Negli ambienti digitali, la sicurezza è fondamentale, data l’importanza delle informazioni gestite e la crescente minaccia degli attacchi informatici. La necessità di proteggere gli account degli utenti ha portato all’adozione di tecniche di autenticazione multi-fattore (MFA), che combinano diversi elementi di sicurezza per verificare l’identità degli utenti e garantire l’accesso legittimo. Alla password vengono tradizionalmente, infatti, abbinati altri fattori di sicurezza: di conoscenza (PIN o domande segrete), di possesso (card aziendali o token) o ibridi, come le One-Time-Password (OTP) ricevute dall’utente su un dispositivo in suo possesso.
Tuttavia, anche le soluzioni MFA presentano vulnerabilità e criticità dovute a comportamenti scorretti degli utenti. Per affrontare queste sfide, lo standard aperto per l’autenticazione online web e cloud FIDO2 è emerso come una soluzione innovativa, sviluppata dalla FIDO Alliance (“Fast IDentity Online”) per innalzare la sicurezza attraverso l’uso di dispositivi certificati e l’adozione di metodi di crittografia avanzati. La peculiarità di FIDO è, inoltre, utilizzare fattori di sicurezza diversi dal consueto, meno esposti alle vulnerabilità introdotte dal comportamento umano, perché più rapidi e semplici per l’utente rispetto, ad esempio, all’uso di un OTP.
L’integrazione di FIDO2 nei prodotti Praim, azienda globale che sviluppa soluzioni software per la creazione e gestione automatizzata e scalabile di postazioni di lavoro e soluzioni hardware Thin Client, consente agli utenti di autenticarsi in modo sicuro e pratico, anche su ambienti cloud avanzati. Ora, infatti, anche i prodotti Praim supportano l’utilizzo di dispositivi per l’autenticazione in ambienti VDI conformi con i workflow FIDO2. Recentemente, sugli endpoint sia con Windows 10 IoT personalizzato Praim sia con sistema operativo Linux-based ThinOX, l’azienda ha integrato e verificato il funzionamento dei dispositivi FIDO2 su Citrix Cloud, per aumentare sicurezza e usabilità nella fase di autenticazione.
Il caso d’uso avanzato creato e testato da Praim integra tecnologie allo stato dell’arte e sostituisce la classica l’autenticazione basata esclusivamente su nome utente e password di dominio con un workflow FIDO2 gestito tramite Entra ID di Microsoft. In questo caso, gli utenti possono usare un dispositivo personale FIDO2 gestito sul portale di Microsoft. Entra ID, oltre a mediare gli accessi al VDI Citrix, può essere usato come servizio unico di identità per gestire il login su altri strumenti di produttività e collaborazione usati in azienda, tra cui Office 365 e Microsoft Teams.
Nel processo di enrollment, l’utente viene configurato sul portale Azure per l’accesso utilizzando una chiavetta USB FIDO2 e successivamente si registra con una specifica chiavetta assegnata. Nel caso d’uso Praim è stata assegnata all’utente una chiavetta USB che consente un workflow di autenticazione a tre fattori e che non necessita di password: oltre al possesso del dispositivo FIDO2 (la chiavetta USB) richiede un’interazione fisica, attraverso la pressione di un pulsante sulla chiavetta stessa, e l’inserimento di un tipico PIN.
Questa configurazione offre un livello di protezione “forte” contro gli attacchi dall’esterno o remoti, poiché per completare l’autenticazione è richiesta la presenza fisica dell’utente, e gli elementi di sicurezza contenuti sull’USB non sono accessibili se non nel momento dell’autenticazione. Tuttavia, potrebbe non essere sufficiente contro gli attacchi di utenti interni malevoli. Per questi l’uso di una chiavetta FIDO2 con riconoscimento biometrico, come l’impronta digitale, può aumentare ulteriormente la sicurezza.
Le organizzazioni possono personalizzare l’esperienza di autenticazione anche attraverso le “Key Restriction Policies”, che consentono di impostare livelli minimi di sicurezza specificando quali caratteristiche devono avere i dispositivi FIDO2 ammessi, ad esempio essere dotati di riconoscimento biometrico o di determinate modalità di connessione (USB o NFC).
Nel contesto VDI è possibile configurare il pass-through delle credenziali tra il portale Citrix Cloud e le sessioni utente utilizzando il Citrix FAS (Federated Authentication Service). Ciò consente agli utenti di utilizzare la chiavetta FIDO2, attraverso un canale virtuale, sicuro per autenticarsi su altri programmi aziendali o portali web acceduti direttamente all’interno della sessione Citrix.
L’implementazione di FIDO2 offre un’opzione di autenticazione avanzata e sicura, consentendo alle organizzazioni di personalizzare e rafforzare la sicurezza informatica. Questo approccio non solo fornisce un livello aggiuntivo di sicurezza contro le minacce esterne, ma migliora anche l’esperienza degli utenti finali. La flessibilità delle policy di restrizione e il supporto per il pass-through delle credenziali contribuiscono a garantire un’esperienza fluida oltre che una solida difesa dai rischi di cyber security.
Di Michele Vescovi, R&D Manager di Praim
