YubiKey intermittente su Windows 11: guida completa FIDO2/WebAuthn per risolvere “unable to read your key”

Le tue YubiKey funzionano bene su macOS ma su Windows 11 diventano intermittenti con errori tipo “unable to read your key” o “unable to authenticate”? Questa guida pratica ti aiuta a individuare la causa (USB, driver, browser, policy, aggiornamenti) e a ripristinare FIDO2/WebAuthn.

Indice

Scenario e sintomi

Un’utente segnala che da circa una settimana le proprie chiavi di sicurezza fisiche (YubiKey) su Windows 11 vengono riconosciute a giorni alterni. In alcune sessioni il browser o il sistema visualizza richieste di tocco ma fallisce la lettura (“unable to read your key”). In altre, non accade nulla al momento dell’autenticazione. Il sospetto più comune è un aggiornamento di Windows o di driver che abbia modificato il comportamento dello stack USB o di WebAuthn.

Perché accade (in breve)

  • Porte USB e alimentazione: hub passivi, docking instabili, USB selective suspend o impostazioni di alimentazione possono interrompere i dispositivi HID come le chiavi FIDO.
  • Driver e aggiornamenti: update cumulativi o driver del controller USB (Intel/AMD/ASMedia) talvolta introducono regressioni.
  • Browser/WebAuthn: versioni del browser, estensioni o profili corrotti bloccano le richieste CTAP2.
  • Policy/antivirus: endpoint protection, criteri di gruppo e firewall a livello kernel possono filtrare classi USB o librerie WebAuthn.
  • Configurazione della chiave: profilo FIDO/U2F, PIN bloccato, interfacce USB (FIDO/OTP/CCID) disattivate o credenziali residenti incoerenti.

Mappa rapida cause → azioni

SintomoCausa probabileAzione consigliata
Il LED della YubiKey si accende ma il sito non chiede il toccoBrowser/estensioni; profilo utente corrottoProva in InPrivate/Incognito, disabilita estensioni, aggiorna il browser, crea un profilo nuovo
La chiave sparisce/riappare tra un riavvio e l’altroHub/dock, alimentazione USB, sospensione selettivaUsa porte posteriori della scheda madre o USB-A dirette, disattiva USB selective suspend, evita hub non alimentati
Funziona su un altro PC WindowsConflitto software locale o policyNuovo profilo locale, controlla antivirus/firewall, verifica GPO
Errore “PIN bloccato” o richieste PIN anomalePIN FIDO2 in stato di blocco, credenziali residentiVerifica con YubiKey Manager; se necessario, reset dell’app FIDO2 (dopo backup e consapevolezza della perdita credenziali)
Problemi solo con docking station o USB‑C/ThunderboltDriver Thunderbolt/USB4 o dock instabileAggiorna driver del produttore e firmware del dock; prova la porta del portatile direttamente
Problemi iniziati dopo un recente updatePatch di qualità o driverControlla “Cronologia aggiornamenti”, disinstalla l’ultimo update di test, applica driver/patch più recenti

Procedura completa di troubleshooting (Windows 11 + YubiKey)

Controllo fisico e porte USB

  1. Prova più porte: su desktop preferisci le porte posteriori collegate direttamente alla scheda madre. Evita hub USB non alimentati e le porte delle tastiere/monitor. Su notebook prova sia USB‑A sia USB‑C (con adattatore originale se serve).
  2. Evita dock e hub per il test: collega la YubiKey direttamente al PC. Se con connessione diretta funziona, indizi forti contro il dock/hub.
  3. Pulisci contatti e connettori: usa un panno asciutto/antistatico. Verifica che lo chassis della porta non “balli”.
  4. Gestione alimentazione USB:
    • Apri devmgmt.mscController USB → per ogni Hub USB generico / Hub radice USB (USB 3.x)Risparmio energiadisattiva “Consenti al computer di spegnere il dispositivo per risparmiare energia”.
    • Pannello di controlloOpzioni risparmio energiaModifica impostazioni combinazioneCambia impostazioni avanzateImpostazioni USBDisabilita Sospensione selettiva USB per la prova.

Aggiornamenti software e firmware

  1. Windows Update: Impostazioni → Windows UpdateVerifica disponibilità aggiornamenti. Applica sia aggiornamenti cumulativi sia gli aggiornamenti facoltativi (inclusi driver).
  2. Driver del controller USB: in devmgmt.msc individua il Controller host eXtensible USB (Intel/AMD/ASMedia). Aggiorna i driver. Su notebook con USB‑C/Thunderbolt, installa i driver specifici e il software gestione (es. “Thunderbolt Control Center”) del produttore.
  3. YubiKey Manager:
    • Verifica modello, versione firmware e interfacce USB abilitate (FIDO, OTP, CCID). Assicurati che l’interfaccia FIDO sia attiva.
    • Alcuni modelli YubiKey non prevedono aggiornamenti firmware in campo: usa YubiKey Manager per controllare lo stato e applicare eventuali impostazioni o reset applicativi (FIDO2) se necessario.

Browser, WebAuthn e sistema operativo

  1. Aggiorna il browser (Edge, Chrome, Firefox). Riavvia il PC dopo l’update.
  2. Incognito/InPrivate: ripeti l’autenticazione in una finestra senza estensioni. Se qui funziona, isola le estensioni/filtri (ad blocker, anti‑track, antivirus con plugin).
  3. Reimposta permessi del sito: nelle impostazioni del browser cancella dati/permessi del sito che fallisce l’accesso e riprova la registrazione/autenticazione della chiave di sicurezza.
  4. FIDO/WebAuthn attivo in Windows: Impostazioni → AccountOpzioni di accesso → sezione Chiave di sicurezza → assicurati che “Consenti l’uso di chiavi di sicurezza per accedere” sia attivato. Usa Gestisci per testare PIN e reimpostazione FIDO in ambiente Windows.

Test incrociato

  1. Altro PC Windows: collega la stessa YubiKey a un secondo computer Windows. Se funziona sempre, il problema è nel primo PC (software, driver, policy).
  2. Nuovo profilo locale: Impostazioni → AccountFamiglia e altri utentiAggiungi accountAccount locale. Effettua il test con il nuovo utente per escludere conflitti nel profilo originale.

Interferenze da sicurezza locale

  1. Antivirus/firewall di terze parti: disabilita temporaneamente moduli di protezione a basso livello (HIPS, “banking mode”, controllo tastiera USB) e riprova. Riattiva subito dopo il test.
  2. Endpoint Protection/GPO: verifica con l’IT l’assenza di policy che limitino:
    • Classi USB (HID, dispositivi di smart card/lettore virtuale della chiave).
    • L’uso di chiavi di sicurezza per l’accesso interattivo o sul web.
    • Accesso a librerie WebAuthn o CTAP2 tramite hardening aggressivo.

Riconfigurazione della chiave

  1. Rimuovi e ri‑registra la YubiKey negli account che falliscono (portali aziendali, servizi cloud, identity provider). Molti errori spariscono quando si rigenera l’associazione FIDO2.
  2. Verifica slot/funzioni:
    • Se la chiave ha più slot OTP (tocco breve/lungo) o più applicazioni, assicurati di non cambiare profilo accidentalmente durante l’uso.
    • In YubiKey Manager controlla che OTP, FIDO e CCID siano configurati come ti serve; per il solo uso FIDO2 puoi lasciare FIDO attivo e testare disattivando temporaneamente le altre interfacce per escludere conflitti.
  3. Reset FIDO2 (ultima istanza): in YubiKey Manager → ApplicationsFIDO2Reset. Attenzione: cancella PIN e discoverable credentials residenti sulla chiave; prima assicurati di avere una seconda chiave e codici di backup per tutti gli account.

Analisi degli errori

  1. Visualizzatore eventi: Registri applicazioni e serviziMicrosoftWindowsWebAuthN. Annota ID evento, origine, codice e timestamp.
  2. Traccia FIDO2: usa lo strumento FIDO2 Diagnostics di Yubico per raccogliere un trace riproducendo l’errore. Salva i log.
  3. Percorso rapido da PowerShell (facoltativo): Get-WinEvent -LogName "Microsoft-Windows-WebAuthN/Operational" -MaxEvents 100 | Sort-Object TimeCreated -Descending | Select-Object TimeCreated, Id, LevelDisplayName, Message Esporta l’output e allegalo a eventuali ticket di supporto.

Contattare Yubico

Se dopo i passaggi sopra il comportamento rimane intermittente, apri un ticket a Yubico allegando:

  • Modello YubiKey, firmware, numero di serie (se disponibile).
  • Versione di Windows 11 (winver), build, elenco ultimi aggiornamenti installati ed eventuali driver del controller USB.
  • Browser e versione, estensioni rilevanti.
  • Eventi WebAuthN e trace FIDO2.
  • Esito dei test incrociati (altro PC, nuovo utente, porte diverse).

Approfondimenti utili (FIDO2/WebAuthn su Windows 11)

U2F vs FIDO2: cosa cambia per la YubiKey

U2F è il predecessore di FIDO2/CTAP2. Alcuni servizi usano ancora U2F; altri richiedono FIDO2 per funzionalità passwordless e resident keys. In YubiKey Manager, la interfaccia USB FIDO copre entrambi: se la disattivi, il sistema non vedrà né U2F né FIDO2. Durante l’uso, un tocco lungo su alcune chiavi può attivare funzioni OTP: evita pressioni involontarie che incollano stringhe OTP nelle caselle di testo, confondendo il flusso WebAuthn.

Windows Hello + Security Key

Windows 11 integra l’uso delle chiavi di sicurezza nelle Opzioni di accesso. Assicurati che l’opzione sia abilitata e, se previsto dal tuo ambiente, che le policy locali/aziendali non la disattivino. Ricorda che Windows Hello (autenticatore di piattaforma) e chiavi di sicurezza (autenticatore roaming) sono due percorsi distinti: alcuni siti permettono di scegliere tra “Windows Hello” e “Security key”. Se sbagli selezione, l’autenticazione può fallire senza esporre messaggi chiari.

Docking station, USB4 e Thunderbolt

Le chiavi FIDO sono dispositivi HID a bassa banda ma molto sensibili a disconnessioni logiche. Dock instabili, cavi di scarsa qualità o driver datati provocano drop casuali. Se il problema sparisce collegando la YubiKey direttamente alla porta del portatile, aggiorna driver USB4/Thunderbolt, firmware del dock e usa cavi certificati.

Virtualizzazione e pass‑through USB

Se usi VMware/VirtualBox/Hyper‑V, verifica che nessuna VM catturi in pass‑through la YubiKey mentre navighi nel browser dell’host. Una VM connessa anche “spenta” può avere servizi in background che agganciano la periferica rendendola intermittente sull’host.

Gestione dispositivi e reinstallo pulito HID

  1. Apri devmgmt.msc e, dal menu Visualizza, abilita “Mostra dispositivi nascosti”.
  2. Sotto Dispositivi di interfaccia umana e Controller USB, Disinstalla tutti i dispositivi YubiKey e gli Hub USB “grigi” (non presenti) correlati.
  3. Riavvia: Windows ricreerà lo stack HID/USB pulito. Prova la YubiKey su una porta diretta.

Servizi Windows che conviene verificare

  • Gestione credenziali: non deve essere disabilitato.
  • Servizio crittografia: attivo (usato da provider di sicurezza).
  • Windows Update: operativo per ricevere fix a WebAuthn.

Ripristini mirati post‑aggiornamento

Se la regressione coincide con un update:

  1. Cronologia aggiornamenti: Impostazioni → Windows UpdateCronologia aggiornamenti.
  2. Disinstalla aggiornamento di qualità più recente per test. Se il problema sparisce, applica driver e patch più nuove appena disponibili e riprova l’update in un secondo momento.
  3. Driver del produttore: su sistemi con chipset USB particolari (AMD/Intel), installa i driver OEM oltre a Windows Update, specialmente per USB‑C/Thunderbolt.

Checklist operativa passo‑passo

  1. Prova porte USB diverse (dirette, posteriori, senza hub).
  2. Disabilita temporaneamente USB selective suspend e l’opzione “Consenti al computer di spegnere il dispositivo”.
  3. Aggiorna Windows (cumulativi + facoltativi) e i driver del controller USB/Thunderbolt.
  4. Aggiorna il browser e testa in finestra privata senza estensioni.
  5. Controlla in YubiKey Manager: interfaccia FIDO attiva, PIN valido; non cambiare profilo (U2F/OTP) per errore.
  6. Prova su un altro PC Windows e, sul PC problematico, con un nuovo profilo utente locale.
  7. Disabilita momentaneamente antivirus/firewall di terze parti e verifica eventuali GPO/Endpoint Protection.
  8. Se necessario, rimuovi/ri‑registra la chiave sugli account interessati.
  9. Consulta i log WebAuthN e raccogli una traccia FIDO2 Diagnostics per supporto.

FAQ tecniche

La chiave funziona su macOS ma non su Windows 11: è rotta?

Probabilmente no. La differenza sta nello stack USB e nei driver/policy. Se su un altro PC Windows funziona, il problema è software sul PC principale.

Posso aggiornare il firmware della YubiKey?

Molti modelli YubiKey non prevedono aggiornamenti firmware sul campo. Usa YubiKey Manager per verificare la versione e gestire applicazioni/interfacce (FIDO/OTP/CCID); se il tuo modello supporta operazioni specifiche, l’app te le proporrà. Mantieni comunque aggiornati Windows, driver e browser.

È sicuro disattivare la sospensione selettiva USB?

È un test diagnostico. Se risolve, puoi lasciare disattivata l’opzione o creare un piano energia dedicato per quando usi la YubiKey. In ambienti aziendali, verifica le policy di risparmio energetico.

Ho bloccato il PIN FIDO2

Dopo alcuni tentativi errati, la chiave richiede un reset FIDO2. Prima di farlo, assicurati di avere una seconda chiave e codici di recupero per ogni servizio. Il reset rimuove tutte le credenziali residenti.

Quando conviene re‑registrare la chiave sugli account?

Subito dopo aver escluso problemi di porte/driver. La ri‑registrazione elimina associazioni corrotte lato servizio e spesso risolve gli “unable to authenticate”.


Esempi di comandi utili

Mostra ultimi eventi WebAuthN (PowerShell come amministratore)

Get-WinEvent -LogName "Microsoft-Windows-WebAuthN/Operational" -MaxEvents 50 |
  Sort-Object TimeCreated -Descending |
  Format-Table -AutoSize

Elenco dispositivi HID e stato

Get-PnpDevice -Class HIDClass | Sort-Object -Property Status, FriendlyName | Format-Table -AutoSize

Driver USB installati

pnputil /enum-drivers | findstr /i "usb xhci uasp asmedia intel amd"

Modello di ticket per il supporto Yubico

Oggetto: YubiKey intermittente su Windows 11 – errori “unable to read/authenticate”

Modello YubiKey: (es. 5C NFC)
Firmware: (da YubiKey Manager)
Numero di serie: (se disponibile)

Windows 11: Edizione/Build (da winver)
Aggiornamenti recenti: (data e ID patch)
Driver USB/Thunderbolt: (versione/controller)

Browser: (nome + versione)
Estensioni di sicurezza: (elenco)

Riproducibilità: (sempre/spesso/a giorni alterni)
Ambiente: (porta diretta/Hub/Dock)
Altri PC testati: (sì/no – esito)

Log allegati: (WebAuthN Event Viewer + FIDO2 Diagnostics)
Note: (qualsiasi dettaglio utile)

Best practice per evitare ricadute

  • Tieni due chiavi registrate per ogni account critico (principale + di backup).
  • Conserva codici di recupero stampati/offline.
  • Aggiorna regolarmente Windows, browser e driver USB/Thunderbolt.
  • Evita hub economici: preferisci porte dirette e dock alimentate di qualità.
  • In mobilità, proteggi connettore e porta (custodie, adattatori corti di buona fattura).

Conclusioni

Le instabilità di YubiKey su Windows 11 sono quasi sempre imputabili a una combinazione di stack USB, driver/aggiornamenti, browser e policy di sicurezza. La check‑list proposta — porte USB dirette, gestione energia, aggiornamenti, test incognito, profilo nuovo, esclusione antivirus, riconfigurazione e analisi log — consente di isolare rapidamente la causa. Nella maggior parte dei casi, l’aggiornamento congiunto di driver USB e della configurazione della chiave (interfaccia FIDO abilitata, eventuale ri‑registrazione) ripristina un funzionamento stabile. Se il problema persiste, i log WebAuthN e una traccia FIDO2 danno a Yubico gli elementi per confermare incompatibilità note o segnalare un bug legato a un update recente.


Riferimento sintetico ai passaggi originali

  1. Controllo delle porte USB: prova porte diverse (anche posteriori), evita hub non alimentati e pulisci i contatti.
  2. Aggiornamenti software e firmware: installa ultimi driver USB e aggiornamenti Windows; in YubiKey Manager verifica versione e applicazioni, aggiornando impostazioni se disponibili.
  3. Browser e sistema operativo: aggiorna Edge/Chrome/Firefox; assicurati che FIDO/WebAuthn sia attivo e applica eventuali patch facoltative legate a FIDO2.
  4. Test incrociato: prova la stessa chiave su un altro PC Windows; crea un profilo locale temporaneo per escludere conflitti utente.
  5. Interferenze da sicurezza locale: disabilita momentaneamente antivirus/firewall; verifica GPO/Endpoint Protection aziendali che limitano le chiavi.
  6. Riconfigurazione della chiave: rimuovi e ri‑registra; se hai più slot, prova lo slot secondario; ripristina ai valori di fabbrica solo con backup dallato.
  7. Analisi degli errori: consulta i log in WebAuthN e cattura un trace con FIDO2 Diagnostics.
  8. Contattare Yubico: se persiste, apri ticket con tutti i log e dettagli raccolti.

Appendice: accorgimenti extra che fanno la differenza

  • Windows Hello + Security Key: verifica l’opzione “Consenti l’uso di chiavi di sicurezza per accedere”. Usa Gestisci per testare PIN e reimpostazioni senza passare dal browser.
  • Modalità firmware U2F/FIDO2: alcune chiavi possono variare comportamento con pressioni prolungate; evita di cambiare profilo non intenzionalmente durante la procedura.
  • Driver di chipset: su portatili con controller USB‑C Thunderbolt installa i pacchetti Intel/AMD ufficiali oltre a Windows Update.

Seguendo questa check‑list si isolano nella quasi totalità dei casi le incompatibilità software/hardware; nella pratica, l’aggiornamento combinato di driver USB e la riconfigurazione della YubiKey (interfaccia FIDO abilitata, eventuale ri‑registrazione) ripristina un comportamento stabile e prevedibile su Windows 11.

Indice