Introduzione
Con la versione 24.0.1 di Check&In è stata introdotta l'autenticazione a due fattori (MFA o 2FA) di tipo OTP.
Questo è un meccanismo di login che per consentire l'accesso richiede, oltre alla password dell'utente, anche di possedere un secondo dispositivo, detto autenticatore, in grado di generare un codice di autenticazione valido, composto da sei cifre che cambiano ogni 30 secondi.
Check&In supporta tutti gli autenticatori che rispettano lo standard RFC6238 e possono essere configurati con un QRCode OTPUri oppure con una frase segreta Base32. Alcuni esempi di app per smartphone che rispettano questi requisiti sono Google Authenticator e Microsoft Authenticator, mentre per PC con ambiente WIndows si può utilizzare KeePass.
L’efficacia dell’autenticazione a due fattori è limitata al dispositivo che genera il codice di autenticazione. Per aumentare effettivamente la sicurezza rispetto al solo utilizzo della password, questo dispositivo deve essere protetto da accessi non autorizzati (ad esempio, se è uno smartphone, non dovrebbe essere lasciato sbloccato e accessibile ad altre persone, che potrebbero quindi accedere al codice OTP) e preferibilmente non essere lo stesso dispositivo da cui si accede a CheckAndIn. Inoltre, in caso di smarrimento del dispositivo che genera il codice OTP, va eseguita subito la procedura di reset, per invalidare i codici generati dal dispositivo smarrito e prevenire accessi non autorizzati.
Per abilitare l’autenticazione a due fattori è necessario innanzitutto che un utente amministratore abbia il privilegio “Utente.Gestisci MFA”. Questo privilegio gli permette di abilitare o disabilitare l’autenticazione a due fattori in modo indipendente per ciascun utente. Il privilegio va abilitato dalla configurazione dello schema dell’utente, nella sezione “Utenti”. Si ricorda che dopo aver salvato la modifica, è necessario che l’utente esegua un logout e un login perché venga applicata. Vedere Schemi di accesso per ulteriori informazioni.
L’abilitazione di questo privilegio fa comparire un box di abilitazione MFA nelle impostazioni di ciascun utente. Una volta attivata questa opzione nella pagina di dettaglio di un utente, a quest'ultimo, al login successivo, verrà richiesto di configurare un autenticatore. L'utente avrà inoltre la possibilità, tramite un pulsante "Reset", di ripristinare il le impostazioni di secondo fattore, nel caso queste siano state smarrite. Nella pagina di dettaglio utente, è consigliato anche selezionare l’opzione “Forza l’autenticazione standard” se viene abilitata l’autenticazione a due fattori. Il valore di default di queste due flag è configurabile dalla pagina “Applicazione -> Sicurezza”. In questo modo, se è necessario creare più utenti, non è necessario abilitare manualmente le flag per ogni utente.
Al primo login dell’utente con l’autenticazione a due fattori attiva, verrà richiesto di configurare un autenticatore.
Cliccare sul pulsante “Imposta MFA”. Verrà caricata la pagina di configurazione MFA.
Da qui è necessaria un’app autenticatore. Proseguire come indicato dal testo, scansionando il codice QR oppure inserendo manualmente la frase segreta. Si rimanda alla guida dell’applicazione autenticatore per la procedura specifica, ma è generalmente presente un pulsante “+ (Aggiungi)” che permette di scansionare il codice QR. Al termine della procedura l’autenticatore mostrerà un codice OTP a sei cifre, che va inserito nel campo “Conferma OTP”. Cliccare quindi il pulsante “Conferma” per completare la configurazione. Se il codice OTP inserito non è valido, verrà chiesto di inserirne un altro, altrimenti verranno mostrati dei codici di recupero.
I codici di recupero possono essere scaricati come file di testo attraverso il pulsante “Scarica i codici di recupero” e poi stampati oppure trascritti a mano. È importante salvarli, in quanto non potranno essere più visualizzati in seguito. Questi permettono di accedere nel caso si perda o si rompa il dispositivo autenticatore. Siccome possono sostituire il codice OTP, è importante che non vengano memorizzati né sullo stesso dispositivo da cui si esegue l’accesso a Check&In, né sul dispositivo autenticatore, in quanto perderebbero la loro utilità. Ciascun codice potrà essere utilizzato solamente una volta, pertanto se vi è la necessità di usarne uno si consiglia in seguito di resettare il secondo fattore per generare dieci nuovi codici, in modo che se dovesse verificarsi un’ulteriore necessità di utilizzare i codici di recupero non si rischia di essere bloccati fuori dall’account.
Una volta salvati i codici di recupero, cliccare “OK”: verrà richiesta una conferma di aver salvato i codici e si verrà riportati alla pagina di login.
Procedura di login con MFA abilitata
Quando è abilitata l’autenticazione a due fattori, alla procedura di login viene aggiunto un passaggio in cui viene richiesto il secondo fattore.
La prima parte di login rimane tuttavia uguale, richiedendo l’inserimento di nome utente e password:
Una volta verificate le credenziali di accesso classiche, viene proposto un campo di inserimento del secondo fattore. Una volta inserito il codice OTP a sei cifre generato dall’autenticatore, cliccare su “Verifica”: se il codice è valido, verrà consentito il login, altrimenti verrà chiesto di nuovo un codice OTP.
Attenzione: c’è un limite di tempo di 1 minuto per inserire il codice OTP, al termine del quale verrà chiesto di riautenticarsi con nome utente e password.
Procedura di cambio password con MFA abilitata
Il meccanismo di cambio password è stato modificato con l’introduzione dell’autenticazione a due fattori. Se l’utente dispone del privilegio “Modifica propria password” e conosce la password attuale, deve navigare alla pagina di preferenze del suo utente, accessibile cliccando sul suo nome in alto a destra e poi su “Preferenze” dal menu che compare
Nella pagina delle preferenze sarà disponibile un pulsante “Modifica password corrente”
Cliccandolo compariranno dei campi per inserire la password attuale, inserirne una nuova e confermare la nuova password
Cliccare poi sul pulsante “Salva nuova password” per confermare la modifica. Se la vecchia password è corretta, la conferma password corrisponde con la nuova password e la nuova password rispetta i requisiti minimi verrà mostrato un messaggio di successo, altrimenti verrà indicato cosa non è corretto e si potrà ritentare.
Procedura di cambio/reset autenticatore MFA
Oltre a modificare la propria password corrente, nella pagina delle preferenze dell’utente è possibile anche resettare l’autenticatore. Questo permette ad esempio di configurare un nuovo dispositivo che sostituisce il precedente, o di riconfigurare l’autenticatore se lo si avesse resettato. Attenzione: configurando un nuovo autenticatore, né i codici generati dal precedente né i codici di recupero saranno più validi.
Cliccando sul pulsante “Resetta MFA” verranno mostrate le informazioni necessarie a configurare un nuovo autenticatore.
Per poter modificare l’autenticatore, è necessario inserire nel campo “Conferma OTP Precedente” un codice generato dall’autenticatore attuale. Se non fosse disponibile, si può utilizzare uno dei codici di recupero generati alla precedente configurazione. Nota: il codice OTP è valido per 60 secondi, si consiglia quindi di configurare prima il nuovo autenticatore e poi inserire il codice. Per configurare l’autenticatore, proseguire come indicato dal testo, scansionando il codice QR oppure inserendo manualmente la frase segreta. Si rimanda alla guida dell’applicazione autenticatore per la procedura specifica, ma è generalmente presente un pulsante “+” che permette di scansionare il codice QR. Al termine della procedura l’autenticatore mostrerà un codice OTP a sei cifre, che va inserito nel campo “Conferma nuovo OTP”. Una volta inseriti entrambi i codici, cliccare sul pulsante “Salva”, verranno mostrati dei nuovi codici di recupero che sostituiscono i precedenti.
I codici di recupero possono essere scaricati come file di testo attraverso il pulsante “Scarica codici di recupero” e poi stampati oppure trascritti a mano. È importante salvarli, in quanto non potranno essere più visualizzati in seguito, e permettono di accedere nel caso si perda o si rompa il dispositivo autenticatore. Siccome possono sostituire il codice OTP, è importante che non vengano memorizzati sullo stesso dispositivo da cui si esegue l’accesso a Check&In, né sul dispositivo autenticatore, in quanto perderebbero la loro utilità. Ciascun codice potrà essere utilizzato solamente una volta, pertanto se vi è la necessità di usarne uno si consiglia in seguito di resettare il secondo fattore per generare dieci nuovi codici, in modo che se dovesse verificarsi un’ulteriore necessità di utilizzare i codici di recupero non si rischia di essere bloccati fuori dall’account.
Procedura di recupero password
Con l’introduzione dell’autenticazione a due fattori, la procedura di recupero password è stata modificata. Ora, quando si clicca su “Password dimenticata?” viene richiesto il codice OTP per poter inviare la mail di reset password
Se il codice OTP è corretto verrà inviata una mail all’indirizzo associato all’utente. In questa sarà presente un link alla pagina di reset, dove si trovano due campi per inserire e confermare la nuova password.
Inserire e confermare la nuova password. Al click sul pulsante “Conferma” la modifica verrà salvata e si potrà tornare alla pagina di login.
Se oltre alla password si perde l’accesso all’autenticatore e ai codici di recupero, è necessario richiedere il reset delle credenziali ad un utente amministratore. Al login successivo si potrà configurare una nuova password e un nuovo autenticatore.
Procedura di recupero secondo fattore
Il secondo fattore non può essere recuperato. Se si dovesse perdere l’accesso all’autenticatore, si può utilizzare uno dei codici di recupero al posto del codice OTP per effettuare il login. In seguito al login, procedere subito al reset dell’autenticatore come indicato nel paragrafo “Procedura di cambio/reset autenticatore MFA”.
Se oltre all’autenticatore non si ha accesso ai codici di recupero, è necessario richiedere il reset ad un utente amministratore. Al login successivo si potrà configurare un nuovo autenticatore.