Passkey come 2FA (obbligatoria)

È possibile accettare un’iscrizione Passkey come 2FA?

Stiamo utilizzando Windows Hello come provider di passkey della piattaforma per il nostro personale, e questo funziona bene (l’iscrizione a volte non riconosce che la piattaforma ha un TPM locale in Hello e quindi Edge offre solo l’iscrizione tramite codice QR. Non ho ancora capito cosa causi questo problema, ma immagino sia un problema di Windows o EntraID, quindi non è importante per questa domanda.)

Comunque, poiché il nostro personale ora ha accessi senza password, potrei finalmente rendere obbligatorio il 2FA per gli accessi. Tuttavia, questo non funziona realmente per le persone che hanno solo una password di account locale e una passkey (nessun autenticatore o chiave di sicurezza), viene ancora chiesto loro di fornire un metodo 2FA aggiuntivo.

Mi aspetterei che accetti le Passkey (almeno se l’user agent conferma di aver verificato la presenza o il secondo fattore).

È possibile abilitare/accettare questo? Posso magari accettarlo solo per il mio archivio Passkey aziendale in WHfB?

Ho visto un commento secondo cui è possibile registrare una passkey come chiave di sicurezza 2FA (di nuovo), è questa la strada da percorrere (vorrei evitarlo a causa dei problemi di iscrizione sopra descritti, non sono ancora riuscito a testarlo).

Sì, questo è nella nostra lista delle cose da fare. Questo sarebbe un miglioramento dell’usabilità, poiché i browser ora raggruppano passkey e security key. E non ci sono svantaggi in termini di sicurezza, sotto il cofano una passkey è la stessa di una security key, l’unica differenza è che una passkey può essere utilizzata per l’accesso senza password.

qual è il protocollo qui, dovrei accettarlo come risposta o aspettare che venga implementato?

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.