Ecco SecurePass, un servizio cloud-based per l'autenticazione multipiattaforma tramite One Time Password.
La gestione di username e password in azienda è un argomento molto delicato, e diventa più importante e complesso all’aumentare di dipendenti e servizi da gestire. La società svizzera GARL, specializzata in sistemi di sicurezza per l’informatica, offre SecurePass come servizio centralizzato per la gestione delle identità. L’offerta di GARL prevede quattro differenti tipologie di abbonamento, che differiscono per le funzionalità incluse e, naturalmente, per il prezzo. L’offerta di ingresso (Personal) è gratuita, ma prevede al massimo due utenze e la sola autenticazione via SSO, all’aumentare del prezzo troviamo rispettivamente Business, Enterprise+ e Service Provider: il dettaglio sul numero di utenti inclusi e modalità di autenticazione supportate sono disponibili a questo indirizzo. Da sottolineare che, esclusa l’offerta Service Provider che prevede una valutazione dedicata, i prezzi sono molto contenuti (3 o 7 euro/mese a utente).
L’implementazione prevede l’utilizzo di un sistema One Time Password (OTP) e Single Sign On (SSO) per l’autenticazione unificata . Come dispositivo per l'autenticazione si può usare un comune cellulare o un PC in combinazione con l’app gratuita SecurePass (disponibile per Android, iOS, Blackberry, PC e Mac) che permette di avere i token di accesso sempre a portata di mano e senza utilizzare un dispositivo dedicato. Il dispositivo deve essere autorizzato tramite una apposita procedura chiamata Provisioning e poi può essere utilizzato per generare una password temporanea di 6 numeri che resta valida per circa 30 secondi.
Secure Pass prevede l’integrazione con i principali servizi che necessitano l’autenticazione remota online: VPN, Content Management Systems (CMS come Joomla e Wordpress) e applicazioni Web. E' possibile infatti utilizzare questo sistema per il collegamento sia a sistemi operativi Microsoft (con protezione dell'accesso e della connessione Remote Desktop verso macchine Windows Server e Desktop) sia a sistemi Linux (direttamente o tramite SSH).
Installazione e primo approccio
Per le nostre prove abbiamo utilizzato il piano di abbonamento Business: trattandosi di un servizio di autenticazione centralizzato, al di là del sistema specifico su cui andremo a utilizzarlo, il primo passaggio fondamentale è l'accesso al pannello di gestione del proprio account. Dal pannello è possibile creare le utenze (amministrative o normali) e ovviamente i Devices, ovvero i dispositivi su cui ci si deve identificare con SecurePass, specificati tramite indirizzo IP (necessariamente statico), FQDN (nome di dominio, il fully qualified domain name) e una chiave segreta. Dallo stesso pannello si può visualizzare lo stato del servizio e del Provisioning. Nella propria area personale è anche possibile accedere alle pagine di documentazione su SecurePass.
Abbiamo utilizzato SecurePass per proteggere l’accesso via rete e tre diversi sistemi: Windows Server 2012 R2, Windows 8.1 e Ubuntu Server 14.04. Sulle macchine Windows, SecurePass si implementa installando una applicazione gratuita (pGINA) che si interpone tra l’utente e il sistema operativo e prende in carico la gestione delle autenticazioni. Per farlo utilizza un set di Plugin (inclusi nell’installer, non è necessario reperirli da siti terzi come attualmente indicato nella guida) che include quello per realizzare l’autenticazione utilizzando il protocollo RADIUS. La configurazione di quest’ultimo non risulta complessa, infatti è sufficiente indicare il server di riferimento e alcuni parametri aggiuntivi per renderlo operativo. Una volta attivato siamo riusciti a collegarci anche tramite desktop remoto, utilizzando la password numerica fornita dall’applicazione installata sullo smartphone.
Leggermente meno intuitiva, per via dell’utilizzo della linea di comando al posto di un'applicazione con interfaccia grafica, l’installazione su Ubuntu. Sono tuttavia sufficienti pochi passaggi per raggiungere una configurazione funzionante che ci ha permesso un collegamento protetto via SSH.
Considerazioni conclusive
SecurePass si contrappone all’utilizzo di un tradizionale password manager, di cui supera alcuni dei principali limiti: la necessità di tenerlo aggiornato manualmente, l’assenza di un controllo centralizzato e l’impossibilità (ad esempio in situazioni dove alcuni set di credenziali vengano forniti a uno o più dipendenti o collaboratori) di tenere sotto controllo la diffusione di password e utenze. La soluzione di GARL infatti, offre un portale di gestione centralizzato da cui è possibile agire sui singoli utenti, sul loro stato e sul loro livello di accesso, inoltre l’approccio OTP risolve il problema della generazione e aggiornamento nel tempo delle password.
Naturalmente esistono anche dei limiti a una implementazione di questo tipo, che è fondamentale considerare in fase di progetto: uno su tutti è la dipendenza dalla connettività a Internet. In questo senso un plauso va fatto a GARL che ha messo a punto una infrastruttura di gestione geograficamente ridondata ed estremamente robusta.