Kategorie: MFA2: Porovnání verzí

Verze z 21. 11. 2025, 09:22

-- WEB JE VE VÝSTAVBĚ --

Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.

Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz

1. Začínáme s MFA

MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.

Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.

Proč to zavádíme? Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.

Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je Moodle, IMIS, iFIS, eduVPN a služby CESNET (systém jednotného přihlašování eduID.cz).

Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA

Odborný název	Vysvětlení
MFA	Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
Ověřovací klíč (Passkey)	Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
TOTP	Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění.
WebAuthn	Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
PPR	Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.

1.1 Kterou metodu zvolit?

Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení a druhá (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení.

Volba	Proč ji zvolit?	Vhodné pro vás, pokud...
A. TOTP (Autentizační aplikace)	Je nezávislá na zařízení a funguje i bez internetu.	Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
B. WebAuthn (Ověřovací klíč/Passkey)	Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej).	Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
C. PPR (Papírové kódy)	Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon.	Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)

2. Obecný postup

Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN.

Stránka pro správu tokenů: mfa.ujep.cz

2.1 Doporučený postup pro všechny uživatele

Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě.

Nastavte si TOTP token (A): Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. xxxx.
Nastavte si WebAuthn (B): Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon). Tím se budete přihlašovat nejčastěji - postup viz kap. xxx.
Nastavte si PPR token (C): Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. xxx.

❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení!

3. Návody krok za krokem

Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:

3.1 Nastavení ověřovacích metod (volba A, B, C)

3.1.1 Nastavení TOTP tokenu (Časově omezený kód z aplikace)

Návod pro základní nastavení TOTP
Nastavení TOTP na zařízení Apple
Nastavení TOTP v OS Linux

3.1.2 Nastavení WebAuthn / Passkey (PIN / biometrie)

Nastavení Windows 11 Hello (pro Passkey ve Windows)
Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)

3.1.3 Nastavení PPR tokenu (Papírové kódy):

Návod na vygenerování sady jednorázových kódů PPR

3.2 Postupy přihlašování (Jak se přihlásím, když mám nastaveno)

Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+
Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)
Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple
Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)

Tato kategorie neobsahuje žádné stránky či soubory.

@@ Řádka 1: / Řádka 1: @@
 -- WEB JE VE VÝSTAVBĚ --
-[[Soubor:NU.png]]
+''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.''
-== 1. Obecný doporučený postup ==
+'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz'''
-Pro přidání nebo správu tokenů slouží stránka mfa.ujep.cz (viz. následující návody), která je dostupná pouze z vnitřní sítě UJEP, nebo pomocí VPN.
-'''Je vhodné nastavit si více než jeden druhý faktor (token, ověřovací klíč) pro případ nedostupnosti jednoho zařízení.'''
+=== 1. Začínáme s MFA ===
+'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.
-===== 1.1. Nejprve si nastavte druhý faktor nezávislý na zařízení - typ TOTP =====
+'''Cíl:''' K vašemu heslu přidáte ještě '''druhý bezpečnostní prvek''' (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.
-'''Návod – viz'''
-Slovníček:
+'''Proč to zavádíme?''' Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.
-'''TOTP (Time-based One-Time Password)''' - standardizovaný algoritmus pro vícefaktorovou autentizaci (MFA), který generuje časově omezené jednorázové kódy (OTP) pro přihlášení.
+'''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''Moodle, IMIS, iFIS, eduVPN''' a služby '''CESNET''' (systém jednotného přihlašování eduID.cz).
-== 1.2.   Registrujte ověřovací klíč pro každé Vaše zařízení - typ WebAuthn ==
+'''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA
-'''Návod – viz'''
+{| class="wikitable"
+|'''Odborný název'''
+|'''Vysvětlení'''
+|-
+|'''MFA'''
+|'''Vícefaktorové ověřování.''' Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
+|-
+|'''Ověřovací klíč (Passkey)'''
+|'''Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo .''' Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
+|-
+|'''TOTP'''
+|'''Kód z aplikace.''' Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se '''každých 30 sekund mění'''.
+|-
+|'''WebAuthn'''
+|'''Moderní ověřování.''' Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
+|-
+|'''PPR'''
+|'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.
+|}
-Slovníček:
+==== 1.1 Kterou metodu zvolit? ====
+Nastavte si ideálně '''dvě metody'''. První (TOTP) je nezávislá na zařízení a druhá (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení.
+{| class="wikitable"
+|'''Volba'''
+|'''Proč ji zvolit?'''
+|'''Vhodné pro vás, pokud...'''
+|-
+|'''A. TOTP (Autentizační aplikace)'''
+|Je '''nezávislá na zařízení''' a funguje i bez internetu.
+|Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
+|-
+|'''B. WebAuthn (Ověřovací klíč/Passkey)'''
+|'''Nejrychlejší metoda.''' Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej).
+|Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
+|-
+|'''C. PPR'''
+'''(Papírové kódy)'''
+|'''Je nezávislá na zařízení a slouží jako "poslední záchrana".''' Použijete, když ztratíte nebo nevlastníte chytrý telefon.
+|Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)
+|}
-'''Ověřovací klíč - (Passkey)''' - kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo. Kombinuje soukromý klíč (uložený bezpečně ve vašem zařízení) a veřejný klíč (registrovaný u služby), a k přihlášení využívá biometrické údaje (otisk prstu, sken obličeje) nebo PIN. Passkeys jsou jednodušší, rychlejší a mnohem bezpečnější než tradiční hesla.
+=== 2. Obecný postup ===
+'''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN'''.
-'''WebAuthn''' - otevřený standard umožňující bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
+'''Stránka pro správu tokenů:''' '''<code>mfa.ujep.cz</code>'''
+==== 2.1 Doporučený postup pro všechny uživatele ====
+Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě.
+# '''Nastavte si TOTP token (A):''' Toto je váš '''první a nezávislý''' faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. xxxx.
+# '''Nastavte si WebAuthn (B):''' Poté si přidejte '''ověřovací klíč''' pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon). Tím se budete přihlašovat nejčastěji - postup viz kap. xxx.
+# '''Nastavte si PPR token (C):''' Vytiskněte si sadu '''jednorázových papírových kódů''' a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. xxx.
+<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení!'''</blockquote>
+=== 3. Návody krok za krokem ===
+Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:
+==== 3.1 Nastavení ověřovacích metod (volba A, B, C) ====
+===== 3.1.1 Nastavení TOTP tokenu (Časově omezený kód z aplikace) =====
+* Návod pro základní nastavení TOTP
+* Nastavení TOTP na zařízení Apple
+* Nastavení TOTP v OS Linux
+===== 3.1.2 Nastavení WebAuthn / Passkey (PIN / biometrie) =====
+* Nastavení Windows 11 Hello (pro Passkey ve Windows)
+* Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)
+===== 3.1.3 Nastavení PPR tokenu (Papírové kódy): =====
+* Návod na vygenerování sady jednorázových kódů PPR
+==== 3.2 Postupy přihlašování (Jak se přihlásím, když mám nastaveno) ====
+* Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+
+* Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)
+* Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple
+* Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)