Kategorie: MFA: Porovnání verzí

Z Centrum Informatiky
Přejít na: navigace, hledání
Bez shrnutí editace
Bez shrnutí editace
Řádka 5: Řádka 5:
|}
|}


''Dne 1.11.2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.''
''Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.''


Vícefaktorové ověřování (MFA - Multifactor authentication) slouží ke zvýšení bezpečnosti  přihlašování uživatelů ke službám. MFA vyžaduje užití více než jednoho ověřovacího faktoru. Např. Kombinace hesla a tokenu.
'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz'''


MFA je zaveden pouze v systému jednotného přihlašování - eduID.cz. Služby využívající jednotného přihlašování jsou zejména: E-learning Moodle, Manažerský systém - IMIS, Ekonomický systém iFIS, Vzdálený přístup do sítě UJEP - eduVPN. Služby CESNET, Elektronické informační zdroje.
'''Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz'''


==== Obecný doporučený postup ====
=== 1. Začínáme s MFA ===
Pro přidání nebo správu tokenů slouží stránka mfa.ujep.cz (viz. následující návody), která je dostupná pouze z vnitřní sítě UJEP, nebo pomocí VPN.
'''MFA''' (Multifactor Authentication) znamená v překladu '''vícefaktorové ověřování''' a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.


'''Je vhodné nastavit si více než jeden druhý faktor (token, ověřovací klíč) pro případ nedostupnosti jednoho zařízení.'''
'''Cíl:''' K vašemu heslu přidáte ještě '''druhý bezpečnostní prvek''' (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.


# Nejprve si nastavte druhý faktor nezávislý na zařízení - typ TOTP
'''Proč to zavádíme?''' Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.
# Poté si registrujte ověřovací klíč pro každé Vaše zařízení - typ WebAuthn
# Ke službám se přihlašujte ověřovacím klíčem


Jakmile má uživatel nastaven alespoň jeden druhý faktor, bude vícefaktorové ověřování vyžadováno při každém přihlášení!
'''Kdy MFA potřebuji?''' Při přihlašování do klíčových systémů, jako je '''IMIS, Moodle, iFIS, eduVPN''' a služby CESNET.


''Pozn.: pokud nechcete nebo nemůžete použít token typu TOTP/WebAuthn, zvažte použití tokenu PPR, který vygeneruje sadu jednorázových klíčů nezávislých na typu zařízení.''
'''Slovníček''' - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA
{| class="wikitable"
|'''Odborný název'''
|'''Vysvětlení'''
|-
|'''MFA'''
|'''Vícefaktorové ověřování.''' Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
|-
|'''Ověřovací klíč (Passkey)'''
|'''Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo .''' Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
|-
|'''TOTP'''
|'''Kód z aplikace.''' Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se '''každých 30 sekund mění'''.
|-
|'''WebAuthn'''
|'''Moderní ověřování.''' Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
|-
|'''PPR'''
|'''Papírové kódy.''' Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.
|-
|'''Biometrie'''
|Metoda '''identifikace lidí''' pomocí jejich '''jedinečných tělesných vlastností''', jako jsou otisky prstů, skenování obličeje atd.
|}


'''Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz'''
==== 1.1 Kterou metodu zvolit? ====
Nastavte si ideálně '''dvě metody'''. První (TOTP)  je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.
{| class="wikitable"
|'''Volba'''
|'''Proč ji zvolit?'''
|'''Vhodné pro vás, pokud...'''
|-
|'''A. TOTP (Autentizační aplikace)'''
|Je '''nezávislá na zařízení, ze kterého se uživatel přihlašuje,''' a funguje i bez internetu.
|Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
|-
|'''B. WebAuthn (Ověřovací klíč/Passkey)'''
|'''Nejrychlejší metoda.''' Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej).
|Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
|-
|'''C. PPR'''
'''(Papírové kódy)'''
|'''Je nezávislá na zařízení a slouží jako "poslední záchrana".''' Použijete, když ztratíte nebo nevlastníte chytrý telefon.
|Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)
|}
 
=== 2. Obecný postup ===
'''Pozor!''' Stránka pro nastavování MFA je '''dostupná pouze z vnitřní sítě UJEP''' nebo přes '''VPN''' ([https://ci.ujep.cz/index.php/EduVPN viz návod pro nastavení VPN]).


==== Slovníček ====
'''Stránka pro správu tokenů:''' '''<code>mfa.ujep.cz</code>'''


* '''Ověřovací klíč - (Passkey)''' - kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo. Kombinuje soukromý klíč (uložený bezpečně ve vašem zařízení) a veřejný klíč (registrovaný u služby), a k přihlášení využívá biometrické údaje (otisk prstu, sken obličeje) nebo PIN. Passkeys jsou jednodušší, rychlejší a mnohem bezpečnější než tradiční hesla.
==== 2.1 Doporučený postup pro všechny uživatele ====
* '''TOTP (Time-based One-Time Password)''' - standardizovaný algoritmus pro vícefaktorovou autentizaci (MFA), který generuje časově omezené jednorázové kódy (OTP) pro přihlášení.
Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).
* '''WebAuthn''' - otevřený standard umožňující bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
{| class="wikitable"
* '''PPR (One Time Passwords printed on a sheet of paper)''' - vygenerování seznamu jednorázových kódů pro přihlášení.
|+
!
!
!
|-
|'''2.1.1'''
|'''Nastavte si TOTP token (A):'''
|Toto je váš '''první a nezávislý''' faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - '''postup viz kap. 3.1.1.'''
|-
|'''2.1.2'''
|'''Nastavte si WebAuthn (B):'''
|Poté si přidejte '''ověřovací klíč''' pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - '''postup viz kap. 3.1.2.'''
|-
|'''2.1.2'''
|'''Nastavte si PPR token (C):'''
|Vytiskněte si sadu '''jednorázových papírových kódů''' a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - '''postup viz kap. 3.1.3.'''
|}<blockquote>'''❗️ Důležité:''' Jakmile si nastavíte jakýkoliv druhý faktor, '''bude MFA vyžadováno při každém přihlášení!'''</blockquote>


==== Návody na konkrétní typy tokenů ====
=== 3. Návody krok za krokem ===
*[[Nastavení tokenu typu TOTP]]
Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:
*[[Nastavení tokenu typu TOTP na zařízení Apple]]
*[[Nastavení tokenu typu TOTP v OS linux]]
*[[Nastavení tokenu typu PPR]]
*[[Nastavení tokenu typu WebAuthn na zařízení Apple (Face ID nebo Touch ID)]]


===== Nastavění ověřovacích klíčů - passkey =====
==== 3.1 Nastavení ověřovacích metod ====
*[[Nastavení Windows 11 Hello]]
{| class="wikitable"
|+
!
!(volba A, B, C z kap. 2.1)
|-
|'''3.1.1'''
|'''Nastavení TOTP tokenu (Časově omezený kód z aplikace)'''
|-
|
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP Návod pro základní nastavení TOTP]
|-
|
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_na_za%C5%99%C3%ADzen%C3%AD_Apple Nastavení TOTP na zařízení Apple]
|-
|
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_TOTP_v_OS_linux Nastavení TOTP v OS Linux]
|-
|'''3.1.2'''
|'''Nastavení WebAuthn / Passkey (PIN / biometrie)'''
|-
|
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_Windows_11_Hello Nastavení Windows 11 Hello (pro Passkey ve Windows)]
|-
|
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_WebAuthn_na_za%C5%99%C3%ADzen%C3%AD_Apple_(Face_ID_nebo_Touch_ID) Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)]
|-
|'''3.1.3'''
|'''Nastavení PPR tokenu (Papírové kódy)'''
|-
|
|[https://ci.ujep.cz/index.php?title=Nastaven%C3%AD_tokenu_typu_PPR Návod na vygenerování sady jednorázových kódů PPR]
|}
*


===== Postupy přihlašování (Apple) =====
==== 3.2 Postupy přihlašování ====
*[[Přihlášení metodou TOTP (Apple iOS18+)]]
{| class="wikitable"
*[[Přihlášení metodou TOTP (operační systém starší než Apple iOS18)]]
|+
*[[Přihlášení metodou WebAuthn (Apple)]]
!
*[[Přihlášení metodou WebAuthn (Zařízení Apple bez Face ID nebo Touch ID)]]
!Jak se přihlásím, když mám vše nastaveno
#
|-
|'''3.2.1'''
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(Apple_iOS18%2B) Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+]
|-
|'''3.2.2'''
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_TOTP_(opera%C4%8Dn%C3%AD_syst%C3%A9m_star%C5%A1%C3%AD_ne%C5%BE_Apple_iOS18) Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)]
|-
|'''3.2.3'''
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Apple) Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple]
|-
|'''3.2.4'''
|[https://ci.ujep.cz/index.php?title=P%C5%99ihl%C3%A1%C5%A1en%C3%AD_metodou_WebAuthn_(Za%C5%99%C3%ADzen%C3%AD_Apple_bez_Face_ID_nebo_Touch_ID) Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)]
|}

Verze z 21. 11. 2025, 10:16

Vícefaktorové ověřování na UJEP - MFA

Testovací provoz

Dne 1. 11. 2025 vstoupil v platnost nový zákon o kybernetické bezpečnosti, který dopadá na naši univerzitu a přináší nové požadavky a povinnosti. Změny vedoucí k naplnění zákona budeme implementovat postupně. Po testovací fázi bude vedením univerzity stanoveno datum, kdy vícefaktorové ověřování bude povinné pro všechny uživatele.

Podněty, poznatky a problémy prosím reportujte na adresu: sit@rt.ujep.cz

Pro pomoc s nastavením MFA neváhejte kontaktovat svého lokálního IT pracovníka nebo servis@rt.ujep.cz

1. Začínáme s MFA

MFA (Multifactor Authentication) znamená v překladu vícefaktorové ověřování a slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. Je to jako, když k trezoru potřebujete dva klíče místo jednoho.

Cíl: K vašemu heslu přidáte ještě druhý bezpečnostní prvek (např. PIN, otisk prstu atd.) a když někdo zjistí vaše heslo, bez druhého ověřovacího prvku se do Vašeho účtu / zařízení nedostane.

Proč to zavádíme? Pro zvýšení bezpečnosti vašich osobních dat a celé univerzity v souladu s novým zákonem o kybernetické bezpečnosti.

Kdy MFA potřebuji? Při přihlašování do klíčových systémů, jako je IMIS, Moodle, iFIS, eduVPN a služby CESNET.

Slovníček - obsahuje klíčové pojmy, se kterými se setkáte při nastavování MFA

Odborný název Vysvětlení
MFA Vícefaktorové ověřování. Chrání váš účet, protože vyžaduje heslo + ověřovací kód / otisk prstu / rozpoznání obličeje.
Ověřovací klíč (Passkey) Kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo . Použijete otisk prstu, sken obličeje nebo PIN v zařízení (telefon / notebook). Jedná se o nejrychlejší metodu.
TOTP Kód z aplikace. Časově omezené jednorázové kódy (OTP), které generuje mobilní aplikace (tzv. autentikátor) a které se každých 30 sekund mění.
WebAuthn Moderní ověřování. Otevřený standard, který umožňuje bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.
PPR Papírové kódy. Seznam jednorázových kódů, které si vytisknete. Používají se, když nemáte k dispozici mobilní zařízení.
Biometrie Metoda identifikace lidí pomocí jejich jedinečných tělesných vlastností, jako jsou otisky prstů, skenování obličeje atd.

1.1 Kterou metodu zvolit?

Nastavte si ideálně dvě metody. První (TOTP) je nezávislá na zařízení, ze kterého se přihlašujete, druhá metoda (WebAuthn/Passkey) slouží pro rychlé přihlášení z konkrétního zařízení a nouzová metoda (PPR) je naprosto nezávislá na zařízení.

Volba Proč ji zvolit? Vhodné pro vás, pokud...
A. TOTP (Autentizační aplikace) Je nezávislá na zařízení, ze kterého se uživatel přihlašuje, a funguje i bez internetu. Chcete kód generovat v telefonu (např. Google Authenticator, Microsoft Authenticator atd.).
B. WebAuthn (Ověřovací klíč/Passkey) Nejrychlejší metoda. Můžete se přihlašovat bez hesla pomocí PIN či biometrie (otisk prstu / obličej). Máte moderní telefon nebo počítač s Face ID/Touch ID/Windows Hello.
C. PPR

(Papírové kódy)

Je nezávislá na zařízení a slouží jako "poslední záchrana". Použijete, když ztratíte nebo nevlastníte chytrý telefon. Pokud nevlastníte telefon a nevadí Vám opisovat kódy z lístečku :-)

2. Obecný postup

Pozor! Stránka pro nastavování MFA je dostupná pouze z vnitřní sítě UJEP nebo přes VPN (viz návod pro nastavení VPN).

Stránka pro správu tokenů: mfa.ujep.cz

2.1 Doporučený postup pro všechny uživatele

Dále je uveden doporučený postup pro nastavení MFA - můžete použít všechny metody, ale nemusíte - můžete si vybrat pouze jednu, nebo dvě (což doporučujeme).

2.1.1 Nastavte si TOTP token (A): Toto je váš první a nezávislý faktor. Použijete mobilní aplikaci k vygenerování časově omezeného kódu - postup viz kap. 3.1.1.
2.1.2 Nastavte si WebAuthn (B): Poté si přidejte ověřovací klíč pro každé zařízení, které pravidelně používáte (notebook, tablet, druhý telefon) - postup viz kap. 3.1.2.
2.1.2 Nastavte si PPR token (C): Vytiskněte si sadu jednorázových papírových kódů a bezpečně je uschovejte. Tyto kódy vám umožní se přihlásit, když ztratíte mobilní zařízení - postup viz kap. 3.1.3.

❗️ Důležité: Jakmile si nastavíte jakýkoliv druhý faktor, bude MFA vyžadováno při každém přihlášení!

3. Návody krok za krokem

Pro podrobné nastavení konkrétní metody klikněte na odkaz, který odpovídá vaší volbě:

3.1 Nastavení ověřovacích metod

(volba A, B, C z kap. 2.1)
3.1.1 Nastavení TOTP tokenu (Časově omezený kód z aplikace)
Návod pro základní nastavení TOTP
Nastavení TOTP na zařízení Apple
Nastavení TOTP v OS Linux
3.1.2 Nastavení WebAuthn / Passkey (PIN / biometrie)
Nastavení Windows 11 Hello (pro Passkey ve Windows)
Nastavení WebAuthn na zařízení Apple (Face ID nebo Touch ID)
3.1.3 Nastavení PPR tokenu (Papírové kódy)
Návod na vygenerování sady jednorázových kódů PPR

3.2 Postupy přihlašování

Jak se přihlásím, když mám vše nastaveno
3.2.1 Přihlášení pomocí kódu z aplikace (TOTP) na Apple iOS18+
3.2.2 Přihlášení pomocí kódu z aplikace (TOTP) na Apple (starší operační systém)
3.2.3 Přihlášení pomocí ověřovacího klíče (WebAuthn) na Apple
3.2.4 Přihlášení ověřovacím klíčem (WebAuthn) na Apple (bez biometrie)

Tato kategorie neobsahuje žádné stránky či soubory.

Citováno z „https://ci.ujep.cz/index.php?title=Kategorie:MFA&oldid=5697