Autenticació de múltiples factors
Què és l’autenticació de múltiples factors (MFA)?
És una capa addicional de seguretat que s’afegeix a l’esquema d’autenticació bàsica on, a més de la validació basada en usuari i contrasenya, s’afegeix un altre factor d’autenticació que únicament pot conèixer aquest usuari, com pot ser: un codi enviat a un mòbil, una empremta digital, sistema One-Time-Password (OTP), etc., convertint aquest procés de validació en molt més segur que el basat únicament en una autenticació simple.
Mètodes de MFA
Un mètode d’autenticació multifactor es basa a sol·licitar, a més de l’usuari i contrasenya, una informació addicional que únicament té i coneix l’usuari. L’ usuari pot tenir configurats diferents factors d’autenticació addicionals i pot utilitzar qualsevol d’ells per finalitzar correctament el procés d’autenticació.
Des de fa uns mesos, la UIB disposa de la infraestructura Microsoft 365 com a plataforma d’entorn col·laboratiu.
A continuació, es descriuen alguns dels factors d’autenticació que tenim disponibles a Microsoft 365:
- Missatge emergent (push) a l’aplicació Microsoft Authenticator. L’usuari rep un missatge push al seu telèfon mòbil. Per accedir a l’aplicació l’ha de desbloquejar emprant una dada biomètrica (empremta digital, reconeixement facial) o un codi PIN de seguretat, en funció de les característiques i configuració del seu dispositiu mòbil.
- Codi d’un sol ús basat en el temps TOTP (Time based One Time Password). L’usuari disposa al seu mòbil d’una aplicació com Google Authenticator o altres que genera un codi de 6 dígits. Per poder accedir ha d’introduir aquest codi en el dispositiu. La validesa d’aquest codi sol ser d’uns 30 segons.
- Codi d’un sol ús OTP (One Time Password): El sistema contacta amb l’usuari utilitzant:
- Tramesa d’un missatge de text amb un codi a un mòbil definit prèviament per l’usuari i que ha d’introduir per validar l’autenticació.
- Trucada telefònica: el sistema realitza una trucada a un telèfon que l’usuari ha definit previament amb una locució sol·licitant algun tipus d’interacció per part de l’usuari per poder validar l’autenticació.
- Tokens de seguretat: l’usuari s’identifica utilitzant un dispositiu físic específic, registrat prèviament, com per exemple un USB o un dispositiu físic TOTP.
Qui són els usuaris que utilitzaran MFA?
Qualsevol membre de la comunitat universitària que vulgui fer ús dels sistemes d’informació de la UIB haurà d’accedir utilitzant un multifactor d’autenticació amb diferents perfils de seguretat.
MFA té com a destinataris els tres col·lectius que conformen la Universitat
- Personal Docent i Investigador (PDI)
- Personal d’Administració i Serveis (PAS)
- Alumnes i resta de membres de la comunitat universitària únicament quan accedeixin als escriptoris virtuals de les aules d’informàtica
Què passa si l’usuari oblida el seu dispositiu mòbil o el token?
És recomanable habilitar diversos mètodes de MFA (per exemple missatge push amb Microsoft Authenticator i trucada telefònica al telèfon institucional) perquè en cas de no disposar d’un es pugui fer ús d’un segon.
Per què activar el MFA?
Adoptar aquesta mesura de seguretat dona compliment al que estableix sobre això l’Esquema Nacional de Seguretat (ENS, RD 311/2022 de 3 de maig), concretament en la mesura “Mecanisme d’autenticació (usuaris de l’organització) [op.acc.6]“. Aquesta normativa és d’obligat compliment en els organismes públics.
On puc descarregar les aplicacions d’autenticació?
Com puc validar el funcionament del MFA configurat?
Per comprovar el correcte funcionament de la validació multifactor (MFA), accedeixi al següent https://aka.ms/mfasetup
Què puc fer si els codis que em retorna l’aplicació on tinc configurat el MFA no són vàlids?
Els codis que proporcionen les aplicacions MFA són vàlids únicament a un moment en el temps. Si l’hora configurada en el dispositiu des d’on consulta l’aplicació MFA no és correcta els codis no seran vàlids. Uns pocs segons de desfasament horari poden fer que els codis no siguin vàlids.
Podem verificar si tenim l’hora ben configurada a l’equip accedint a la web: https://time.is/es/
Per sincronitzar l’hora podem:
- Equips Windows: clickar damunt l’hora a la dreta de la barra de tasques i seleccionar “Configuració de data i hora” -> “Sincronitza ara”
- Apps per a dispositius mòbils: el canvi de zona horària no afecta sempre que l’hora estigui sincronitzada amb la que correspon a la zona en la qual ens trobam
- App Google Authenticator: disposa d’una opció per forçar la sincronització de l’hora. Des de l’aplicació cal anar al menú (icona de tres ratlles horitzontals) i seleccionar “Configuració” -> “Correcció de l’hora en els codis” -> “Sincronitza ara”
Quina és la política d'implantació de l'MFA a la UIB?
Aquí trobareu quina és la política d'implantació de l'MFA.
Com puc configurar una aplicació TOTP al meu equip?
Podem emprar depenent del sistema operatiu un codi d’un sol ús basat en el temps TOTP (Time based One Time Password).
No és recomanable utilitzar aquesta aplicació en el mateix dispositiu emprat per gestionar el MFA.
Aplicacions TOTP recomandes, segons el sistema operatiu són:
- Windows: 2fast - Two Factor Authenticator
- Mac: Step Two
- Linux: OATH Toolkit
Necessites ajuda amb MFA?
Trobareu informació de l'autenticació de múltiples factors a la web de seguretat de la UIB.
Si necessiteu ajuda, posau-vos en contacte amb el CAU mitjançant el formulari de suport o mitjançant qualsevol altre mètode. Aquí teniu les dades de contacte.