Descrivere i metodi di autenticazione di Azure

  • 6 minuti

L'autenticazione stabilisce l'identità di una persona, di un servizio o di un dispositivo richiedendo le credenziali. In Azure i metodi comuni includono password, Single Sign-On (SSO), autenticazione a più fattori (MFA) e accesso senza password. Gli approcci moderni sono progettati per migliorare sia la sicurezza che la praticità degli utenti.

Il diagramma seguente mostra il livello di sicurezza rispetto alla praticità. Si noti che l'autenticazione senza password offre livelli elevati sia di sicurezza che di praticità, mentre le password da sole sono poco sicure ma molto pratiche.

Diagramma che confronta solo password, autenticazione a più fattori e metodi senza password in tutta sicurezza e praticità. Punteggi senza password più alti in entrambe le scale.

Cos'è il Single Sign-On?

Single Sign-On (SSO) consente a un utente di accedere una sola volta e di accedere a più applicazioni attendibili. L'accesso Single Sign-On riduce lo sprawl delle password, riducendo così la probabilità di eventi imprevisti correlati alle credenziali e riducendo il blocco e la reimpostazione dell'account.

Dal punto di vista delle operazioni, l'accesso Single Sign-On semplifica anche la gestione del ciclo di vita. L'accesso è associato a un'identità, semplificando l'aggiornamento o la rimozione dell'accesso quando i ruoli cambiano.

Importante

L'accesso Single Sign-On è sicuro solo se lo è l'autenticatore iniziale, perché le connessioni successive sono tutte basate sulla sicurezza di tale autenticatore.

Che cos'è l'autenticazione a più fattori?

L'autenticazione a più fattori (MFA) richiede all'utente un fattore aggiuntivo durante l'accesso, quindi una password compromessa da sola non è sufficiente per l'accesso. Questi fattori rientrano in tre categorie:

  • Qualcosa che l'utente conosce , ovvero una password o una domanda di verifica.
  • Qualcosa che l'utente ha , ovvero un codice inviato a un telefono cellulare.
  • Qualcosa che l'utente è , ovvero un segnale biometrico, ad esempio un'impronta digitale o un'analisi del viso.

Con l'autenticazione a più fattori abilitata, un utente malintenzionato che ottiene una password richiede ancora il secondo fattore, ad esempio un prompt telefonico o un segnale biometrico, per completare l'accesso.

Che cos'è l'autenticazione a più fattori di Microsoft Entra?

L'autenticazione a più fattori di Microsoft Entra è un servizio Microsoft che fornisce funzionalità di autenticazione a più fattori. L'autenticazione a più fattori di Microsoft Entra consente agli utenti di scegliere una forma aggiuntiva di autenticazione durante l'accesso, ad esempio una telefonata o una notifica dell'app per dispositivi mobili.

Che cos'è l'autenticazione senza password?

Mentre l'autenticazione a più fattori aggiunge sicurezza, le password rimangono una sfida di usabilità e rischio. I metodi senza password eliminano completamente la password, sostituendola con un dispositivo attendibile più un segnale biometrico o un PIN.

Dopo la registrazione iniziale, l'utente accede con un fattore che conosce o è, ad esempio un PIN o un'impronta digitale, invece di digitare una password.

Microsoft Entra ID supporta tre opzioni senza password:

  • Windows Hello for Business
  • App Microsoft Authenticator
  • Chiavi di sicurezza FIDO2

Confronto a tre schede di Windows Hello for Business, Microsoft Authenticator e Chiavi di sicurezza FIDO2 che mostrano il tipo di autenticazione, il fattore di forma e lo scenario più adatto per ognuno.

Windows Hello for Business

Windows Hello for Business è ideale per gli Information Worker che hanno il proprio PC Windows designato. Le credenziali biometriche e PIN sono direttamente associate al PC dell'utente, impedendo l'accesso a chiunque non sia il proprietario. Con l'integrazione dell'infrastruttura a chiave pubblica (PKI) e il supporto predefinito per l'accesso Single Sign-On (SSO), Windows Hello for Business offre un metodo pratico per accedere facilmente alle risorse di lavoro in locale e nel cloud.

App Microsoft Authenticator

L'app Microsoft Authenticator può anche fungere da credenziale senza password, trasformando qualsiasi telefono iOS o Android in un fattore di accesso sicuro.

Per accedere, l'utente riceve una notifica sul telefono, corrisponde a un numero visualizzato sullo schermo e conferma con un segnale biometrico (tocco o viso) o un PIN. Non è necessaria alcuna password.

Chiavi di sicurezza FIDO2

FIDO2 è uno standard aperto per l'autenticazione senza password basata sulla specifica di autenticazione Web (WebAuthn). Le chiavi di sicurezza FIDO2 sono dispositivi hardware che non possono essere oggetto di phishing, tipicamente USB, ma disponibili anche con Bluetooth o NFC, e gestiscono l'autenticazione senza un nome utente né una password.

Gli utenti registrano una chiave FIDO2 e quindi la selezionano nella schermata di accesso come metodo di autenticazione principale. Poiché il dispositivo hardware gestisce l'autenticazione, non esiste alcuna password che potrebbe essere esposta o indovinata.