1. (Opzionale) Acquisire i componenti hardware necessari
2. (Facoltativo) Comprendere i dispositivi biometrici e le opzioni del sistema operativo
3. Abilitare l'autenticazione a due fattori via hardware
4. Gli utenti registrano i loro dispositivi
Oltre alla tradizionale opzione di accesso tramite e-mail (nome utente) e password, Provet Cloud offre anche diverse opzioni di accesso tramite password. Queste funzionalità utilizzano il sistema WebAuthn.
L'opzione di login hardware significa utilizzare token fisici (chiavi) con un lettore NFC collegato a un computer. Gli utenti devono solo utilizzare la chiave e inserire un codice pin a 4 cifre per accedere a Provet Cloud nella configurazione più semplice. I token e i lettori NFC non sono forniti da Provet Cloud, ma devono essere acquistati separatamente. Questa configurazione è più adatta per le postazioni di lavoro condivise all'interno della clinica. La clinica può acquistare un lettore NFC per ogni postazione di lavoro condivisa e chiavi di sicurezza per tutti i dipendenti che hanno bisogno di accedere.
Con l'opzione di login biometrico , gli utenti possono sfruttare i dispositivi biometrici che possono essere già collegati o integrati nei dispositivi, come il lettore di impronte digitali di un computer portatile. Sono supportati Face ID e Touch ID di Apple, oltre a funzioni simili sui dispositivi Windows 10. Gli utenti devono solo utilizzare il metodo biometrico e inserire un codice pin di 4 cifre per accedere a Provet Cloud, nella configurazione più semplice. È consigliabile se gli utenti dispongono di dispositivi personali che supportano l'autenticazione biometrica.
Nota
Le opzioni di login di Passkey sono state testate con il browser Chrome su macOS e Windows 10. Le opzioni potrebbero non funzionare correttamente con altre combinazioni di browser e sistemi operativi.
Se si sceglie di impostare le opzioni di chiave di sicurezza hardware, è necessario disporre di dispositivi NFC compatibili e di chiavi di sicurezza che possono essere acquistate direttamente dai produttori o da negozi web ben attrezzati. In teoria, dovrebbero funzionare anche i lettori NFC integrati. I lettori devono essere collegati alle postazioni di lavoro che necessitano della funzionalità.
Feitian R502-CL è un lettore di smartcard/NFC che è risultato compatibile con la verifica WebAuthn senza contatto su dispositivi Windows 10. È stato testato con i dispositivi NFC Feitian e Yubico Security Key.
Il lettore Feitian è consigliato perché ha:
-
Prezzo inferiore (circa 27 € contro 40 €, IVA esclusa)
-
Cavo più lungo
-
Mancanza di altoparlanti integrati (non emette suoni quando vengono lette le carte/tasti)
Suggerimento: Si consiglia di acquistare direttamente da Feitian per ottenere il minor costo possibile.
ACS ACR1252U è un lettore NFC che si è rivelato idoneo per l'autenticazione senza contatto con Windows 10. Il dispositivo ACR1252U (link Amazon) dovrebbe essere disponibile in vari e-shop e negozi di elettronica locali. Il lettore deve essere collegato al computer tramite una connessione USB.
L'autenticazione avviene quando una chiave di sicurezza fisica viene letta dal lettore NFC. Tutti gli utenti che necessitano di questa funzionalità devono avere la propria chiave.
La chiave di sicurezza NFC di Yubico è l'opzione consigliata per questo flusso di lavoro. La chiave supporta sia la verifica a due fattori che i login senza password. Le varianti NFC possono essere utilizzate anche con lettori NFC compatibili quando si utilizza Windows 10, o con dispositivi smart abilitati NFC come iPhone o telefoni Android più recenti.
Yubico offre un software chiamato YubiKey Manager che consente agli utenti di reimpostare il codice PIN hardware, resettare l'intero dispositivo o modificare le interfacce su cui funziona la chiave di sicurezza (ad esempio, si può disabilitare l'NFC).
Si noti che ci sono state molte versioni di Security Keys, con i dispositivi più vecchi privi del supporto FIDO2 e quindi non utilizzabili per l'autenticazione senza password.
L'azienda che produce il lettore NFC consigliato costruisce anche chiavi di sicurezza adeguate. La chiave Yubico è consigliata in questo caso perché offre una migliore usabilità: l'accesso avviene quasi immediatamente dopo l'inserimento del codice PIN, mentre le chiavi Feitian hanno un ritardo di 4 secondi.
Se si sceglie l'opzione biometrica, assicurarsi di comprendere le funzioni e le limitazioni del dispositivo.
I computer Windows 10 possono essere utilizzati per la verifica a due fattori o per l'accesso senza password tramite Windows Hello, che supporta i codici PIN, il riconoscimento facciale e la lettura delle impronte digitali. Ciò può avvenire tramite hardware integrato (ad esempio, lettori integrati nei computer portatili) o accessori esterni (ad esempio, webcam con supporto per Windows Hello).
L'uso di Windows Hello non è consigliato con gli account utente Windows condivisi. L'utilizzo di un computer condiviso con account utente Windows separati va bene.
Le impostazioni della chiave di accesso possono essere gestite in Impostazioni > Account > Opzioni di accesso. Ciò consente agli utenti di impostare o modificare il codice PIN, gestire le impronte digitali memorizzate, visualizzare le credenziali salvate (per l'autenticazione senza password), gestire le funzioni di Windows Hello e altre funzioni.
VeriMark Pro Key è pubblicizzato come lettore di impronte digitali compatibile con FIDO2. Funziona come autenticatore Windows Hello. Pertanto, è compatibile solo con i dispositivi Windows 10.
Le impronte digitali devono essere prima aggiunte a un account Windows e solo allora possono essere utilizzate per il login a Provet Cloud. Non è possibile utilizzare impronte digitali diverse per accedere a diversi account Provet Cloud da un unico account utente Windows. Invece, ogni utente di un computer deve avere un proprio account Windows da utilizzare per il login.
Questo dispositivo è consigliato se si desidera implementare il login Windows Hello su computer privi di lettore di impronte digitali integrato o di webcam compatibile per il riconoscimento facciale. Non dovrebbe essere acquistato come chiave di sicurezza biometrica portatile: l'imminente YubiKey Bio sarebbe un candidato migliore per questo tipo di implementazione. YubiKey Bio è attualmente disponibile solo attraverso un programma di anteprima chiuso.
Le funzioni Face ID e Touch ID di Apple sono disponibili per il login con passepartout, fornendo rispettivamente il riconoscimento facciale e le impronte digitali. Per sapere quali funzioni sono supportate, consultare il manuale del dispositivo.
Google Chrome su dispositivi Apple consente agli utenti di gestire i propri autenticatori web in Impostazioni > Privacy e sicurezza > Sicurezza > Gestisci chiavi di sicurezza.
Ciò consente agli utenti di impostare o modificare il codice PIN, gestire le impronte digitali memorizzate, visualizzare le credenziali salvate (per l'autenticazione senza password) e resettare completamente il dispositivo, se necessario.
L'area di controllo principale è accessibile da Impostazioni > Utenti > Impostazioni password. Sono presenti due impostazioni rilevanti, con diverse modalità tra cui scegliere. Queste impostazioni si applicano all'intera organizzazione.
Abilita l'autenticazione a due fattori hardware (Autenticazione Web) - Questa impostazione abilita le opzioni di login con passepartout hardware e biometrico.
Modalità di autenticazione Web - Consente di scegliere tra le opzioni di accesso descritte di seguito.
Solo verifica a due fattori - In questa modalità, gli utenti devono inserire normalmente il proprio indirizzo e-mail (nome utente) e la propria password per l'accesso, E verificare con uno dei metodi di passepartout disponibili per loro.
Verifica a due fattori e login senza password - In questa modalità, gli utenti possono utilizzare normalmente il proprio indirizzo e-mail (nome utente) e la password di login CON una verifica aggiuntiva OPPURE effettuare il login solo con l'autenticatore (con il metodo della password).
Solo login senza password - In questa modalità, l'utente può accedere normalmente con l'e-mail (nome utente) e la password, OPPURE utilizzare solo l'autenticatore (metodo di accesso disponibile).
|
Modalità |
Accesso tramite e-mail e password |
Accesso all'autenticatore |
|
Solo a due fattori (impostazione predefinita) |
Possibile, è necessario un autenticatore |
Non è possibile |
|
A due fattori e senza password |
Possibile, è necessario un autenticatore |
Possibile |
|
Solo senza password |
Possibile, l'autenticatore non è necessario |
Possibile |
Una volta abilitata l'autenticazione a due fattori come descritto sopra, gli utenti possono registrare nuovi dispositivi e gestire quelli esistenti dalla pagina del loro profilo utente, accessibile in alto a destra, selezionando il menu che si apre a partire dal loro nome utente.
Nella pagina del profilo dell'utente, c'è una sezione chiamata "Autenticazione a più fattori". L'utente può vedere i dispositivi registrati o aggiungere un nuovo dispositivo utilizzando il pulsante "Registra dispositivo".
Possono anche rimuovere o modificare gli autenticatori esistenti, ma l'eliminazione di un autenticatore di passepartout non lo rimuoverà dalla memoria dell'autenticatore: se si desidera, è necessario utilizzare altri metodi, dipendenti dal dispositivo, per eliminare le credenziali dal dispositivo.
Password - Quando si sceglie di registrare un nuovo dispositivo, viene visualizzata una nuova finestra di dialogo. Per aggiungere un nuovo dispositivo, è necessario confermare la password dell'utente Provet Cloud esistente per poter registrare un dispositivo.
Opzione senza password - Successivamente, è possibile decidere se l'accesso sarà senza password o meno. Questa opzione è consigliata per facilitare l'uso, ma potrebbe non funzionare con tutti i dispositivi. Si noti che se l'opzione senza password è attivata, non può essere disattivata senza rimuovere e registrare nuovamente il dispositivo.
Tipo di autenticatore - Infine, è possibile scegliere se aggiungere un autenticatore portatile, come il lettore YubiKey+NFC citato in precedenza, o un autenticatore su dispositivo, come un lettore di impronte digitali o Face ID. Come dice il testo informativo, un autenticatore portatile può essere spostato da un computer all'altro, mentre i dati di un autenticatore su dispositivo vengono memorizzati sul dispositivo stesso (Windows Hello, Touch ID di Apple).
Nickname - Si noti che è possibile assegnare un nickname al dispositivo, ma solo modificando il dispositivo dopo la registrazione iniziale.
Per aiutare gli utenti nei casi in cui siano bloccati dal loro account se l'autenticazione non riesce per qualche motivo, è prevista una funzione di codice di backup. I codici di backup sono una serie di 10 codici alfanumerici di 8 caratteri, sensibili alle maiuscole e minuscole, che possono essere utilizzati per bypassare il sistema di autenticazione dopo aver inserito correttamente l'e-mail (nome utente) e la password.
I codici di backup possono essere generati dalla pagina del profilo dell'utente. Un apposito pulsante appare accanto al pulsante di registrazione del dispositivo una volta aggiunto almeno un dispositivo.
Una finestra di dialogo mostra i codici e consente di generarne di nuovi nel caso in cui i codici siano tutti utilizzati o compromessi. I codici di backup devono essere conservati all'esterno, in un luogo sicuro ma facilmente accessibile per l'utente.
Nota
L'opzione del codice di backup non è visibile nella pagina del profilo dell'utente se si utilizza l'opzione solo password, in quanto gli utenti possono accedere normalmente con la propria e-mail (nome utente) e password se il dispositivo non è disponibile o non funziona.
Gli amministratori con diritti di gestione degli utenti possono verificare e controllare gli autenticatori multi-fattore degli utenti aprendo il profilo di un utente da Impostazioni > Utenti.
Selezionando l'opzione "Reimposta le informazioni di autenticazione in due passaggi" e salvando, tutti i dispositivi dell'utente vengono rimossi e l'utente può iniziare a ripristinare la propria configurazione accedendo normalmente con la propria e-mail (nome utente) e password.
Aggiornato
Commenti
0 commenti
Accedi per aggiungere un commento.