La centralità che i sistemi digitali ricoprono, ormai, in qualsiasi business, oltre alla sensibilità e strategicità delle informazioni gestite dalla gran parte delle organizzazioni, rendono la cyber-security una delle aree cruciali dell’attuale panorama ICT. In questo contesto, il costante aumento degli attacchi informatici basati sul furto di credenziali o sulla sostituzione di account, impongono una continua evoluzione delle modalità di autenticazione degli utenti, per scongiurare l’impatto ben maggiore che, a catena, un’intrusione può avere sulla sicurezza dell’infrastruttura IT aziendale.

In particolare, gli attuali standard di sicurezza rendono indispensabile adottare tecniche dette MFA (Multi-Factor Authenticationdove più elementi di sicurezza vengono adottati simultaneamente per verificare l’identità dell’utente e la genuinità dell’accesso: alla password vengono abbinati altri fattori di sicurezza di conoscenza (come PIN o domande segrete), o di possesso (come card aziendali o token) o ibridi, come le One-Time-Password (OTP), che vengono ricevute dall’utente su un dispositivo o account.

Tuttavia, anche questi sistemi sono soggetti a vulnerabilità che in parte dipendono anche da comportamenti scorretti, imprudenza o dall’inevitabile possibilità di errori o distrazioni degli utenti nel garantire protezione e robustezza delle proprie credenziali. Per questo non è secondaria la necessità di adottare workflow di autenticazione che siano anche “amichevoli”, garantendo agli utenti un processo veloce e semplice che li coadiuvi implicitamente nel mantenimento di buone prassi di sicurezza.

FIDO2 è uno standard aperto per l’autenticazione online (Web/Cloud) sviluppato dalla FIDO Alliance (“Fast IDentity Online“) proprio per superare alcune vulnerabilità delle precedenti soluzioni MFA e fornire, al contempo, un’esperienza di login più facile e pratica per gli utenti, non richiedendo l’inserimento di nome utente e password, pur garantendo fattori di sicurezza multipli.

Facendo leva su fattori di “possesso” e di “presenza” (dispositivi certificati FIDO2 che l’utente deve possedere e/o azioni da fare fisicamente sul tali dispositivi, come il rilevamento di parametri biometrici), FIDO2 consente di fare a meno dei meccanismi di OTP, spesso percepiti come macchinosi e che non di rado richiedono di passare attraverso numeri o dispositivi personali degli utenti fuori dalla sfera di controllo delle policy di sicurezza aziendali. Nello standard FIDO2, inoltre, è evitata ogni necessità di memorizzare o mantenere accessibili sui server, se non collegati in locale, i fattori di sicurezza implicati nel processo di autenticazione (come invece avviene per i tradizionali token), così da rendersi immuni da attacchi esterni o da remoto.

Ora anche i prodotti Praim basati su ThinOX e Windows supportano l’attivazione dei workflow di autenticazione utente multi-factor basati su FIDO2, anche sulle infrastrutture Cloud che integrano le tecnologie più avanzate sul mercato. Ad esempio è possibile utilizzare gli endpoint Praim con dispositivi USB FIDO2 per l’autenticazione all’interno di una infrastruttura a Desktop Virtuale (VDI) Citrix cloud su Azure di Microsoft, senza necessità di digitare password. In questo caso il login utente FIDO2 può essere veicolato da Entra ID di Microsoft con “pass-through” al desktop virtuale.

La gestione dei dispositivi FIDO2 viene effettuata sul portale di Microsoft (Azure) che può fungere da punto unico per l’autenticazione degli utenti sia per Citrix che per gli altri strumenti di produttività e collaborazione (come Office 365, Teams,…). Una volta in sessione, è poi possibile continuare a usare FIDO2 anche per autenticarsi sugli altri servizi o portali web acceduti dall’utente, in quanto tutte le interazioni con il dispositivo FIDO2 vengono gestite dal client Citrix Workspace App, che ne trasmette le informazioni in maniera sempre sicura tramite l’apposito virtual channel.

È possibile anche personalizzare l’esperienza di autenticazione con incrementalità di sicurezza/protezione e la massima flessibilità d’uso, ad esempio decidendo quale modello di dispositivo/tecnologia FIDO2 richiedere per l’autenticazione o impostando delle “Key Restriction Policy” che limitino al solo utilizzo di dispositivi che supportano il riconoscimento biometrico.

Per saperne di più sull’integrazione di FIDO2 nei prodotti Praim: