Vícefaktorové ověřování na UJEP - MFA

Dne 1.11.2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.

Vícefaktorové ověřování (MFA - Multifactor authentication) slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. MFA vyžaduje užití více než jednoho ověřovacího faktoru. Např. Kombinace hesla a tokenu.

MFA je zaveden pouze v systému jednotného přihlašování - eduID.cz. Služby využívající jednotného přihlašování jsou zejména: E-learning Moodle, Manažerský systém - IMIS, Ekonomický systém iFIS, Vzdálený přístup do sítě UJEP - eduVPN. Služby CESNET, Elektronické informační zdroje.

Obecný doporučený postup

Je vhodné nastavit si více než jeden druhý faktor (token, ověřovací klíč) pro případ nedostupnosti jednoho zařízení.

1. Nejprve si nastavte druhý faktor nezávislý na zařízení - typ TOTP
2. Poté si registrujte ověřovací klíč pro každé Vaše zařízení - typ WebAuthn
3. Ke službám se přihlašujte ověřovacím klíčem

Jakmile má uživatel nastaven alespoň jeden druhý faktor, bude vícefaktorové ověřování vyžadováno při každém přihlášení!

Pozn.: pokud nechcete nebo nemůžete použít token typu WebAuthn, zvažte použití tokenu PPR, který vygeneruje sadu jednorázových klíčů nezávislých na typu zažízení.

Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz

Slovníček

• Ověřovací klíč - (Passkey) - kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo. Kombinuje soukromý klíč (uložený bezpečně ve vašem zařízení) a veřejný klíč (registrovaný u služby), a k přihlášení využívá biometrické údaje (otisk prstu, sken obličeje) nebo PIN. Passkeys jsou jednodušší, rychlejší a mnohem bezpečnější než tradiční hesla.
• TOTP (Time-based One-Time Password) - standardizovaný algoritmus pro vícefaktorovou autentizaci (MFA), který generuje časově omezené jednorázové kódy (OTP) pro přihlášení.
• WebAuthn - otevřený standard umožňující bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
• PPR (One Time Passwords printed on a sheet of paper) - vygenerování seznamu jednorázových kódů pro přihlášení.

Návody na konkrétní typy tokenů

• Nastavení tokenu typu TOTP
• Nastavení tokenu typu TOTP na zařízení Apple
• Nastavení tokenu typu TOTP v OS linux
• Nastavení tokenu typu PPR
• Nastavení tokenu typu WebAuthn na zařízení Apple (Face ID nebo Touch ID)

Nastavění ověřovacích klíčů - passkey

• Nastavení Windows 11 Hello

Postupy přihlašování (Apple)

• Přihlášení metodou TOTP (Apple iOS18+)
• Přihlášení metodou TOTP (operační systém starší než Apple iOS18)
• Přihlášení metodou WebAuthn (Apple)
• Přihlášení metodou WebAuthn (Zařízení Apple bez Face ID nebo Touch ID)