La corretta custodia delle credenziali istituzionali unisiPass è un obbligo per ogni assegnatario, come indicato anche nel discilinare informatico e nella password policy di Ateneo. Significa, in sostanza, mantenere ben protetta e custodita la password, oltre che sceglierne una sicura e non indovinabile, usando ad esempio un generatore di password casuali e un password manager per la custodia (es. KeePassXC).
E’ anche importante non rivelare MAI la password, in nessun caso, ad alcuno. Compresi eventuali tecnici, superiori o chiunque altro: le credenziali sono strettamente personali e un tecnico non avrà mai la necessità di chiedervele, neppure per fare interventi di assistenza.
Consigliamo inoltre di attivare, ovunque sia possibile e previsto, l’autenticazione multifattore (MFA) per aggiungere un ulteriore layer di protezione ai propri account.
Ricordiamo inoltre che è consentito usare le risorse di Ateneo, come l’indirizzo mail @unisi.it/@student.unisi.it, esclusivamente per scopi accademici e istituzionali.
Tuttavia può purtroppo accadere, come ad esempio in seguito ad un data breach o a un incidente informatico, anche su piattaform di terze parti, che le proprie credenziali @unisi.it/@student.unisi.it possano essere compromesse (suggeriamo di effettuare verifiche periodiche su portali come IHaveBeenPwned).
In questo caso la prima cosa da fare, nel più breve tempo possibile dal momento della scoperta (o del sospetto), è modificare le credenziali attraverso questa procedura (my.unisi.it/password-change):
L‘aggiornamento è più urgente nel caso non abbiate attivato l’autenticazione multifattore come suggerito più sopra: senza questa ulteriore protezione, infatti, chiunque abbia la vostra password potrà accedere alle risorse a Voi intestate (e-mail, documenti, informazioni personali…) molto più facilmente.
In seguito all’aggiornamento delle credenziali, si invita a segnalare l’accaduto, circostanziandolo per permetterci di effettuare le necessarie indagini interne, all’indirizzo preposto allo scopo: abuse@unisi.it (ATTENZIONE: questo indirizzo non deve essere usato per altre tipologie di richiesta!).
Nel caso si ritenga opportuno, anche per tutelarsi da eventuali usi indebiti del proprio account istituzionale, si può procedere a sporgere denuncia presso le autorità competenti.