quindi riconoscimento facciale, impronta digitale oppure le altre modalità di autenticazione previste da Windows Hello.

Il funzionamento si basa sullo standard FIDO2, che utilizza crittografia a chiave pubblica per sostituire le password. Durante la registrazione viene generata una coppia di chiavi: la chiave privata resta sul dispositivo dell’utente mentre la chiave pubblica viene registrata presso il servizio di autenticazione.

Quando l’utente avvia il login, il servizio invia una sfida crittografica (challenge) e il dispositivo firma la richiesta con la chiave privata locale. Il server verifica la firma usando la chiave pubblica registrata e rilascia il token di accesso solo se la verifica ha esito positivo. In questo schema la credenziale segreta non transita mai sulla rete.

Un aspetto rilevante riguarda la resistenza alle tecniche di furto delle credenziali. Le passkey non possono essere intercettate tramite phishing perché l’”autenticatore” rilascia la firma crittografica soltanto per il dominio per cui la chiave è stata registrata. L’implementazione utilizza i protocolli WebAuthn e CTAP per la comunicazione tra browser, sistema operativo e autenticatore hardware o software.

Supporto anche per dispositivi Windows non gestiti

Una delle limitazioni più evidenti nei modelli passwordless precedenti riguardava i dispositivi non gestiti. Le organizzazioni spesso permettono accessi da computer personali o condivisi che non risultano registrati nel tenant aziendale. In questi scenari gli utenti continuavano a dipendere da password e metodi MFA tradizionali.

L’implementazione delle passkey in Entra per Windows riduce questo gap. Gli utenti possono registrare una credenziale locale anche su sistemi che non partecipano al tenant. La chiave privata è conservata all’interno del contenitore sicuro di Windows Hello e resta legata al singolo dispositivo.

La passkey creata in questo contesto è di tipo device-bound, quindi rimane legata alla macchina su cui è stata generata e non può essere sincronizzata automaticamente con altri dispositivi. Ogni computer richiede quindi una registrazione separata per lo stesso account Entra.

Gestione delle credenziali e limiti operativi

Il modello implementato prevede che ogni account Microsoft Entra possa registrare una passkey distinta per ciascun dispositivo utilizzato. Più account possono convivere sulla stessa macchina, ma ciascuno mantiene il proprio identificatore di credenziale. L’infrastruttura supporta quindi scenari multi-tenant o workstation condivise.

La registrazione delle passkey richiede una configurazione specifica lato amministratore. I team IT devono attivare il metodo di autenticazione Passkeys (FIDO2) nelle policy di autenticazione di Entra e creare un profilo dedicato che includa l’identificatore univoco del modello di autenticatore (AAGUID) associato ai dispositivi Windows Hello autorizzati, utilizzato per riconoscere in modo preciso il tipo di dispositivo o metodo di autenticazione registrato per l’accesso. Il profilo può essere assegnato a gruppi di utenti specifici per controllare la distribuzione della funzione.

Esistono anche alcune limitazioni tecniche. Un utente non può registrare una passkey su Windows se nello stesso contenitore Windows Hello è già presente una credenziale Windows Hello for Business associata allo stesso account.

Il percorso verso un’autenticazione senza password

Le passkey rappresentano uno dei pilastri delle strategie moderne di difesa contro gli attacchi alle credenziali. Le campagne di phishing, il password spraying (attacchi che provano poche password comuni su molti account diversi) e il credential stuffing (utilizzo automatico di credenziali rubate da altre violazioni di dati) continuano a funzionare perché sfruttano i limiti delle password tradizionali e dei sistemi di autenticazione a più fattori basati su codici OTP, cioè password temporanee monouso generate tramite SMS o app di autenticazione.

Le credenziali basate su FIDO2 eliminano questa superficie di attacco perché non esiste un segreto condiviso riutilizzabile. La chiave privata resta nel dispositivo dell’utente e l’autenticazione avviene tramite firma crittografica su una sfida generata dal server. Anche nel caso in cui un attaccante intercetti il traffico, la firma non può essere riutilizzata perché è valida solo per quella specifica sessione.

L’integrazione progressiva delle passkey nei servizi Microsoft, nei browser e nei sistemi operativi indica una direzione precisa. L’autenticazione basata su chiavi crittografiche e biometria locale andranno a sostituire i modelli tradizionali di login.

Con il supporto esteso ai dispositivi Windows non gestiti, Microsoft Entra riduce una delle principali barriere operative alla diffusione dello schema passwordless nelle infrastrutture aziendali.