Configurare l'MFA
L'autenticazione a più fattori (MFA) aggiunge un secondo passaggio a ogni accesso: un codice monouso basato sul tempo da un'app autenticatrice o una chiave di sicurezza hardware.
Fattori supportati
- App autenticatrice TOTP — Google Authenticator, Microsoft Authenticator, 1Password, Authy, Bitwarden, altri.
- Chiavi di sicurezza hardware — WebAuthn / FIDO2 (YubiKey, Titan Key, Windows Hello, iCloud Keychain).
- Codici di recupero — codici monouso da archiviare nel gestore di password in caso di perdita degli altri fattori.
Si consiglia di iscrivere almeno due fattori — una chiave hardware e un'app TOTP — in modo da non rimanere bloccati in caso di perdita del telefono.
Passaggi — TOTP
- Aprire Profile → Security → Set up authenticator app.
- Scansionare il codice QR con l'autenticatrice.
- Inserire il codice a 6 cifre visualizzato dall'app per confermare.
- Salvare i 10 codici di recupero offerti — inserirli in un gestore di password o stamparli.
Passaggi — chiave di sicurezza hardware
- Aprire Profile → Security → Add hardware key.
- Fare clic su Register key, toccare la YubiKey (oppure premere l'impronta digitale di Windows Hello).
- Assegnare alla chiave un'etichetta che si riconosca ("Office YubiKey", "Personal Titan").
Cosa succede dopo
Ad ogni accesso (e ai checkpoint di step-up come l'avvio di sessioni privilegiate), VaultPAM richiede uno dei fattori iscritti.
Se l'utente appartiene a più di un'organizzazione, l'iscrizione TOTP confermata può essere utilizzata per lo step-up anche in quella sede.