Rohos Logon Key: soluzione TFA per l’accesso in sicurezza

Dettagli: Pubblicato: Venerdì, 22 Maggio 2020 16:47; Scritto da Lorenzo Bedin

Garantire un accesso sicuro a workstation, server e reti è una delle principali priorità per chi si occupa di infrastrutture IT e in molti casi l’utilizzo di una semplice password non è un sistema sufficientemente sicuro.

Proprio in questo contesto si posiziona il software Logon Key della software house moldava Rohos (anche nota come Tesline-Service Srl), che punta a garantire un accesso di tipo Two-Factor-Authentication (TFA) multi dispositivo e multipiattaforma. Nel portfolio dell’azienda troviamo anche altre soluzioni legate al mondo della sicurezza, come Disk Encryption e Face Logon.

Funzionalità e vantaggi

Lo scopo di Logon Key è quello di integrare l’accesso tramite password con l’utilizzo di un apposito token, oppure di sostituire completamente l’utilizzo delle credenziali standard con la coppia token + PIN segreto. È prevista anche l’integrazione con sistemi terzi, come Google Authenticator, FIDO U2F o altri prodotti equivalenti e supportati (YubiKey, eToken, SafeNet, Windows HELLO etc.) oltre naturalmente alla possibilità di usare il proprio smartphone, previa un’adeguata configurazione dell’app.

Questo approccio porta svariati vantaggi, tra cui non dover ricordare password complesse e difficilmente memorizzabili e il poter accedere a dispositivi multipli con un singolo token e relativo codice PIN. Logon Key è in grado di proteggere il PC anche se avviato in modalità provvisoria, evitando quindi la possibilità di bypassare la protezione all’accesso.

Il software è anche configurabile per reagire in modo “intelligente” ad alcuni eventi di sistema: ad esempio può essere configurato per bloccare il PC quando il token viene estratto, oppure se lo schermo si disattiva o il sistema operativo passi in standby. Inoltre può essere utilizzato per autorizzare determinate operazioni di sistema che richiedano privilegi elevati (come eseguire file .exe o accedere a pannelli di configurazione).

Oltre ad integrarsi con i principali sistemi operativi Microsoft ed Apple, Logon Key funziona anche in contesti Active Directory, al punto da poter essere utilizzato anche per il login tramite Remote Desktop. Il sistema prevede la creazione di un apposito dominio AD in cui inserire gli utenti a cui verrà richiesto il TFA, andando poi a creare apposite policy ed un database di utenti grazie al Rohos Management Tools (da installare sul domain controller che detiene in ruolo Schema Master).

Test sul campo

Abbiamo provato Logon Key su un notebook dotato di Windows 7, sistema operativo ancora diffusissimo in ambienti aziendali. L’installazione è rapida e l’interfaccia di gestione piuttosto essenziale: due voci sono dedicate al setup del token, sia esso fisico o tramite smartphone, mentre le altre due danno accesso alle funzioni avanzate. Tra le opzioni si trovano quelle di base, come il tipo di risposta del PC in caso di estrazione della chiavetta, oppure il gruppo di utenti a cui questo tipo di login va applicato (nessuno, tutti, solo alcuni locali, specifici gruppi AD, utenze RDP etc.). Passando alla sezione avanzata si trovano personalizzazioni aggiuntive, anche di natura grafica come l’icona da mostrare al login, l’applicazione o meno della sicurezza alla modalità provvisoria, il numero di inserimenti PIN prima del blocco etc.

La configurazione del token è velocissima e richiede di sceglierne il tipo da un menu a tendina, digitare l’attuale password di Windows e attendere qualche secondo perché la chiavetta venga preparata. In modo simile si può attivare il codice PIN aggiuntivo da accoppiare all’uso del token.

Una volta attivata la modalità desiderata, i successivi accessi al PC si potranno effettuare solo se in possesso dell’apposito dispositivo e l’accesso tramite utenza e password viene completamente disabilitato sia in modalità standard sia in provvisoria. Allo stesso modo funziona la risposta del PC alla rimozione del token, che può comportare la disconnessione, il blocco schermo, lo spegnimento, il riavvio etc.

Abbiamo testato anche Google Authenticator, la cui configurazione è davvero semplice: basta inquadrare l’apposito codice QR dall’applicazione e inserire la attuale password di Windows. Al successivo login verranno richiesti i normali user e password, con l’aggiunta del codice OTP numerico generato tramite app.

In generale il funzionamento è piuttosto trasparente e il setup rapido ed alla portata anche dell’utente finale. Tuttavia colpisce la facilità con cui un utente in possesso di privilegi amministrativi possa disabilitare la chiave e disinstallare il prodotto, ripristinando il normale accesso tramite credenziali Windows. In contesti di dominio, dove il livello di permessi è gestito in modo centralizzato può non essere un problema, ma per l’utilizzo su singole workstation o PC avremmo preferito la presenza di un sistema per rendere la procedura di rimozione – se non impossibile – quantomeno sufficientemente difficile per l’utente medio.

Prezzi

I prezzi del prodotto oscillano dai 37 euro della versione base, che offre funzionalità complete per un singolo PC, ai 68 della versione Pro che copre fino a 3 dispositivi con una sola licenza. All’aumentare delle quantità sono poi disponibili degli sconti percentuali a partire dalle cinque unità acquistate.

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.