Autenticació amb doble factor
- 1 Què és l'autenticació amb doble factor?
- 2 Accés a l'autenticació amb doble factor
- 3 Qui pot utilitzar l'autenticació amb doble factor?
- 4 Com es completa l'autenticació amb el doble factor?
- 5 Què pots fer des de les preferències?
- 6 Resolució de problemes
- 7 Glossari
Què és l'autenticació amb doble factor?
L'autenticació amb doble factor és una nova mesura de seguretat per accedir a alguns dels serveis i aplicacions de la Universitat Jaume I (UJI) de Castelló i, així, complir la normativa que marca l'Esquema Nacional de Seguretat (ENS). Es tracta d'un mètode de control en què l'usuari o la usuària ha d'aportar, a més del seu nom i clau d'accés, un codi de verificació extra. El codi és un número de 6 dígits de només un ús que es pot obtenir a través de dues vies:
L'aplicació Google Authenticator (es pot descarregar tant a Android com a iOS / iPhone)
Un correu electrònic
Alternativament a un codi numèric també es pot usar una clau pròpia basada en l’especificació webauthn.
El sistema també genera automàticament un llistat de codis d'un sol ús per a utilitzar-los quan no es té a mà el correu electrònic i el telèfon mòbil. El doble factor es requereix per accedir a les eines informàtiques de l'UJI amb protecció de dades alta o mitjana (sistemes d'informació qualificats de categoria MITJANA o ALTA respecte a l'ENS). Així, amb aquesta doble autenticació es fa molt difícil la suplantació de la identitat d'un usuari quan accedeix a un servei, encara que algú puga conéixer la seua clau d'accés.
Des de l'última actualització (vegeu l’apartat Ha desaparegut l’opció de marcar l’equip de confiança?), el doble factor no s’activarà i, per tant, no haureu d’aportar cap codi addicional en els equips d'ús personal, les taules multimèdia ni aules informàtiques. Podeu consultar el llistat dels vostres ordinadors de treball d'ús personal a través de l’IGLU > Identificació de l’ordinador de treball.
Accés a l'autenticació amb doble factor
L'autenticació amb doble factor es requereix, com estableix la normativa, en els serveis i aplicacions de l'UJI amb una protecció de dades alta o mitjana.
Cal destacar que per a accedir als serveis, primer, el sistema us demanarà, com és habitual, el nom d'usuari i la clau d'accés de l'UJI i, després, sol·licitarà el segon factor (el codi de 6 dígits). Per a més informació vegeu Com es completa l'autenticació amb el doble factor? No us tornarà a demanar el doble factor mentre no desconnecteu la sessió.
Qui pot utilitzar l'autenticació amb doble factor?
Ara per ara, hi ha un grup d'usuaris en proves i, en els pròxims mesos, s'anirà estenent a la resta de la comunitat universitària.
Com es completa l'autenticació amb el doble factor?
La primera vegada que accediu al doble factor, un cop fiqueu el vostre nom d'usuari i clau d'accés de l'UJI, es mostrarà una pantalla informativa com la de la imatge de sota. Cal que premeu Continua per a completar l'autenticació.
Seguidament, apareixerà la pantalla on heu de triar el mètode per a introduir el segon factor, com podeu observar en la imatge de sota. És la pantalla que es mostrarà sempre un cop fiqueu el nom d'usuari i clau d'accés de l'UJI. Recordeu que el doble factor és un codi de 6 dígits d'un sol ús que podeu obtenir a través de diversos mètodes:
Utilitzar l’aplicació Google Authenticator en el vostre telèfon mòbil (disponible tant en Android com en iOS / iPhone).
Rebre un codi a una adreça de correu electrònic alternativa a la de l’UJI.
Usar un número d’una llista de codis generada automàticament.
Si voleu que el sistema no us torne a demanar el doble factor heu de marcar la casella Confiar en aquest dispositiu, encara que aquesta opció només està disponible en els equips d'ús personal, que són els que té identificats l’UJI com a ordinador de treball, i només apareix si anteriorment l'heu marcat com a no confiable. En aquest cas, quan trieu un dels mètodes disponibles el sistema mostra un missatge, com el de sota, perquè confirmeu si el dispositiu que esteu utilitzant és de confiança o no. Podeu consultar i eliminar els vostres dispositius de confiança des de les Preferències. Per a més informació consulteu Gestionar els dispositius de confiança.
Un cop seleccioneu el mètode per a obtenir el codi del doble factor podeu fer marxa enrere fent clic sobre Torna als mètodes disponibles o podeu polsar Estableix aquesta opció com a predeterminada, per a utilitzar sempre aquest mètode d'autenticació.
Cal subratllar que podeu copiar i enganxar el codi requerit en qualsevol dels mètodes d'autenticació. Si passeu el ratolí per sobre de la frase Codi de verificació del doble factor, veureu que es mostra la frase Podeu copiar i enganxar el codi. És un mecanisme útil per, per exemple, copiar un codi enviat al correu electrònic o del llistat de codis disponibles i enganxar-lo en la pantalla on heu d'introduir el codi.
Com s'obté el codi amb l'aplicació Google Authenticator?
Primer, cal que instal·leu l'aplicació Google Authenticator en el vostre telèfon mòbil, disponible tant per a Android com per a iOS/iPhone. La podeu buscar en el Play Store o l'App Store i, seguidament, polseu el botó Instal·lar.
Un cop l'hàgeu instal·lat, heu de fer clic en Començar i, seguidament, haureu d'afegir un compte escanejant un codi QR.
Quan hàgeu elegit utilitzar l'aplicació Google Authenticator, cal que seguiu aquestes indicacions (vegeu les dues imatges de sota):
En la pantalla del vostre dispositiu apareixerà un codi QR i una clau alfanumèrica llarga, si es tracta d’un ordinador, o només la clau alfanumèrica llarga en cas que estigueu utilitzant el telèfon mòbil per autenticar-vos.
Codi QR: si no apareix, recarregueu i refresqueu la pàgina. L'heu d'escanejar amb el vostre telèfon mòbil per agregar un compte a l'aplicació. Heu de tenir present que aquest codi QR apareixerà només la primera vegada que creeu el perfil en l'aplicació i no ho tornarà a fer des del primer codi que introduïu correctament.
Clau alfanumèrica llarga: heu de copiar-la i enganxar-la en l’aplicació per tal de crear el nou compte.
Després d'escanejar el codi o de copiar-lo i enganxar-lo, heu de fer clic en Continua.
Paral·lelament, en el vostre telèfon es mostra un codi. Cal subratllar que és un codi que canvia amb freqüència i, per tant, no cal que el memoritzeu.
Per completar la doble autenticació, heu de ficar aquest número en el camp Codi de verificació del doble factor i, finalment, polsar Verifica.
En les següents ocasions, només caldrà que accediu a l'aplicació Google Authenticator per a obtenir el codi que haureu de ficar i verificar, com podeu veure en la imatge de sota. Recordeu que el codi s'actualitza constantment, cada 30 segons. Fixeu-vos que al costat del número apareix una roda de color blau indicant el temps que falta perquè canvie.
Com s'obté el codi a través d'un correu electrònic?
Si opteu pel missatge de correu electrònic, el sistema us enviarà un codi a l'adreça de correu alternativa a la de l'UJI que conste en el sistema. Haureu de ficar el número que rebeu en el camp Codi i, seguidament, haureu de polsar Verifica. Cal que tingueu en compte que el sistema permet enviar un codi al correu alternatiu tres vegades seguides, però en superar aquest límit us apareixerà un missatge d'error i haureu de triar un altre mètode d'autenticació.
Si al sistema informàtic no consta la vostra adreça de correu electrònic alternativa a la de l'UJI, no podreu utilitzar aquesta via, com podeu observar en l'exemple de sota. Haureu de fer-ho a través d'una altra opció, polsant sobre Torna als mètodes disponibles. Haureu de facilitar o actualitzar les vostres dades de contacte a través de les Preferències. Per tal d'obtenir més informació consulteu Actualitzar les dades de contacte.
Cal que tingueu en compte que periòdicament es mostrarà una pantalla, com la de sota, perquè confirmeu i actualitzeu les vostres dades de contacte, tant el telèfon mòbil com el correu electrònic. Si no en consta cap, és obligatori que fiqueu almenys una de les dues i feu clic en Continua. Si alguna ha canviat, modifiqueu-la i premeu Continua i, si són correctes, polseu directament sobre Continua. Tingueu present que cal que fiqueu el prefix o codi del país si el vostre telèfon és internacional i el correu electrònic ha de ser extern a l'UJI.
Com podeu observar, també disposeu del botó No actualitzar ara per si voleu comprovar i modificar les vostres dades en un altre moment. Podeu posposar aquesta actualització fins a tres voltes. Una vegada exhaurides, obligatòriament les haureu d'actualitzar i polsar Continua. És una opció pensada per als casos en què la pantalla puga ser vista per tercers, com pot ser una projecció.
Quan hàgeu introduït una dada per primer cop o la modifiqueu, rebreu en el vostre telèfon un missatge SMS amb un codi i/o un correu electrònic amb un altre codi. Els heu de posar al camp Codi rebut al vostre telèfon mòbil o Codi rebut al vostre correu alternatiu i, finalment, prémer Confirma. Si només heu ficat una de les dades (telèfon o correu) només apareixerà la confirmació d'aquesta dada.
Com es genera una llista de codis?
El sistema genera automàticament una llista de codis amb fins a 30 números de 6 dígits que podeu utilitzar una sola vegada (el nombre de números podria anar variant). Es recomana que imprimiu aquesta taula i la guardeu per utilitzar els codis en cas que no tingueu a mà el mòbil o l'adreça de correu electrònic alternativa. Podeu mostrar en la pantalla el llistat de codis fent clic sobre la icona de l'ull i ocultar-los amb la del cadenat. Heu de tenir en compte que, cada volta que utilitzeu un d'aquests codis, es deshabilitarà i desapareixerà d'aquest llistat. Quan esgoteu els codis predefinits, el sistema crearà una nova llista i us la mostrarà quan accediu al doble factor. Podeu consultar els vostres codis disponibles des de les Preferències, tot i que cal remarcar que per a accedir-hi també es requerirà el doble factor. Per a més informació vegeu Consultar el llistat de codis generat automàticament. Convé destacar, a més, que podeu generar una nova llista de codis reinicialitzant el doble factor. Vegeu Restablir el doble factor per a saber com fer-ho.
Com usar les claus pròpies?
Per a registrar o usar una clau durant el procés d’autenticació podeu seguir llegint aquesta secció. Si ja esteu autenticats, podeu anar directament al vostre panell de preferències per a gestionar les claus.
Abans de poder usar estes claus s’han de registrar al sistema, per tal de poder relacionar el vostre usuari amb la clau. D’aquesta forma, una vegada registrada, es podrà presentar com un mètode més per poder superar el doble factor. Podeu tindre tantes claus privades com necessiteu.
Una clau privada pot residir dins un dispositiu mòbil (Android i/o iOS), dins un clauer USB de propòsit específic, o al mateix sistema operatiu sempre i quan suporte l’estàndard WebAuthn. Estes claus, normalment, estan protegides amb un PIN, patró de desbloqueig o patró biomètric (empremta dactilar, patró facial, etc.) quan es tracta d’un mòbil o PC que dispose d’estes funcionalitats. Els clauers USB especials poden estar protegits amb un PIN o empremta dactilar.
Les anomenades passkeys també estan suportades com a claus pròpies. Es corresponen amb les claus del nostre dispositiu de les quals cada proveïdor (Google, Apple, etc.) fa una còpia al núvol, de manera que al canviar de dispositiu, es tornen a sincronitzar i ja les tenim disponibles de nou.
Si no heu usat mai el doble factor o s’ha restablit recentment
La pantalla que es mostra només apareixerà si no heu usat mai el doble factor o s’ha restablit recentment. Abans heu de disposar d’una clau especial USB, un mòbil que puga connectar-se al vostre PC, o un sistema operatiu compatible amb les claus tipus WebAuthn (Windows 10 a partir de la versió 1809, o iOS a partir de la versió 14). Trieu un dispositiu en funció d’on voleu emmagatzemar la vostra clau.
Si ja heu usat el doble factor però no teniu cap clau registrada
La pantalla que voreu en este cas és com la que es mostra seguidament. Al polsar en “Registra una nova clau”, se us enviarà a la secció de “Claus pròpies” de les preferències, però, abans de poder accedir, haureu de superar un dels mètodes del doble factor que apareixeran en pantalla.
Si ja heu registrat una clau
Si ja heu registrat, almenys, una clau pròpia, apareixerà una pantalla en la qual es demana que la prepareu (la podeu inserir, o podeu acostar el mòbil, etc.). Premeu el botó “Verifica” per poder usar la clau.
Registre d’una nova clau
Tal com s’ha comentat, podeu registrar diversos tipus de claus, les quals poden trovar-se al mateix dispositiu des del qual esteu accedint (Windows Hello/Entra, iOS Face/Touch Id, mòbil Android amb patró/PIN/etc.), o a dispositius externs al que esteu usant per a accedir (mòbil iOS/Android, clau USB, etc.).
A continuació teniu un exemple del procés de registre d’un mòbil Android amb Windows 11. Probablement necessiteu una aplicació lectora de codis QR per als mòbils Android, per exemple https://play.google.com/store/apps/details?id=com.gamma.scan&hl=ca
1.- Indiqueu el nom descriptiu de la clau:
2.- Trieu el tipus de dispositiu on desar la clau:
3.- Vinculeu el mòbil amb el registre:
4.- Seguiu els passos al mòbil tal com indica la captura:
5.- Clau registrada. Ja podeu usar el vostre mòbil com a segon factor: