ARTICOLOPassKey? in Domino c'è!Vittorio Orefice12/06/2024 01:460La PassKey è stata implementata dalla FIDO Alliance, un’associazione delle industrie di settore, con lo scopo di rendere più sicura l’autenticazione su siti web ed evitare attacchi di phishing. A La PassKey è stata implementata dalla FIDO Alliance, un’associazione delle industrie di settore, con lo scopo di rendere più sicura l’autenticazione su siti web ed evitare attacchi di phishing. A partire dalla release 14 di HCL Domino, è stata introdotta la possibilità di utilizzare una PassKey per autenticare gli utenti sui website. Dopo anni di esperienza, legata all’utilizzo di utenze e password per autenticarsi è emerso chiaramente il limite di tale modalità, che è facilmente esposta ad attacchi di brute force, social engineering ed altri fattori che la rendono insicura. I primi approcci per incrementare la sicurezza dell’autenticazione hanno portato all’introduzione di soluzioni come OTP o 2FA. Purtroppo, anch’essi non sono stati sufficienti, perché comunque espongono le persone ad attacchi di social engineering al fine di rubare le credenziali (es. chiamate all’utente fingendosi del supporto tecnico e chiedendo di fornire il codice OTP o di autorizzare tramite app l’accesso). Si è quindi giunti alla soluzione PassKey, che, nella sua implementazione tecnica, prevede l’esigenza di avere fisicamente disponibile una chiave privata dell’utente al fine di completare l’autenticazione. La chiave privata dovrà risiedere in un authenticator presente nel dispositivo da cui si tenterà l’accesso (es. Windows Hello su windows 10/11) o in un altro authenticator da lui “visibile” (es. Chiavetta inserita nella porta USB, un dispositivo Android o IOS dispositivo collegato in bluetooth). Senza la disponibilità fisica dell’authenticator non sarà possibile autenticarsi. Date le su caratteristiche, è evidente come PassKey sia la soluzione più efficace contro il furto di credenziali. Non è più sufficiente conoscere username e password, non è più possibile la circonvenzione delle persone tramite social engineering per farsi dare OTP o approvare l’accesso, si deve possedere la chiave privata dell’utente, il dispositivo su cui risiede e sbloccare l’authenticator. HCLSoftware, nel rispetto della tradizione di sicurezza che ha sempre caratterizzato il prodotto Domino, ha introdotto l’utilizzo di PassKey per l’autenticazione a partire da Domino v14.0. La sua implementazione è molto semplice, la potete consultare al seguente link: https://help.hcltechsw.com/domino/14.0.0/admin/conf_dominopasskeyauth.html?scLang=en Per eventuali informazioni ulteriori www.digiway.it o commerciale@digiway.it