Autenticazione a Fattori Multipli (MFA - Multi factor Authentication)

Servizi

Cos'è l'autenticazione a Fattori Multipli (MFA - Multi factor Authentication)

L'Autenticazione a Fattori Multipli (MFA - Multi factor Authentication) è una tecnologia di sicurezza che prevede l'utilizzo di credenziali di categorie diverse e indipendenti nella verifica dell'identità di una persona nell'accesso a risorse protette. L'Autenticazione a Fattori Multipli impone l'utilizzo di due o più credenziali di categorie di sicurezza indipendenti: ad esempio qualcosa che una persona conosce (esempio login/password) con qualcosa che un utente possiede (esempio token di sicurezza) oppure con qualche sua caratteristica personale distintiva (esempio caratteristica biometrica).

L'obiettivo della MFA è quello di creare difese a più livelli che rendano più difficile per una persona non autorizzata accedere a risorse protette, siano esse fisiche o informatiche. Infatti, qualora un fattore di autenticazione viene compromesso, nel contesto di autenticazione MFA la persona non autorizzata che tenta di accedere alla risorsa protetta ha comunque una o più barriere aggiuntive da superare per raggiungere lo scopo.

La MFA è una componente essenziale della Gestione delle Identità e degli Accessi, in particolare per la definizione delle politiche di controllo all'accesso che regolano la definizione dei livelli di sicurezza specifici per le varie risorse gestite.

Come funziona l’MFA in Univr

L'autenticazione a più fattori (MFA - Multi Factor Authentication) utilizza più metodi di autenticazione per verificare l'identità dell'utente che desidera accedere. 

Metodi 1 e 2: SPID oppure CIE

Metodo 3: GIA + TOKEN

Il token (termine informatico che indica un oggetto fisico o logico necessario per l’MFA) generalmente è un codice numerico e può essere fornito con due modalità:

  • TOTP (Time-Based One Time Password) - (scelta consigliata, per ovviare ad eventuali problemi dei provider di posta esterni a univr) il codice/token viene inviato su app installata su smartphone pertanto, oltre alla mail privata su dberw, è necessario anche installare una app su pc o smartphone, come ad esempio:
    • Applicazioni Mobile (Microsoft Authenticator, Google Authenticator, 2FA, …)
    • Applicativi Desktop in grado di supportare lo standard (es. KeepassXC).
  • OTP (One Time Password) - il codice/token viene inviato via mail pertanto è necessario inserire una mail privata in dberw (TA e docenti) o in Esse3 (studenti); funziona senza alcuna configurazione dell’utente che ha l'unico compito di controllare la correttezza della propria email privata fornita all’università.

Quali applicativi richiedono l’MFA

  • DBERW
  • OFFICE 365
  • POSTA ELETTRONICA

Quando viene richiesta l'autenticazione MFA

L'accesso alla posta Outlook Web (Outlook Web Access - OWA) può avvenire tramite:
  • il link WEBMAIL, presente in alto a destra, nella home page UniVR
  • il link Outlook Webmail, presente in fondo nella colonna AREE RISERVATE, nella home page UniVR
  • l'applicazione Webmail presente in MyUniVR / My Desk / Tutte le applicazioni (oppure Le mie applicazioni)
L'MFA viene chiesto quando:
  • durante il login precedente, rispetto a quello in corso, si è risposto NO al messaggio "Rimanere connessi? Eseguire questa operazione per ridurre il numero di volte in cui viene richiesto l'accesso."
  • al termine della propria attività in Outlook Web si effettua il logout dal proprio avatar, che si trova in alto a destra, scegliendo successivamente la voce "Esci"
  • all'interno del browser in uso si è impostato di non memorizzare password/moduli/cronologia/cookies
  • si effettua la pulizia di password/moduli/cronologia/cookies del browser usato
L'MFA non viene chiesto (entro 30 giorni dalla richiesta precedente) quando:
  • durante il login precedente, rispetto a quello in corso, si è risposto SI al messaggio "Rimanere connessi? Eseguire questa operazione per ridurre il numero di volte in cui viene richiesto l'accesso."
  • al termine della propria attività in Outlook Web non si effettua il logout dal proprio avatar, che si trova in alto a destra, ma si chiude "semplicemente il browser, o la scheda in cui si era aperto OWA
  • all'interno del browser in uso si è impostato di memorizzare password/moduli/cronologia/cookies
  • non si effettua la pulizia di password/moduli/cronologia/cookies del browser usato
  • l'accesso a Outlook Web avviene tramite MyUniVR / My Desk / Le mie applicazioni oppure Tutte le applicazioni (in questo caso l'utente ha inserito solamente le credenziali necessarie per l'accesso a MyUniVR)

Dove trovo le guide, i video e le informazioni su MFA

Tutte le informazioni aggiornate e le guide specifiche distinte per applicativo e dispositivo sono disponibili nella sezione documenti di questa pagina.

Video esplicativi sono invece disponibili nella cartella MFA nel Video Portal di Panopto.

Come risolvere errori di configurazione

Se compare il seguente errore significa che non è stata fornita una email privata all’università e quindi non è presente in ESSE3 carriere studenti (per gli studenti) o a DBERW (per il personale TA/docenti) e non è stata registrata nessuna applicazione per l’autenticazione MFA via TOTP.

Per risolvere ci sono due opzioni:

  • inserire un indirizzo email privata in ESSE3 carriere studenti (per gli studenti) o in DBERW (per il personale TA/docenti) ed autenticarsi con Login/password GIA e scegliere il metodo invio “Email” inserendo il codice OTP ricevuto. Vedi il paragrafo “Accesso da portale web – Metodo Email” nei manuali Windows o MAC
  • vedere il paragrafo “Registrare l’Applicazione per l’autenticazione MFA via TOTP” nei manuali Android, Iphone o Ipad

Chi contattare in caso di problemi

In caso di problemi con MFA contattare i tecnici dei Gruppi di supporto tecnico informatico per area di riferimento

Documenti

Cos'è l'Autenticazione MFA - Guida introduttiva
Guide per la configurazione dei diversi dispositivi: Android, Iphone, Ipad, Windows, Mac, Linux
Video Tutorial di configurazione MFA