La protezione delle credenziali utente è della massima importanza. Il Doppio Fattore di Autenticazione è un potente mezzo di protezione in ambito cyber-security e ci permette di disporre di uno strumento in grado di contrastare alcune minacce informatiche, rendendo estremamente difficoltoso, se non impossibile, il furto di credenziali.

Sappiamo che le password possono essere "rubate" o divulgate a terzi (volontariamente o involontariamente). Usando l'autenticazione a 2 fattori si riduce fortemente l'impatto di una password "rubata" perché il proprio account risulta protetto non solo da qualche cosa "che si conosce " (cioè la password), ma anche da "qualcosa che si possiede", ad esempio un numero prodotto per una sola volta da un generatore di numeri disponibile attraverso il servizio "vault" o installato tramite una specifica applicazione sul proprio smartphone o sul proprio PC.

Da oggi è possibile dotarsi di questa nuova funzionalità seguendo le istruzioni reperibili a questo indirizzo: https://wiki.infn.it/cn/ccr/aai/doc/2fa/req

La procedura è molto semplice:

• si richiede l'attivazione tramite autenticazione AAI (riservata per ora a dipendenti, associati, ospiti) accedendo al servizio web https://mfa.app.infn.it/
• si registra il “segreto univoco” nella "cassaforte personale" disponibile nel servizio "vault" o nella propria applicazione

alla normale login via INFN-AAI viene aggiunto un passaggio in cui viene chiesto di inserire l’OTP (One-Time Password) ossia il numero da 6 cifre prodotto dall'applicazione Una volta attivata, l’autenticazione a 2 fattori verrà richiesta per l’accesso tutti i servizi web collegati ad INFN-AAI, con la sola eccezione dell’agenda InDiCo (in quanto il servizio è aperto a tutti) e del servizio di gestione delle password Vault https://vault.infn.it/#/login (perché tale servizio è protetto da una ulteriore master-password ed deve essere accessibile senza il secondo fattore in quanto è uno dei possibili strumenti per l’ottenimento del secondo fattore di autenticazione).

Come per tutte le attivazioni di secondo fattore di autenticazione, è stato definito, ed approvato dalla GE e dai direttori, un piano di dispiegamento che prevede un congruo periodo di attivazione volontaria ed un successivo periodo iin cui chi non ha attivato il secondo fattore dovrà farlo obbligatoriamente per poter accedere ai servizi informatici.