Le frodi di “Account Takeover” o ATO (acquisizione illegittima di account) sono tra le minacce alla cyber-security più importanti sia per le aziende sia per i consumatori e sono in costante aumento.
Già in questo articolo abbiamo parlato dello standard di autenticazione FIDO2 e di come adotti soluzioni innovative per rendere l’autenticazione utente multi-fattore online (cloud/web) più robusta rispetto alle moderne modalità di attacco. In particolare, l’autenticazione FIDO2 sostituisce i consueti fattori di sicurezza basati sulla conoscenza con fattori di “possesso” e/o “presenza” e si basa su metodi di crittografia a chiave pubblica che escludono la memorizzazione sui server delle informazioni critiche per l’autenticazione. Ulteriore punto di forza è quello di consegnare agli utenti finali un’esperienza di autenticazione ai servizi online più rapida, semplice e pratica, riducendo, quindi, anche le vulnerabilità introdotte dai comportamenti umani. In questo modo, i consueti metodi di autenticazione possono essere sostituiti con un’esperienza di login più sicura per l’azienda e più veloce e apprezzata dagli utenti.
Anche i Thin Client Praim supportano l’utilizzo di dispositivi conformi per l’autenticazione con i workflow FIDO2 in ambienti VDI. Recentemente, sia sui nostri endpoint con sistema operativo Windows 10 IoT personalizzato Praim, sia sul nostro sistema operativo linux-based ThinOX, abbiamo integrato e verificato il funzionamento del virtual channel FIDO2 per poter effettuare il login sul cloud di Citrix, utilizzando dispositivi FIDO2 per aumentare sicurezza e usabilità in fase di autenticazione.
Un possibile caso d’uso avanzato che integra le migliori tecnologie allo stato dell’arte e da noi testato, ad esempio, sostituisce la classica autenticazione basata esclusivamente su nome utente e password di dominio con l’autenticazione FIDO2 di Entra ID di Microsoft (il nuovo nome scelto da Microsoft per l’evoluzione di quello che in precedenza è stato Azure Active Directory) per effettuare il login e riconoscimento utente sul portale Citrix cloud.
In questo caso, gli utenti possono essere forniti di un dispositivo personale FIDO2 la cui gestione ed enrollment viene effettuata sul portale di Microsoft che, oltre ad essere sfruttato per gestire le identità e gli accessi al VDI Citrix, può fungere anche da servizio unico per l’autenticazione degli utenti anche su altri strumenti di produttività e collaborazione usati in azienda, come Office 365, Microsoft Teams, ecc…
Nell’ordine, sul portale Azure l’utente viene preparato per effettuare l’accesso con una chiavetta USB FIDO2, quindi, successivamente, egli si registrerà con la specifica chiavetta assegnatagli.
Nel nostro caso d’uso di esempio è stata assegnata all’utente una chiavetta USB Thetis, con la quale è stato realizzato un workflow di autenticazione a tre fattori di sicurezza: alla richiesta di inserimento di un PIN (fattore di conoscenza dell’utente) il dispositivo FIDO2 aggiunge due ulteriori fattori: (i) il possesso del dispositivo sicuro (chiavetta USB riconosciuta FIDO) e (ii) la necessità di un’interazione fisica in presenza, che avviene effettuando la pressione di un pulsante sulla chiavetta.
Il tipo di protezione scelto in questo esempio è “forte” rispetto a un attacco dall’esterno o da remoto. Infatti, non consente di simulare la presenza dell’utente per effettuare un’autenticazione fittizia, ma occorre essere fisicamente alla postazione per effettuare la pressione del tasto. Tuttavia, potrebbe non essere sufficiente per difendersi da attacchi di insider che, dopo averne spiato o appreso il PIN personale dell’utente, possono avere accesso alla sua scrivania mentre questo si assenta temporaneamente, magari lasciando incustodita la chiavetta. Ciò richiede anche all’hacker di effettuare le proprie azioni in presenza e senza possibilità di automatizzare gli accessi. Usare, ad esempio, una chiavetta FIDO2 che richiede anche l’impronta digitale garantirebbe, invece, all’azienda un workflow ancora più robusto anche rispetto ad attacchi interni, rendendo più complesso il superamento del “fattore di possesso” di un altro utente. Ovviamente sta ad ogni organizzazione comprendere quale sia il giusto equilibrio tra costi, sicurezza, requisiti procedurali ed esperienza utente sulla base del proprio contesto e della criticità/sensibilità dei sistemi e delle informazioni a cui i propri addetti hanno accesso.
Tornando agli aspetti infrastrutturali e di configurazione, è possibile personalizzare ulteriormente l’esperienza di autenticazione con incrementalità di protezione e massima flessibilità d’uso. Sui portali che supportano FIDO2, come nel caso Microsoft del nostro esempio, è possibile decidere e selezionare il modello di dispositivo personale richiesto per l’autenticazione, impostando delle “Key Restriction Policies” che specifichino quali chiavette di sicurezza usare attraverso la verifica dell’Authenticator Attestation GUID (AAGUID). Ogni dispositivo FIDO2, infatti, possiede e fornisce in fase di attestazione il proprio AAGUID che ne descrive il tipo e le proprietà. L’uso di “Restriction Policies” è utile, in particolare, per fissare livelli minimi certi di sicurezza, ad esempio imponendo che possano essere utilizzati solo dispositivi con specifiche caratteristiche, in particolare se devono essere capaci di riconoscimento biometrico (dette “Biometric”), quali la modalità di connessione devono usare (ad es. USB o NFC) o altre ancora.
Nel nostro use case in VDI, inoltre, è possibile anche avere il pass-through delle credenziali tra il portale Citrix Cloud e le sessioni utente lanciate configurando il Citrix FAS (Federated Authentication Service). Una volta in sessione Citrix, è così possibile continuare a usare la chiavetta FIDO2 anche per autenticarsi negli altri programmi aziendali o sui portali web acceduti dall’utente attraverso il suo spazio virtuale. In questo caso, tutti gli scambi con la chiavetta FIDO2 (come la richiesta del PIN e di pressione del pulsante) vengono gestiti direttamente dal client Citrix Workspace App, che trasmette in maniera sicura tramite l’apposito virtual channel tutte le informazioni di autenticazione.