Autenticazione

L'autenticazione stabilisce chi sei prima che la piattaforma decida cosa puoi fare. Mirox combina un accesso sicuro, una protezione opzionale a due fattori, la piena visibilità delle sessioni e token API da macchina a macchina, in modo che solo tu — e le integrazioni che autorizzi esplicitamente — possiate raggiungere i tuoi dati.

Come accedi

Accedi con il tuo nome utente o e-mail insieme alla tua password. Un accesso riuscito avvia una sessione che ti mantiene connesso nell'applicazione web senza dover reinserire le credenziali a ogni richiesta.

  • Registrazione solo su invito — In produzione, i nuovi account vengono creati tramite invito. Se non disponi di un invito, puoi inviare una richiesta di accesso e gli operatori dell'organizzazione vengono avvisati di invitarti.
  • Verifica dell'e-mail — I nuovi account confermano il proprio indirizzo tramite un link di verifica prima di diventare attivi. Gli account creati da un invito sono pre-approvati.
  • Reimpostazione della password — Puoi richiedere un link di reimpostazione in qualsiasi momento. Il completamento di una reimpostazione disconnette ogni sessione attiva e ti avvisa via e-mail.
  • Avvisi di accesso — Ricevi un'e-mail quando un accesso arriva da un nuovo dispositivo o da una nuova posizione, e quando un tentativo di accesso fallisce.

Info

Mirox non rivela mai a un estraneo se un indirizzo e-mail è associato a un account. Le risposte alla reimpostazione della password e alla richiesta di accesso appaiono identiche indipendentemente dall'esistenza dell'indirizzo, quindi la superficie di accesso non divulga alcuna informazione sull'account.

Autenticazione a due fattori

L'autenticazione a due fattori (2FA) aggiunge una seconda prova d'identità oltre alla password, utilizzando una password monouso basata sul tempo (TOTP) da un'app di autenticazione.

  • Configurazione — Avvia la configurazione per ricevere un codice QR e un segreto da scansionare nella tua app di autenticazione. La 2FA diventa attiva solo dopo aver confermato un primo codice, quindi un'app configurata in modo errato non potrà mai bloccarti l'accesso.
  • Applicazione all'accesso — Quando la 2FA è attiva, l'accesso richiede un codice attuale di 6 cifre prima che la sessione venga concessa. La finestra del codice tollera gli intervalli adiacenti, quindi un codice che scade durante l'inserimento funziona comunque.
  • Disattivazione / verifica — Puoi disattivare la 2FA con un codice valido, oppure eseguire una verifica "controlla il mio codice" senza modifiche dal tuo profilo per confermare che la tua app sia sincronizzata.

Codice di backup

Quando attivi la 2FA ricevi un singolo codice di backup di 8 caratteri. Usalo se perdi l'accesso alla tua app di autenticazione.

  • Il codice di backup è monouso. Non appena lo utilizzi, viene emesso automaticamente un nuovo codice di backup — annota quello nuovo.
  • Puoi rigenerare il codice di backup in qualsiasi momento (con un codice 2FA valido), il che invalida quello precedente.
  • Se accedi con il codice di backup tramite il flusso di recupero dedicato, anche la 2FA viene disattivata, così da poterla ripristinare in modo pulito.

Avviso

Possiedi sempre un solo codice di backup alla volta — non si tratta di un elenco stampabile di dieci codici. Conserva il codice attuale in un luogo sicuro e aggiorna la tua registrazione ogni volta che ne viene emesso uno nuovo.

Gestione delle sessioni

Ogni dispositivo da cui accedi crea una sessione, e tu mantieni il controllo di tutte.

  • Visualizza le tue sessioni — Visualizza ogni sessione attiva con la sua posizione (città / paese), browser, sistema operativo e quale sia la tua sessione corrente.
  • Disconnessione remota — Revoca singolarmente qualsiasi altra sessione, oppure revoca tutte le altre sessioni in una volta mantenendo quella corrente. Le sessioni revocate smettono di funzionare immediatamente.
  • Identità self-service — Modifica la tua password, il nome utente o l'e-mail dal tuo profilo. La modifica della password disconnette le altre sessioni; la modifica dell'e-mail mantiene attivo il vecchio indirizzo fino alla verifica di quello nuovo.

Token API

Per integrazioni e script che comunicano con Mirox senza un browser, crei token API — credenziali a lunga durata con ambito limitato a un gruppo di permessi anziché al tuo account completo.

  • Accesso con ambito — Ogni token è vincolato a un gruppo di permessi, quindi può fare solo ciò che quel gruppo consente, mai più del tuo stesso accesso.
  • Rotazione — Ruota un token per emettere un nuovo segreto e ritirare istantaneamente quello vecchio, senza dover eliminare e ricreare l'integrazione.
  • Visibilità — Elenca i tuoi token per vedere il loro gruppo di permessi, le date di creazione e scadenza e dove sono stati utilizzati l'ultima volta.

La creazione o la rotazione di un token richiede una sessione interattiva (con accesso effettuato) — un token non può mai essere utilizzato per generare o ruotare un altro token. Consulta Token API per i gruppi di permessi disponibili, i limiti e i dettagli di utilizzo.

Limitazione della frequenza

Per mantenere la piattaforma stabile e proteggere gli account dai tentativi di brute-force, gli endpoint di accesso e altri endpoint sensibili (login, registrazione, richieste di accesso, reimpostazione della password e verifica della sessione) hanno una frequenza limitata per utente e per indirizzo IP pubblico.

Avviso

Quando superi il limite, la richiesta restituisce una risposta HTTP 429 (Too Many Requests) e la sorgente viene temporaneamente rallentata. Integra un backoff esponenziale in qualsiasi integrazione automatizzata, in modo che un'ondata di richieste non provochi un blocco.

Accesso amministrativo

In rare situazioni di supporto, un amministratore della piattaforma Mirox può accedere temporaneamente al tuo account per indagare su un problema per tuo conto.

  • Questo richiede una motivazione registrata ed è annotato in un registro di audit dedicato.
  • Solo gli account utente standard possono essere acceduti in questo modo — gli amministratori non possono farlo l'uno con l'altro.
  • L'accesso è di breve durata e termina automaticamente; mentre è attivo, un banner rende visibile l'accesso.

Lavorare con il sistema dei permessi

L'autenticazione risponde alla domanda chi sei; il sistema dei permessi risponde a cosa puoi raggiungere. I due lavorano insieme a ogni richiesta:

  1. L'autenticazione stabilisce la tua identità a partire dalla tua sessione o dal tuo token API.
  2. Il sistema dei permessi valuta cosa quell'identità è autorizzata a fare.
  3. Ogni operazione viene verificata rispetto ai tuoi permessi prima di essere eseguita.

Questa separazione mantiene flessibile il controllo degli accessi senza indebolire la garanzia che tu veda sempre e solo le tue risorse.

Funzionalità correlate

  • Sistema dei permessi — come vengono valutati i ruoli e l'accesso alle risorse una volta effettuato l'accesso
  • Token API — credenziali con ambito e ruotabili per l'accesso da macchina a macchina
  • Registro di audit — il registro immutabile degli accessi ai tuoi impianti e dispositivi
  • Inviti — come vengono integrati nuovi utenti e organizzazioni
MIT Licensed | Copyright 2026 Mirox Verwaltungs GmbH