Vícefaktorové ověřování na UJEP - MFA

Vícefaktorové ověřování (MFA - Multifactor authentication) slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. MFA vyžaduje užití více než jednoho ověřovacího faktoru. Např. Kombinace hesla a tokenu.

MFA je zaveden pouze v systému jednotného přihlašování - eduID.cz

Obecný doporučený postup

Je vhodné nastavit si více než jeden druhý faktor (token, ověřovací klíč) pro případ nedostupnosti jednoho zařízení.

1. Nejprve si nastavte druhý faktor nezávislý na zařízení - typ TOTP
2. Poté si registrujte ověřovací klíč pro každé Vaše zařízení - typ WebAuthn
3. Ke službám se přihlašujte ověřovacím klíčem

Jakmile má uživatel nastaven alespoň jeden druhý faktor, bude vícefaktorové ověřování vyžadováno při každém přihlášení!

Slovníček

• Ověřovací klíč - (Passkey) - kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo. Kombinuje soukromý klíč (uložený bezpečně ve vašem zařízení) a veřejný klíč (registrovaný u služby), a k přihlášení využívá biometrické údaje (otisk prstu, sken obličeje) nebo PIN. Passkeys jsou jednodušší, rychlejší a mnohem bezpečnější než tradiční hesla.
• TOTP (Time-based One-Time Password) - standardizovaný algoritmus pro vícefaktorovou autentizaci (MFA), který generuje časově omezené jednorázové kódy (OTP) pro přihlášení.
• WebAuthn - otevřený standard umožňující bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.

Návody na konkrétní typy tokenů

• Nastavení tokenu typu TOTP
• Nastavení tokenu typu TOTP na zařízení Apple
• Nastavení tokenu typu WebAuthn na zařízení Apple (Face ID nebo Touch ID)

Nastavění ověřovacích klíčů - passkey

• Nastavení Windows 11 Hello

Postupy přihlašování

• Přihlášení metodou TOTP (Apple iOS18+)
• Přihlášení metodou TOTP (operační systém starší než Apple iOS18)
• Přihlášení metodou WebAuthn (Apple)
• Přihlášení metodou WebAuthn (Zařízení Apple bez Face ID nebo Touch ID)