Autenticazione a due fattori con OTP
On Time Password per lo staff
Cos’è l’OTP
La sigla OTP sta per “One Time Password”, un meccanismo per rendere più sicura l’autenticazione online degli utenti con l'uso di un codice segreto che cambia a ogni accesso.
Per ottenere questo codice si può utilizzare un'applicazione (su smartphone, tablet, pc, ecc.), che ogni 30 secondi, a partire da una chiave di configurazione originaria detta “seed”, genera un nuovo codice monouso da utilizzare per provare la propria identità.
L’OTP, aggiunto alla tradizionale autenticazione tramite username e password personali, fa parte dei sistemi di “Multi Factor Authentication" (MFA), con cui un utente può accedere a un servizio online soltanto dopo essersi autenticato tramite due o più prove di identità, per esempio attraverso la conoscenza della propria password e il possesso di un dispositivo autorizzato a generare l'OTP.
Questo meccanismo, in uso già da tempo in ambiti come l'home banking, si è reso necessario anche per le applicazioni di Ateneo, in modo da contrastare con più efficacia i rischi legati ad attacchi informatici.
L'OTP a Ca' Foscari
Dall’1 luglio 2022 l’OTP è richiesto a tutto lo staff in possesso di un account unive (es. docenti, ricercatori, assegnisti, borsisti, CEL, membri del PTA, ecc.), con esclusione degli studenti. In seguito, se l’utente non avrà configurato l’OTP, al primo cambio della propria password gli verrà richiesta l’attivazione di questo ulteriore livello di sicurezza.
L'OTP è legato a un singolo account unive: se possiedi più account, devi attivare un OTP per ognuno di essi.
Nella maggior parte dei servizi online di Ca’ Foscari, per autenticarsi, dopo l’usuale inserimento del proprio nome utente e della propria password, occorre quindi fornire anche un codice monouso di 6 cifre, generato da un’applicazione opportunamente configurata. Il sistema di OTP scelto a Ca' Foscari, infatti, non utilizza gli SMS né è legato a un numero di telefono. Il codice creato dall’applicazione varia ogni 30 secondi in modo da rafforzare la sicurezza: a ogni autenticazione va inserito il codice corrispondente a quello visualizzato in quel momento dall’applicazione.
Funzionano ancora senza OTP e quindi con semplice autenticazione tramite username e password: il collegamento VPN, la connessione wifi tramite le reti eduroam o Unive_WiFi, gli accessi a computer o a macchine virtuali tramite protocolli dedicati come SSH, RDP o Citrix.
Come si attiva l'OTP
La procedura di attivazione dell'OTP va completata senza soluzioni di continuità. Se sei costretto a interromperla, devi ripeterla dall'inizio poiché i codici forniti cambiano a ogni nuovo accesso alla pagina web di attivazione.
- Su un tuo device (es. smartphone o tablet), scarica gratuitamente Google Authenticator o un’app simile dallo store ufficiale (Google Play per i device Android, App Store per i device iOS):
Nel configurare Google Authenticator seleziona "UTILIZZA SENZA ACCOUNT", altrimenti al prossimo cambio password del proprio account non verrà più visualizzato l'OTP.
Le app di autenticazione consigliate sono gratuite; è sconsigliato scaricare app di OTP a pagamento dagli store. - Collegati con un browser a www.unive.it/gestione-otp: verrà visualizzato un codice QR.
- Avvia l’app scaricata sul tuo dispositivo, clicca sul pulsante ( + ) in basso a destra, seleziona "Scansiona un codice QR" e scansiona il codice QR generato in precedenza.
- Scarica il documento pdf generato alla fine del procedimento e conservalo in modo sicuro. Sarà così possibile attivare un generatore di OTP su un altro dispositivo in caso di smarrimento, sostituzione, furto, ecc. del dispositivo precedente.
La chiave "seed" contenuta nel pdf non va mai comunicata a nessuno, neppure al personale dell'Area Servizi Informatici e Telecomunicazioni (ASIT). - Solo dopo aver configurato l'app e aver salvato il documento pdf in un luogo sicuro, clicca su "Procedi con l'attivazione" nella pagina www.unive.it/gestione-otp per attivare l’autenticazione a due fattori.
Da questo momento in poi, per autenticarti dovrai inserire il codice OTP oltre al tuo nome utente e alla tua password.
FAQ
Come devo conservare il documento scaricato all’attivazione dell’OTP?
Per evitare di perdere o divulgare le informazioni del documento ottenuto con l’attivazione dell’OTP, ti consigliamo di:
- stamparlo e metterlo in un posto protetto e riservato (es. un cassetto sotto chiave)
- oppure memorizzarlo in pdf all’interno di un archivio cifrato protetto da una password “forte” (per es. come allegato a un password manager; non è sufficiente un file compresso con password)
Devo attivare l'OTP anche se il mio account unive serve solo per accedere alla rete wifi?
Sì, perché rafforza la sicurezza e protegge la gestione della password.
Ho deciso di usare SPID per accedere al mio account Unive. Devo lo stesso attivare l'OTP?
Sì, perché ti serve per cambiare la password ed evitare che l'account venga bloccato, e perché non tutti i servizi di Ateneo supportano l'autenticazione via SPID.
Il cambio della password è comunque obbligatorio: un account con la password scaduta viene automaticamente bloccato, impedendo l'accesso ai servizi ad esso collegati. Una volta cambiata la password potrai continuare a usare SPID per accedere, ove disponibile.
Il codice OTP generato dal mio dispositivo (es. smartphone o tablet) non risulta valido: cosa devo fare?
- Verifica che il codice OTP non sia scaduto, cioè non siano passati oltre 30 secondi dalla sua generazione nell’app. In tal caso ti basterà utilizzare il codice successivo visualizzato dall’applicazione.
- Verifica di aver impostato la sincronizzazione automatica dell'orario sul tuo dispositivo (es. smartphone o tablet). Se l'orario è sincronizzato manualmente, può risultare sbagliato rispetto all'orario reale: tramite https://time.is/ verifica che la differenza non sia maggiore di 30 secondi.
Altrimenti imposta la sincronizzazione automatica dell'orario per risolvere il problema. - Se non vuoi agire sull'orario del tuo dispositivo, accedi all'app Google Authenticator, clicca sul menù (3 puntini verticali in alto a destra) e seleziona le "Impostazioni" e poi la "Correzione dell'ora per i codici". In questo modo l'app calcola e memorizza la differenza tra l'orario manuale del tuo dispositivo e l'orario esatto reale. Questa operazione correttiva va rifatta di tanto in tanto o dopo ogni variazione manuale dell'orario del device, quindi è preferibile risolvere il problema impostando la sincronizzazione automatica dell'orario.
Mi trovo all'estero: devo aspettarmi problemi con l'OTP?
No. Il sistema, opportunamente configurato in base alle istruzioni, funziona indipendentemente dalla posizione geografica e dal fuso orario.
Posso continuare a usare i servizi online di Ateneo anche senza attivare l’OTP?
Nel caso in cui non attivi il sistema di OTP, dovrai necessariamente utilizzare il tuo SPID personale per accedere al tuo account di Ateneo e ai servizi collegati, come richiesto da D.L. n. 76/2020.
Potrai usare semplicemente le credenziali di Ateneo soltanto per i servizi che non richiedono l’OTP (elencati sopra, nella sezione “L'OTP a Ca’ Foscari”).
Come si può attivare l’OTP per un account unive condiviso?
Negli account unive condivisi tra più colleghi, si può abilitare l’OTP facendo scansionare a tutti i collaboratori di quell’account il QRcode di attivazione, in modo da far loro configurare opportunamente il dispositivo.
Facendo scansionare il QRcode ma non divulgando il "seed", il referente dell’account può mantenere il controllo sui collaboratori autorizzati all’accesso. Dovrà quindi essere cura del referente dell’account unive non divulgare il documento con QRcode e "seed".
Se i collaboratori accedono alla posta elettronica dell'account condiviso tramite delega Gmail, non sarà necessario far configurare loro l'OTP poiché continueranno a visualizzare la posta dell'account condiviso tramite l'autenticazione personale. Sarà quindi cura esclusiva del referente dell'account configurare l'OTP.
Ho un nuovo dispositivo / ho perso l’applicazione per generare l’OTP: cosa devo fare?
L’applicazione per generare il codice OTP può essere riconfigurata usando il QRCode o il “seed” presenti nel documento PDF salvato durante la precedente attivazione dell’OTP (vedi sezione "Come si attiva l'OTP"): per questo è importante conservare questo documento in modo sicuro.
Se non sei più in possesso del documento PDF contenente il QRCode e il “seed” puoi generare un nuovo OTP nel modo seguente:
- accedi a www.unive.it/gestione-otp con il tuo SPID personale o CIE, come richiesto da D.L. n. 76/2020;
- seleziona la voce “Genera un nuovo OTP”;
- reimposta l’app Google Authenticator con il nuovo QRCode
- se presente, cancella il vecchio codice OTP dall’app Google Authenticator.
Se non sei in possesso di SPID o CIE, richiedi supporto aprendo un ticket ad ASIT, allegando un documento d’identità valido per il riconoscimento.
Ho perso / mi è stato rubato il device con il generatore di OTP: cosa devo fare?
Per questioni di sicurezza è necessario generare immediatamente un nuovo documento di attivazione, procedendo come segue:
- accedi a www.unive.it/gestione-otp con il tuo SPID personale o CIE, come richiesto da D.L. n. 76/2020;
- seleziona la voce “Genera un nuovo OTP”;
- reimposta l’app Google Authenticator con il nuovo QRcode.
Con questa procedura verrà creato un nuovo documento PDF da conservare, contenente nuovi QRCode e "seed" e verranno invalidati gli OTP generati tramite la precedente configurazione.
Se non sei in possesso di SPID o CIE, richiedi supporto aprendo un ticket ad ASIT, allegando un documento d’identità valido per il riconoscimento.
Voglio generare un nuovo "seed" e OTP: cosa devo fare?
- accedi a www.unive.it/gestione-otp (nella quale ti verrà chiesto il codice OTP corrente) e seleziona la voce “Genera un nuovo OTP”;
- reimposta l’app Google Authenticator con il nuovo QRcode;
- cancella il vecchio codice OTP dall’app Google Authenticator.
Con questa procedura verrà creato un nuovo documento PDF da conservare, contenente nuovi QRCode e "seed" e verranno invalidati gli OTP generati tramite la precedente configurazione.
Non ho accesso all’app mobile di generazione dell'OTP / non ho uno smartphone: quali alternative posso utilizzare?
Sebbene sia caldamente consigliato l’uso di un'applicazione installata su dispositivo mobile o tablet, è possibile ottenere l’OTP anche su computer tramite apposite estensioni per i browser.
Il personale dell'Area Servizi Informatici e Telecomunicazioni (ASIT) ha verificato le estensioni Two Factor Authenticator per Mozilla Firefox e Authenticator per Mozilla Firefox e per Google Chrome.
Il mio smartphone non mi permette di installare Google Authenticator: cosa devo fare?
Come alternativa a Google Authenticator, sul tuo smartphone puoi installare la seguente app, verificata dal personale dell'Area Servizi Informatici e Telecomunicazioni (ASIT):
La procedura di configurazione è del tutto simile a quella descritta per Google Autheticator.
Negli store Android e iOS sono disponibili anche altre app di generazione dell'OTP, che puoi decidere di installare e verificare in autonomia a tua discrezione.
Last update: 20/11/2024