1. (Opcional) Adquirir os componentes de hardware necessários
2. (Opcional) Compreender os dispositivos biométricos e as opções do sistema operativo
3. Ativar a autenticação de dois factores por hardware
4. Os utilizadores registam os seus dispositivos
5. Os utilizadores obtêm códigos de segurança, se necessário
Para além da opção tradicional de login por e-mail (nome de utilizador) e palavra-passe, o Provet Cloud oferece também várias opções de login por chave de acesso. Estas funcionalidades utilizam o sistema WebAuthn.
A opção de login por hardware significa utilizar tokens físicos (chaves) com um leitor NFC ligado a um computador. Os utilizadores só precisam de utilizar a chave e introduzir um código PIN de 4 dígitos para aceder à Provet Cloud na configuração mais simples. Os tokens e os leitores NFC não são fornecidos pela Provet Cloud, mas têm de ser comprados separadamente. Isto é mais adequado para estações de trabalho partilhadas na clínica. A clínica pode comprar um leitor NFC para cada posto de trabalho partilhado e chaves de segurança para todos os funcionários que necessitem de acesso.
Com a opção de início de sessão biométrico , os utilizadores podem tirar partido de dispositivos biométricos que podem já estar ligados ou integrados em dispositivos, como um leitor de impressões digitais num computador portátil. O Face ID e o Touch ID da Apple são suportados, bem como funcionalidades semelhantes em dispositivos Windows 10. Os utilizadores só precisam de utilizar o método biométrico e introduzir um código PIN de 4 dígitos para aceder ao Provet Cloud, na configuração mais simples. Isto é recomendado se os utilizadores tiverem dispositivos pessoais que suportem a autenticação biométrica.
Nota
As opções de início de sessão da Passkey foram testadas com o navegador Chrome no macOS e no Windows 10. As opções podem não funcionar corretamente com outras combinações de navegador e sistema operativo.
Se optar por configurar as opções de chave de segurança de hardware, precisará de dispositivos NFC compatíveis e de chaves de segurança que podem ser adquiridas diretamente aos fabricantes ou a lojas Web bem equipadas. Em teoria, os leitores NFC incorporados também devem funcionar. Os leitores devem estar ligados às estações de trabalho que necessitam da funcionalidade.
O Feitian R502-CL é um leitor de smartcard/NFC que foi considerado compatível com a verificação WebAuthn sem contacto em dispositivos Windows 10. Foi testado com dispositivos NFC Feitian e Yubico Security Key.
O leitor Feitian é recomendado porque tem:
-
Preço mais baixo (aprox. 27 € vs. 40 €, sem IVA)
-
Cabo mais comprido
-
Falta de altifalantes incorporados (não emite sons quando os cartões/chaves são lidos)
Sugestão: Recomendamos a compra de diretamente à Feitian para obter o menor custo possível.
O ACS ACR1252U é um leitor NFC que foi considerado adequado para autenticação sem contacto utilizando o Windows 10. O dispositivo ACR1252U (Amazon link) deve estar disponível em várias lojas electrónicas e lojas de eletrónica locais. O leitor tem de ser ligado ao computador através de uma ligação USB.
A autenticação ocorre quando uma chave de segurança física é lida pelo leitor NFC. Todos os utilizadores que necessitarem da funcionalidade precisarão da sua própria chave.
A Security Key NFC by Yubico é a opção recomendada para este fluxo de trabalho. A chave suporta tanto a verificação de dois factores como os inícios de sessão sem palavra-passe. As variantes NFC também podem ser utilizadas com leitores NFC compatíveis quando se utiliza o Windows 10, ou com dispositivos inteligentes com NFC, como iPhones ou telemóveis Android mais recentes.
A Yubico disponibiliza um software chamado YubiKey Manager que permite aos utilizadores repor o código PIN do hardware, repor todo o dispositivo ou alterar as interfaces em que a chave de segurança funciona (pode, por exemplo, desativar o NFC).
Note-se que existem muitas versões das Chaves de Segurança, sendo que os dispositivos mais antigos não suportam FIDO2 e, por isso, não podem ser utilizados para autenticação sem palavra-passe.
A empresa que produz o leitor NFC recomendado também fabrica chaves de segurança adequadas. A chave Yubico é aqui recomendada porque proporciona uma melhor usabilidade - inicia a sessão quase imediatamente após a introdução do código PIN, enquanto as chaves Feitian têm um atraso de 4 segundos.
Se escolher a opção biométrica, certifique-se de que compreende as funções e limitações de cada dispositivo.
Os computadores com Windows 10 podem ser utilizados para verificação de dois factores ou início de sessão sem palavra-passe utilizando o Windows Hello, que suporta códigos PIN, reconhecimento facial e leitura de impressões digitais. Isto pode ser feito através de hardware integrado (por exemplo, leitores incorporados em computadores portáteis) ou acessórios externos (por exemplo, webcams com suporte para Windows Hello).
Não se recomenda a utilização do Windows Hello com contas de utilizador partilhadas do Windows. Não há problema em utilizar um computador partilhado com contas de utilizador do Windows separadas.
As definições da chave de acesso podem ser geridas em Definições > Contas > Opções de início de sessão. Isto permite aos utilizadores configurar ou alterar o seu código PIN, gerir as impressões digitais armazenadas, ver as credenciais guardadas (para autenticação sem palavra-passe), gerir as funções do Windows Hello e outras funcionalidades.
O VeriMark Pro Key é anunciado como um leitor de impressões digitais compatível com FIDO2. Funciona como um autenticador do Windows Hello. Como tal, é compatível apenas com dispositivos Windows 10.
As impressões digitais devem ser adicionadas primeiro a uma conta do Windows e só depois podem ser utilizadas para o início de sessão na Provet Cloud. Não é possível utilizar diferentes impressões digitais para iniciar sessão em diferentes contas Provet Cloud a partir de uma única conta de utilizador do Windows. Em vez disso, cada utilizador de um computador deve ter a sua própria conta Windows, que deve ser utilizada para iniciar sessão.
Este dispositivo é recomendado se pretender implementar o início de sessão do Windows Hello em computadores sem leitor de impressões digitais incorporado ou webcam compatível para reconhecimento facial. Não deve ser adquirido como uma chave de segurança biométrica portátil - o futuro YubiKey Bio seria um melhor candidato para este tipo de implementação. A YubiKey Bio está atualmente disponível apenas através de um programa de pré-visualização fechado.
As funcionalidades Face ID e Touch ID da Apple estão disponíveis para o início de sessão por palavra-passe, fornecendo opções de reconhecimento facial e de impressões digitais, respetivamente. Consulte o manual do seu dispositivo para ver quais as funcionalidades suportadas.
O Google Chrome em dispositivos Apple permite aos utilizadores gerir os seus autenticadores Web em Definições > Privacidade e segurança > Segurança > Gerir chaves de segurança.
Isto permite aos utilizadores configurar ou alterar o seu código PIN, gerir as impressões digitais armazenadas, ver as credenciais guardadas (para autenticação sem palavra-passe) e reiniciar completamente o dispositivo, se necessário.
A área de controlo principal pode ser acedida a partir de Definições > Utilizadores > Definições da palavra-passe. Existem duas definições relevantes, com vários modos à escolha. Estas definições aplicam-se a toda a organização.
Ativar a autenticação de dois factores por hardware (Autenticação Web) - Esta definição ativa as opções de início de sessão por hardware e por chave de acesso biométrica.
Modo de autenticação da Web - Permite-lhe selecionar entre as opções de início de sessão descritas abaixo.
Verificação de dois factores apenas - Neste modo, os utilizadores têm de introduzir o seu e-mail (nome de utilizador) e palavra-passe normalmente para iniciar sessão, E verificar com um dos métodos de chave de acesso disponíveis para eles.
Verificação de dois factores e início de sessão sem palavra-passe - Neste modo, os utilizadores podem utilizar o seu método de início de sessão por correio eletrónico (nome de utilizador) e palavra-passe normalmente COM verificação adicional necessária OU iniciar sessão utilizando apenas o autenticador (método de palavra-passe disponível para eles).
Passwordless login only - Neste modo, o utilizador pode iniciar sessão com o e-mail (nome de utilizador) e a palavra-passe normalmente, OU utilizar apenas o autenticador (método de chave de acesso disponível).
|
Modo |
Início de sessão por e-mail e palavra-passe |
Início de sessão do autenticador |
|
Apenas dois factores (predefinição) |
Possível, autenticador necessário |
Não é possível |
|
Dois factores e sem palavra-passe |
Possível, autenticador necessário |
Possível |
|
Apenas sem palavra-passe |
Possível, autenticador não necessário |
Possível |
Uma vez activada a autenticação de dois factores, tal como descrito acima, os utilizadores podem registar novos dispositivos e gerir os existentes a partir da sua página de perfil de utilizador, à qual se pode aceder no canto superior direito, selecionando o menu que se abre a partir do seu nome de utilizador.
Na página de perfil do utilizador, existe uma secção denominada "Autenticação multifactor". Os utilizadores podem ver os dispositivos registados nessa secção ou adicionar um novo dispositivo utilizando o botão "Registar dispositivo".
Podem também remover ou editar quaisquer autenticadores existentes, mas a eliminação de um autenticador de chave-mestra não o removerá da memória do autenticador - devem ser utilizados outros métodos, dependentes do dispositivo, para eliminar as credenciais do dispositivo, se desejado.
Palavra-passe - Assim que optarem por registar um novo dispositivo, é apresentada uma nova caixa de diálogo. Para adicionar um novo dispositivo, é necessário confirmar primeiro a palavra-passe do utilizador Provet Cloud existente para poder registar um dispositivo.
Opção sem palavra-passe - Em seguida, podem decidir se o início de sessão será sem palavra-passe ou não. Esta opção é recomendada para facilitar a utilização, mas pode não funcionar com todos os dispositivos. Tenha em atenção que, se a opção sem palavra-passe estiver activada, não pode ser desactivada sem remover e registar novamente o dispositivo.
Tipo de autenticador - Finalmente, podem escolher se estão a adicionar um autenticador portátil, como o leitor YubiKey+NFC mencionado acima, ou um autenticador no dispositivo, como um leitor de impressões digitais ou o Face ID. Como diz o texto informativo, um autenticador portátil pode ser movido entre computadores, mas os dados de um autenticador no dispositivo serão armazenados no próprio dispositivo (Windows Hello, Touch ID da Apple).
Alcunha - Note que também pode ser atribuída uma alcunha ao dispositivo, mas apenas editando o dispositivo após o registo inicial.
Para ajudar os utilizadores nos casos em que a sua conta fica bloqueada se a autenticação falhar por algum motivo, é fornecida uma função de código de segurança. Os códigos de segurança são um conjunto de 10 códigos alfanuméricos de 8 caracteres, sensíveis a maiúsculas e minúsculas, que podem ser utilizados para contornar o sistema de autenticação após a introdução correta do e-mail (nome de utilizador) e da palavra-passe.
Os códigos de cópia de segurança podem ser gerados a partir da página de perfil do utilizador. Um botão para tal aparece junto ao botão de registo do dispositivo quando tiver sido adicionado pelo menos um dispositivo.
Um diálogo mostra os códigos e também permite gerar novos códigos se todos os códigos forem utilizados ou comprometidos. Os códigos de segurança devem ser armazenados externamente, num local seguro mas de fácil acesso para o utilizador.
Nota
A opção de código de segurança não é visível na página de perfil do utilizador se for utilizada a opção só com palavra-passe, uma vez que os utilizadores podem iniciar sessão normalmente com o seu e-mail (nome de utilizador) e palavra-passe se o dispositivo não estiver disponível ou não funcionar.
Os administradores com direitos de gestão de utilizadores podem verificar e controlar os autenticadores multi-fator dos utilizadores abrindo o perfil de um utilizador em Definições > Utilizadores.
Ao selecionar a opção "Repor as informações de autenticação em duas etapas" e guardar, todos os dispositivos do utilizador são removidos e este pode começar a restaurar a sua configuração iniciando sessão normalmente com o seu e-mail (nome de utilizador) e palavra-passe.
Atualizado
Comentários
0 comentário
Por favor, entrar para comentar.