OTP e autenticazione a due fattori 
On Time Password per lo staff

Cos’è l’OTP

La sigla OTP sta per “One Time Password”, un meccanismo per rendere più sicura l’autenticazione online degli utenti con l'uso di un codice segreto che cambia a ogni accesso.
Per ottenere questo codice si può utilizzare un'applicazione (su smartphone, tablet, pc, ecc.), che ogni 30 secondi, a partire da una chiave di configurazione originaria detta “seed”, genera un nuovo codice monouso da utilizzare per provare la propria identità.

L’OTP, aggiunto alla tradizionale autenticazione tramite username e password personali, fa parte dei sistemi di “Multi Factor Authentication" (MFA), con cui un utente può accedere a un servizio online soltanto dopo essersi autenticato tramite due o più prove di identità, per esempio attraverso la conoscenza della propria password e il possesso di un dispositivo autorizzato a generare l'OTP.

Questo meccanismo, in uso già da tempo in ambiti come l'home banking, si è reso necessario anche per le applicazioni di Ateneo, in modo da contrastare con più efficacia i rischi legati ad attacchi informatici.

L'OTP a Ca' Foscari

Dall’1 luglio 2022 l’OTP è richiesto a tutto lo staff in possesso di un account unive (es. docenti, ricercatori, assegnisti, borsisti, CEL, membri del PTA, ecc.), con esclusione degli studenti. In seguito, se l’utente non avrà configurato l’OTP, al primo cambio della propria password gli verrà richiesta l’attivazione di questo ulteriore livello di sicurezza.
L'OTP è legato a un singolo account unive: se possiedi più account, devi attivare un OTP per ognuno di essi.

Nella maggior parte dei servizi online di Ca’ Foscari, per autenticarsi, dopo l’usuale inserimento del proprio nome utente e della propria password, occorre quindi fornire anche un codice monouso di 6 cifre, generato da un’applicazione opportunamente configurata. Il sistema di OTP scelto a Ca' Foscari, infatti, non utilizza gli SMS né è legato a un numero di telefono. Il codice creato dall’applicazione varia ogni 30 secondi in modo da rafforzare la sicurezza: a ogni autenticazione va inserito il codice corrispondente a quello visualizzato in quel momento dall’applicazione.

Funzionano ancora senza OTP e quindi con semplice autenticazione tramite username e password: il collegamento VPN, la connessione wifi tramite le reti eduroam o Unive_WiFi, gli accessi a computer o a macchine virtuali tramite protocolli dedicati come SSH, RDP o Citrix.

Come si attiva l'OTP

La procedura di attivazione dell'OTP va completata senza soluzioni di continuità. Se sei costretto a interromperla, devi ripeterla dall'inizio poiché i codici forniti cambiano a ogni nuovo accesso alla pagina web di attivazione.

  1. Puoi attivare autonomamente l’OTP collegandoti a www.unive.it/gestione-otp: verrà visualizzato un codice QR, da scansionare tramite un'apposita applicazione con un tuo dispositivo (es. smartphone o tablet) come indicato nei punti seguenti.
  2. Nel frattempo su un tuo device (es. smartphone o tablet), scarica Google Authenticator o un’app simile dallo store ufficiale (Google Play per i device Android, App Store per i device iOS):

  3. Avvia l’app, clicca sul pulsante ( + ) in basso a destra, seleziona "Scansiona un codice QR" e scansiona il codice QR generato in precedenza.
  4. Scarica il documento pdf generato alla fine del procedimento e conservalo in modo sicuro. Sarà così possibile attivare un generatore di OTP su un altro dispositivo in caso di smarrimento, sostituzione, furto, ecc. del dispositivo precedente.
    La chiave "seed" contenuta nel pdf non va mai comunicata a nessuno, neppure al personale dell'Area Servizi Informatici e Telecomunicazioni (ASIT).
  5. Solo dopo aver configurato l'app e aver salvato il documento pdf in un luogo sicuro, clicca su "Procedi con l'attivazione" nella pagina www.unive.it/gestione-otp per attivare l’autenticazione a due fattori.
    Da questo momento in poi, per autenticarti dovrai inserire il codice OTP oltre al tuo nome utente e alla tua password.

FAQ

Per evitare di perdere o divulgare le informazioni del documento ottenuto con l’attivazione dell’OTP, ti consigliamo di:

  • stamparlo e metterlo in un posto protetto e riservato (es. un cassetto sotto chiave)
  • oppure memorizzarlo in pdf all’interno di un archivio cifrato protetto da una password “forte” (per es. come allegato a un password manager; non è sufficiente un file compresso con password)

, perché rafforza la sicurezza e protegge la gestione della password.

  1. Verifica che il codice OTP non sia scaduto, cioè non siano passati oltre 30 secondi dalla sua generazione nell’app. In tal caso ti basterà utilizzare il codice successivo visualizzato dall’applicazione.
  2. Verifica di aver impostato la sincronizzazione automatica dell'orario sul tuo dispositivo (es. smartphone o tablet). Se l'orario è sincronizzato manualmente, può risultare sbagliato rispetto all'orario reale: tramite https://time.is/ verifica che la differenza non sia maggiore di 30 secondi.
    Altrimenti imposta la sincronizzazione automatica dell'orario per risolvere il problema.
  3. Se non vuoi agire sull'orario del tuo dispositivo, accedi all'app Google Authenticator, clicca sul menù (3 puntini verticali in alto a destra) e seleziona le "Impostazioni" e poi la "Correzione dell'ora per i codici". In questo modo l'app calcola e memorizza la differenza tra l'orario manuale del tuo dispositivo e l'orario esatto reale. Questa operazione correttiva va rifatta di tanto in tanto o dopo ogni variazione manuale dell'orario del device, quindi è preferibile risolvere il problema impostando la sincronizzazione automatica dell'orario.

No. Il sistema, opportunamente configurato in base alle istruzioni, funziona indipendentemente dalla posizione geografica e dal fuso orario.

Nel caso in cui non attivi il sistema di OTP, dovrai necessariamente utilizzare il tuo SPID personale per accedere al tuo account di Ateneo e ai servizi collegati, come richiesto da D.L. n. 76/2020.
Potrai usare semplicemente le credenziali di Ateneo soltanto per i servizi che non richiedono l’OTP (elencati sopra, nella sezione “L'OTP a Ca’ Foscari”). 

Negli account unive condivisi tra più colleghi, si può abilitare l’OTP facendo scansionare a tutti i collaboratori di quell’account il QRcode di attivazione, in modo da far loro configurare opportunamente il dispositivo.
Facendo scansionare il QRcode ma non divulgando il "seed", il referente dell’account può mantenere il controllo sui collaboratori autorizzati all’accesso. Dovrà quindi essere cura del referente dell’account unive non divulgare il documento con QRcode e "seed".
Se i collaboratori accedono alla posta elettronica dell'account condiviso tramite delega Gmail, non sarà necessario far configurare loro l'OTP poiché continueranno a visualizzare la posta dell'account condiviso tramite l'autenticazione personale. Sarà quindi cura esclusiva del referente dell'account configurare l'OTP.

L’applicazione per generare il codice OTP può essere riconfigurata usando il codice QR o il "seed" presenti nel documento di attivazione: per questo è importante conservare quel documento in modo sicuro. Se tale documento non è più a tua disposizione, devi contattare l'ASIT - Settore Supporto e telefonia per procedere alla tua identificazione e alla riconfigurazione dei tuoi parametri personali di autenticazione.

Con il documento pdf di attivazione dell'OTP, configura subito un nuovo dispositivo seguendo le istruzioni.
In seguito accedi a www.unive.it/gestione-otp e per motivi di sicurezza seleziona la voce “Genera un nuovo OTP” e reimposta l’app Google Authenticator con il nuovo QRcode. Con questa procedura verrà creato un nuovo documento pdf da conservare, contenente un nuovo "seed", e verranno invalidati gli OTP generati dal dispositivo perso/rubato.

Visitando la pagina www.unive.it/gestione-otp (che comunque richiede il codice OTP corrente) puoi selezionare la voce “Genera un nuovo OTP” e subito dopo riconfigurare il dispositivo con il nuovo QRcode.
Con questa procedura verrà creato un nuovo documento pdf da conservare, contenente un nuovo "seed", e verranno invalidati gli OTP generati tramite la precedente configurazione.

Sebbene sia caldamente consigliato l’uso di un'applicazione installata su dispositivo mobile o tablet, è possibile ottenere l’OTP anche su computer tramite apposite estensioni per i browser.
Il personale dell'Area Servizi Informatici e Telecomunicazioni (ASIT) ha verificato le estensioni Two Factor Authenticator per Mozilla Firefox e Authenticator per Mozilla Firefox e per Google Chrome.

Last update: 04/07/2022