Entra ID passwordless: semplificare e rafforzare l’autenticazione

Passwordless?

Se la MFA aggiunge un fattore alla password, l’approccio proposto da Entra ID passwordless mira in prospettiva a eliminare del tutto la necessità della password stessa. L’idea può sembrare rivoluzionaria: come si fa a fare login senza password? Il concetto non è abolire l’identity check, ma renderlo più sicuro e usabile. Nel 2018 lo standard FIDO2 (comprendente WebAuthn e CTAP2) ha gettato le basi per implementare il passwordless sul web: grandi aziende come Microsoft, Google e Apple hanno iniziato a integrare questi standard, e oggi siamo al punto che un utente può realmente scegliere di non avere più password per accedere ai servizi, usando invece metodi alternativi.

Come funziona in pratica?

Utilizziamo Microsoft Entra ID come esempio di riferimento: quando un utente è registrato per l’autenticazione passwordless tramite, ad esempio, l’app Authenticator, viene associata al suo account una coppia di chiavi crittografiche. La chiave pubblica viene conservata nei server Entra ID, mentre la chiave privata rimane sul dispositivo (ad es. all’interno dell’app sul telefono) ed è protetta da un PIN o login biometrico. Da quel momento, quando l’utente inserisce la username per accedere, al posto della password riceve una notifica su Authenticator che chiede di approvare (magari inserendo un PIN o l’impronta sul telefono). Appena l’utente lo fa, l’app utilizza la chiave privata per firmare una richiesta di autenticazione ricevuta dal server (“challenge”) e rispedisce indietro la richiesta firmata. Il server Entra ID riceve la richiesta firmata e la verifica con la chiave pubblica corrispondente: se la firma è valida, vuol dire che chi sta accedendo possiede la chiave privata (ossia il telefono registrato) e l’ha sbloccata col PIN/biometria giusta – quindi è l’utente legittimo.

L’accesso è concesso senza che alcuna password sia stata digitata o trasmessa in rete. Il bello è che, anche di fronte a un sito di phishing, questo metodo non espone credenziali riutilizzabili: un sito fake non avrà la chiave privata dell’utente né potrà ottenerla, perché risiede sicura nel dispositivo e firmerà solo per il dominio corretto. Lo stesso principio vale con le chiavi FIDO2 fisiche.

Vantaggi principali del passwordless:

• Elimina i rischi associati alle password tradizionali: Niente più password da rubare via phishing, niente più credenziali statiche da forzare con brute force. Un hacker non può “indovinare” la tua impronta digitale o replicare la tua chiave crittografica senza possederla. Si azzera la superficie d’attacco legata a password deboli o riutilizzate. Ad esempio, in modalità passwordless, anche se un database di account venisse violato, l’attaccante troverebbe solo chiavi pubbliche che sono inutili senza le private (le quali non lasciano mai il dispositivo utente). Allo stesso tempo, per l’utente sparisce l’onere di creare e ricordare password: questo abbatte errori umani e migliora la sicurezza perché non c’è tentazione di usare la stessa chiave su 10 siti (ogni servizio genera credenziali uniche dietro le quinte).
• Migliora la user experience: Con il passwordless si accede più velocemente e con meno frustrazione. Pensiamo a un dipendente: invece di dover digitare ogni giorno una password lunga (magari cambiata di recente e quindi facile da sbagliare), accende il PC e viene loggato con Windows Hello guardando la webcam per un secondo – immediato e semplice. Oppure, apre il portale aziendale, mette l’username e conferma la notifica sul suo telefono – fatto. Niente più reset perché ho dimenticato la password, niente più sperimentare variazioni perché “quella nuova non me la prende”. Per i team IT, meno ticket di “reset password” e utenti più felici. Un caso interno a Microsoft: quando hanno implementato la login passwordless per i propri dipendenti, hanno registrato un calo enorme delle richieste di supporto e feedback utente molto positivi (“loggarsi è diventato un piacere, non un dolore”).
• Riduce i costi operativi e di gestione: Meno password significa meno richieste di password reset, meno lockout, meno necessità di far rispettare politiche complesse. Col passwordless, concetti come scadenza password o lunghezza minima diventano superflui, perché l’autenticazione non dipende più da quel segreto condiviso. Questo libera risorse IT: il personale può dedicarsi a difese più avanzate o progetti strategici, invece di passare ore a sbloccare account. Inoltre, l’adozione di standard come FIDO2 consente di utilizzare soluzioni interoperabili: ad esempio, la stessa chiave di sicurezza può servire per login Windows, accesso VPN e applicazioni web compatibili, riducendo il numero di dispositivi o metodi diversi che l’utente (e l’IT) deve gestire.

Sfide dell’adozione di Entra ID passwordless

Chiaramente, passare a un ambiente completamente senza password non avviene dall’oggi al domani, soprattutto in contesti enterprise. Tra le sfide ci sono:

• Compatibilità applicativa: Molte applicazioni legacy supportano solo username/password e non sono pronte per metodi moderni. Bisogna pianificare aggiornamenti o implementare soluzioni ponte (ad esempio, mantenere per esse una password secondaria o usare un federator/IdP per autenticare passwordless lato IdP e poi passare un token all’app legacy). Spesso le aziende iniziano dal passwordless per sistemi cloud e recenti, mantenendo ancora le password dove strettamente necessario fino a poter migrare anche quegli ultimi.
• Cultura e abitudine: Alcuni utenti e persino admin all’inizio possono diffidare: “Davvero tolgo la password? E se qualcosa va storto?”. Serve formazione e comunicazione per spiegare il funzionamento e rassicurare che ci sono procedure di backup. In realtà, molti utenti apprezzano subito la comodità, ma è importante guidarli nella registrazione dei nuovi metodi.
• Gestione degli scenari di emergenza: Cosa succede se un utente perde il suo telefono o la sua chiave di sicurezza? Bisogna predisporre metodi di recupero: ad esempio, abilitare almeno due metodi passwordless per utente (così se perdo il telefono posso usare la YubiKey, o viceversa), e avere procedure di verifica identità. Microsoft Entra ID consente, ad esempio, di avere l’Authenticator e una chiave FIDO2 entrambi registrati per lo stesso account, e offre la reimpostazione tramite amministratore o flussi di recovery controllati.
• Transizione graduale (Journey): Microsoft suggerisce un percorso a tappe per diventare passwordless. Si parte dall’abilitare i metodi (FIDO2, Hello, Authenticator) affiancandoli alle password; poi si lavora per ridurre l’input password necessario (SSO, sessioni lunghe); quindi si passa a far sì che gli utenti non usino praticamente più le password (login interattivi solo con metodi alternativi, ma la password esiste ancora come fallback); infine, quando possibile, si eliminano proprio (disabilitando l’autenticazione via password per quegli account). Ogni fase porta benefici e feedback utili per la successiva. Durante il percorso, è fondamentale monitorare e raccogliere i dati: quali percentuali di login sono passwordless vs password? Ci sono utenti che non riescono ad adottarlo? Quali sistemi legacy rimangono? – Così da affinare la strategia.

Passwordless in chiave Microsoft Entra ID (Azure AD)

Microsoft è stata tra i pionieri del movimento passwordless enterprise. Già dal 2019 ha abilitato il supporto per chiavi FIDO2 in Azure AD e l’ha portato anche su Windows 10 (Windows Hello for Business). Oggi Entra ID offre tre principali opzioni passwordless: Windows Hello, chiavi di sicurezza FIDO2 e Authenticator. Un amministratore può attivarle nel menu “Authentication Methods” del portale Entra ID e scegliere chi può registrarle. Vediamo brevemente:

• Windows Hello for Business: Permette agli utenti di accedere ai propri dispositivi Windows e automaticamente alle risorse aziendali Azure AD tramite autenticazione biometrica o PIN. Dietro le quinte, al momento del provisioning su un dispositivo, viene creata una coppia di chiavi legata a quell’utente e salvate nel TPM del dispositivo. Da allora, quando l’utente fa Hello (volto/impronta/PIN), il dispositivo firma con un token di autenticazione Azure AD al posto della password. Il PIN Hello è locale al device e inutile altrove, e la biometria non esce mai dal modulo TPM: quindi è altamente sicuro. Per l’utente, accedere al PC con Hello è molto più rapido che con la password, e l’SSO lo autentica su Office 365, SharePoint, Teams ecc. senza ulteriori credenziali.
• Chiavi di sicurezza FIDO2: Azure AD consente di registrare YubiKey e simili direttamente come metodo di login. L’esperienza tipica: all’avvio del PC su schermata di login, l’utente inserisce la chiave, tocca il pulsante e inserisce il PIN della chiave -> Windows lo autentica su Azure AD e logga l’utente. Oppure su un’app web, dopo aver messo l’username, si sceglie “Use security key” -> compare un prompt browser che invita a inserire/toccare la chiave -> autenticato! Queste chiavi sono molto apprezzate per amministratori e sviluppatori, ma stanno diventando più comuni anche per utenti normali grazie al costo in calo.
• Microsoft Authenticator (passwordless phone sign-in): L’app Authenticator offre una modalità per account Azure AD e Microsoft che permette di utilizzare il telefono come metodo di accesso. In questa modalità, quando l’utente prova il login, riceve sul telefono una schermata con tre numeri di cui uno coincide a quello mostrato sul PC (oppure deve digitare lo stesso numero visualizzato sulla richiesta di autenticazione): deve selezionare il giusto e confermare. In più, per sbloccare l’operazione, deve aver impostato un PIN o riconoscimento biometrico sull’app. Questo flusso elimina completamente la necessità di password.

Un dato interessante: nel 2020 Microsoft ha annunciato che più di 150 milioni di utenti effettuavano accessi passwordless ogni mese sui suoi servizi. Questo include sia utenti aziendali Azure AD sia account consumer Microsoft che avevano attivato l’opzione. Ciò dimostra che la tecnologia è pronta e scalabile: decine di milioni di persone l’hanno già usata senza problemi. Nel 2021, hanno persino introdotto la possibilità per gli account Microsoft personali di rimuovere la password e usare solo metodi alternativi. Satya Nadella in un keynote ha detto: “Stiamo rendendo il futuro senza password una realtà – sarà più sicuro per tutti”.

Riassumendo i benefici

Per un IT manager implementare il passwordless significa ridurre in modo importante il rischio di breach (niente password = niente phishing efficace, niente password deboli = niente brute force, niente reuse = isolamento di ogni account) e allo stesso tempo liberarsi di una marea di oneri di gestione password. Per un utente finale significa non dover più ricordare decine di password complesse: accede con strumenti più intuitivi e moderni (riconocimento facciale, impronta digitale, chiavi) e quindi sbaglia di meno e semplifica la UX. Per l’azienda nel suo insieme aumenta la produttività (meno tempi morti per reset/login) e la sicurezza (meno incidenti da gestire, meno rischi reputazionali e finanziari). Non sorprende quindi che “passwordless” sia una delle parole chiave di tendenza nelle ricerche di sicurezza informatica enterprise e nei piani di adozione IT del 2023-2025.

Microsoft Entra ID: MFA e Passwordless integrati per l’Enterprise

Microsoft Entra ID è una piattaforma di identità unificata, progettata per essere il punto centrale di autenticazione. Con Entra ID, un’organizzazione può:

• Abilitare facilmente MFA per tutti (es. con uno switch o con i Security Defaults) e personalizzarne le condizioni con Conditional Access,
• Eliminare le password gradualmente usando Windows Hello, FIDO2, Authenticator in parallelo con le credenziali classiche,
• Dare agli utenti un’esperienza di Single Sign-On: l’utente si autentica una volta con MFA/passwordless e poi accede a decine di applicazioni senza ulteriori prompt, grazie ai token SSO (OAuth/OpenID Connect) gestiti da Entra ID. Ciò non solo è comodo per l’utente, ma riduce drasticamente il numero di password in circolazione (non serve avere credenziali separate per ogni applicazione federata).
• Applicare controlli di Identity Protection: Entra ID sfrutta l’AI su enormi quantità di dati (analizza oltre 40 TB di segnali di sicurezza delle identità al giorno) per rilevare se un login è rischioso (es. impossible travel, IP sospetto, device compromesso) e in tal caso può automaticamente richiedere MFA aggiuntiva o bloccare l’accesso. Questo lavora in tandem con le policy definite dall’azienda.
• Offrire funzionalità come Self-Service Password Reset (SSPR) che, pur riguardando ancora le password, funzionano meglio se c’è MFA (per verifica) e tendono a ridurre l’interazione con il supporto.
• Rispettare requisiti di compliance: log accurati di chi accede e come, report di utilizzo MFA, utenti con metodi di autenticazione registrati, etc., utili per audit e governance.

Conditional Access: Vale la pena sottolineare ancora la centralità di Conditional Access in Entra ID. Esso consente di creare regole molto granulari: ad esempio “richiedi MFA se ruolo=amministratore OR se accesso da Paese anomalo OR se device non gestito”. Oppure “blocca autenticazione legacy (POP/IMAP) se l’utente non ha fatto MFA almeno una volta”. Le policy di Conditional Access rendono dinamica l’autenticazione: invece di “o sempre MFA o mai MFA”, c’è “MFA quando utile e necessario”. Ad esempio, un utente con dispositivo compliant e su rete aziendale potrebbe accedere semplicemente senza ulteriori verifiche; ma allo stesso utente su PC personale a casa viene richiesto un challenge aggiuntivo.

Integrazione con altre soluzioni Microsoft: Entra ID fa parte della famiglia di prodotti Microsoft Entra che comprende, tra l’altro, Entra Permissions Management e Entra Verified ID. Anche senza uscire dal dominio identità, Entra ID si integra strettamente con Microsoft 365, EMS (Enterprise Mobility + Security), Intune, Defender, Sentinel etc. Ad esempio: Intune può valutare lo stato di conformità di un device e passarne il risultato a Entra ID, che tramite Conditional Access consente o meno l’accesso (scenario device compliance required). Oppure, Defender for Cloud Apps (MCAS) può interagire con Entra ID per imporre policies in tempo reale (es: se l’utente sta scaricando troppi file confidenziali, MCAS può avvisare Entra ID che inietterà un controllo o terminerà la sessione). Tutto ciò arricchisce l’esperienza di sicurezza oltre la semplice autenticazione: l’utente accede facilmente e in sicurezza, e anche dopo l’accesso le sue azioni sono protette e monitorate senza soluzione di continuità. In particolare, Entra ID + Conditional Access sono un abilitatore fondamentale del modello Zero Trust, dove non ci si fida mai implicitamente di niente e si verifica esplicitamente ogni accesso in base a contesto e rischio.

Dal punto di vista dell’utente finale e dell’amministratore: Cosa vede un utente in un’organizzazione che ha adottato Entra ID con MFA e autenticazione passwordless? Probabilmente, per accedere alle risorse aziendali non inserisce più nessuna password. Usa il proprio badge o telefono per autenticarsi. L’accesso a email, SharePoint, Teams, CRM, ecc. avviene fluidamente dopo un unico login centrale (SSO). Quando c’è qualche anomalia (lo stesso utente da un nuovo dispositivo magari), il sistema richiede una verifica aggiuntiva. Dal lato amministratore, la console Entra ID mostra analytics aprofonditi: quanti utenti usano l’autenticazione passwordless, quanti login a rischio sono stati bloccati, quali app sono più utilizzate. L’amministratore può verificare se qualcuno ha troppi login falliti (forse tentativi malevoli?) e reagire. Inoltre, grazie a report e punteggi, l’admin può motivare ulteriori miglioramenti: ad esempio, spingere i pochi rimasti che non hanno registrato l’app Authenticator a farlo, o imporre MFA a gruppi finora esclusi.

In sintesi, Microsoft Entra ID fornisce gli strumenti sia per massimizzare la sicurezza (MFA, passwordless, policy condizionali, intelligence) che per ottimizzare la user experience.

Best practice per l’adozione del passwordless

• Stabilisci una roadmap graduale verso il passwordless: Come discusso, è sconsigliabile passare da “tutte password” a “zero password” in un colpo solo in una realtà medio-grande. Pianifica un Passwordless Journey a step.
• Identifica e affronta le eccezioni (app legacy, scenari offline, etc.): Fai un assessment delle applicazioni e dei casi d’uso dove il passwordless potrebbe incontrare ostacoli. Esempi: vecchio gestionale che non supporta SAML/OIDC, utenti che accedono via SSH (qui magari userai certificati o chiavi SSH), etc. Per ogni eccezione, valuta soluzioni (ad esempio utilizza Azure AD Application Proxy come front-end verso le app legacy, disabilita protocolli obsoleti quali POP/IMAP, etc.)
• Per emergenze, definisci procedure chiare. Ad esempio, se l’intera infrastruttura Entra ID avesse un problema, tieni un paio di account di break-glass con password (super complesse, memorizzate offline) esclusi da MFA per poter intervenire (fortemente consigliato per account amministratori). Questi account vanno protetti e usati solo se tutto il resto fallisce.
• Prepara un piano di training e adoption per tutti gli utenti: Similmente alla MFA, anche per il passwordless ci vuole comunicazione e training. Molti utenti potrebbero dire “non ci credo che non devo più mettere la password, ma è sicuro?”. Spiega la tecnologia in termini semplici: ad esempio, “la sicurezza è nel tuo dispositivo/biometria, che è molto più difficile da rubare di una password, quindi stai più al sicuro tu e l’azienda”. Organizza demo per mostrare, ad esempio, come si accede con una chiavetta o con Hello.

Seguire queste best practice aiuterà a mitigare i problemi che dovessero insorgere e ad assicurare che la transizione sia un successo.

Per concludere

• L’autenticazione passwordless rappresenta il passo successivo e complementare: rimuovere del tutto le password statiche a favore di metodi più robusti (biometria, chiavi crittografiche). Questo non solo risolve i rischi di password deboli/rubate, ma migliora la user experience – rendendo il login più rapido e senza stress.
• Microsoft Entra ID (Azure AD) fornisce un ecosistema unificato per orchestrare tutto ciò: dalle policy MFA alle soluzioni passwordless, fino al monitoraggio con Conditional Access. È uno strumento potente che incarna la filosofia Zero Trust (“non fidarti di default, verifica sempre, concedi privilegi minimi”). Attraverso Entra ID, un’azienda può implementare MFA per tutti e passwordless per chi è pronto, ottenendo protezione e semplicità d’uso. E il tutto si integra con il resto dei servizi Microsoft 365 e non solo, facilitando la gestione centralizzata delle identità.

Per i professionisti IT e i decision-maker enterprise che leggono: il messaggio è chiaro. Investire in MFA e passwordless non è più opzionale, è una necessità per stare al passo con le minacce. Ma è anche un’opportunità per offrire un servizio migliore agli utenti interni. Dimentichiamo l’epoca in cui “sicurezza” significava “scomodità”: oggi sicurezza ben progettata può significare esperienza d’uso migliorata. Questo è uno dei motivi per cui termini come Entra ID MFA, Entra ID passwordless, Passwordless Authentication stanno scalando le classifiche tra i termini più ricercati: tutti ne parlano e vogliono saperne di più, perché promuovono un raro win-win per utenti e aziende.

In definitiva, stiamo entrando in una nuova era dell’autenticazione: un’era in cui le password, inventate negli anni ’60, cedono il passo a soluzioni più adatte al 2020+. In un mondo dove ogni minuto conta (anche perché “cybercrime costerà 2.9 milioni di dollari al minuto nel 2025” secondo il WEF), eliminare i problemi e le vulnerabilità legate alle password è un passo che non possiamo permetterci di non compiere.

Per leggere gli altri articoli della serie:

Yooda | Blog | Microsoft Entra ID, MFA e Passwordless: sicurezza delle password

Yooda | Blog | Semplificare l’autenticazione: perchè Azure AD MFA

Contattaci per una consulenza gratuita

Siamo al tuo fianco per supportarti al meglio nell’efficientamento della tua azienda; ascoltando le tue richieste possiamo sviluppare integrazioni e workflow atti a migliorare i tuoi processi di business e la tua user-experience. Ti offriamo una consulenza gratuita di 30 minuti, in cui potrai esporre le tue esigenze e i tuoi obiettivi. Basta compilare questa form per essere contattato: https://forms.office.com/e/7r53YsD3U6