La centralidad que juegan los sistemas digitales en cualquier negocio, sumado a la sensibilidad y el carácter estratégico de la información que gestionan la mayoría de las organizaciones, hacen de la ciberseguridad una de las áreas cruciales del panorama TIC actual. En este contexto, el constante aumento de los ciberataques basados ​​en el robo de credenciales o la sustitución de cuentas exige una evolución continua de los métodos de autenticación de usuarios, para evitar el impacto mucho mayor que, a su vez, una intrusión puede tener en la seguridad de los sistemas de la empresa.

En particular, los estándares de seguridad actuales hacen imprescindible la adopción de técnicas denominadas MFA (Multi-Factor Authentication), donde se adoptan múltiples elementos de seguridad simultáneamente para verificar la identidad del usuario y la autenticidad del acceso: otros factores de seguridad se combinan con la contraseña, como los de “de conocimiento” (como PIN o preguntas secretas), “de posesión” (como tarjetas de la empresa o tokens) o “híbridos”, como contraseñas de un solo uso (OTP), que el usuario recibe en un dispositivo o cuenta.

Sin embargo, estos sistemas también están sujetos a vulnerabilidades que dependen en parte de comportamientos incorrectos, imprudencias o la inevitable posibilidad de errores o distracciones por parte de los usuarios al garantizar la protección y robustez de sus credenciales. Por este motivo, no es secundaria la necesidad de adoptar flujos de trabajo de autenticación que además sean «amigables», garantizando a los usuarios un proceso rápido y sencillo que implícitamente les ayude a mantener buenas prácticas de seguridad.

FIDO2 es un estándar abierto para autenticación en línea (Web/Nube) desarrollado por FIDO Alliance («Fast IDentity Online«) específicamente para superar algunas vulnerabilidades de soluciones MFA anteriores y proporcionar, al mismo tiempo, una experiencia de inicio de sesión más fácil y práctica para usuarios, sin requerir el ingreso de un nombre de usuario y contraseña, garantizando al mismo tiempo múltiples factores de seguridad.

Al aprovechar los factores de «posesión» y «presencia» (dispositivos certificados FIDO2 que el usuario debe poseer y/o acciones que deben realizarse físicamente en dichos dispositivos, como la detección de parámetros biométricos), FIDO2 permite prescindir de los mecanismos de OTPs, a menudo percibidos como engorrosos y que requieren pasar los números personales de los usuarios o dispositivos fuera del ámbito de control de las políticas de seguridad de la empresa. Además, en el estándar FIDO2 se evita cualquier necesidad de almacenar o mantener accesibles en los servidores, si no están conectados localmente, los factores de seguridad involucrados en el proceso de autenticación (como ocurre con los tokens tradicionales), para ser inmunes a ataques externos o remotamente.

Los productos Praim basados ​​en ThinOX y Windows ahora también soportan la activación de flujos de trabajo de autenticación de usuarios multifactor basados ​​en FIDO2, incluso en infraestructuras Cloud que integran las tecnologías más avanzadas del mercado. Por ejemplo, es posible utilizar puntos finales de Praim con dispositivos USB FIDO2 para la autenticación dentro de una infraestructura de escritorio virtual (VDI) en la nube de Citrix en Azure de Microsoft, sin la necesidad de ingresar una contraseña. En este caso, el inicio de sesión del usuario FIDO2 puede transmitirse mediante Microsoft Entra ID con «transferencia» al escritorio virtual.

La gestión de los dispositivos FIDO2 se realiza a través del portal de Microsoft (Azure) que puede actuar como punto único de autenticación de usuarios tanto para Citrix como para otras herramientas de colaboración (como Office 365, Teams,…). Una vez en sesión, es posible continuar usando FIDO2 también para autenticarse en otros servicios o portales web a los que accede el usuario, ya que todas las interacciones con el dispositivo FIDO2 son administradas por el cliente de la aplicación Citrix Workspace, que transmite la información de forma siempre segura a través del canal virtual correspondiente.

También es posible personalizar la experiencia de autenticación con seguridad/protección incremental y máxima flexibilidad de uso, por ejemplo, decidiendo qué modelo de dispositivo/tecnología FIDO2 solicitar para la autenticación o estableciendo « Key Restriction Policies » que limiten solo el uso de dispositivos que soportan reconocimiento biométrico.

Para saber más sobre la integración de FIDO2 en los productos Praim: