Vícefaktorové ověřování na UJEP - MFA

Vícefaktorové ověřování (MFA - Multifactor authentication) slouží ke zvýšení bezpečnosti přihlašování uživatelů ke službám. MFA vyžaduje užití více než jednoho ověřovacího faktoru. Např. Kombinace hesla a tokenu.

MFA je zaveden pouze v systému jednotného přihlašování - eduID.cz

Jakmile si druhý faktor (token) nastavíte, bude VŽDY při přihlášení vyžadován a musí být použit. Je možno použít token typu TOTP (nezávislý na zařízení, „univerzální“) nebo WebAuthn (závislý na konkrétním zařízení, pomocí Windows Hello).

Obecný doporučený postup

Je vhodné nastavit si více než jeden druhý faktor (token, ověřovací klíč) pro případ nedostupnosti jednoho zařízení.

1. Nejprve si nastavte druhý faktor nezávislý na zařízení - typ TOTP
2. Poté si registrujte ověřovací klíč pro každé Vaše zařízení - typ WebAuthn
3. Ke službám se přihlašujte ověřovacím klíčem

Jakmile má uživatel nastaven alespoň jeden druhý faktor, bude vícefaktorové ověřování vyžadováno při každém přihlášení!

Slovníček

Ověřovací klíč - (Passkey) - kryptografický klíč, který slouží k přihlášení do online služeb bez nutnosti používat heslo. Kombinuje soukromý klíč (uložený bezpečně ve vašem zařízení) a veřejný klíč (registrovaný u služby), a k přihlášení využívá biometrické údaje (otisk prstu, sken obličeje) nebo PIN. Passkeys jsou jednodušší, rychlejší a mnohem bezpečnější než tradiční hesla.

TOTP - (Time-based One-Time Password) - standardizovaný algoritmus pro vícefaktorovou autentizaci (MFA), který generuje časově omezené jednorázové kódy (OTP) pro přihlášení.

WebAuthn - otevřený standard umožňující bezpečné přihlašování bez hesla pomocí hardwarových klíčů (např. USB tokenů, biometrie) nebo softwarových autentizátorů.

Návody na konkrétní typy tokenů

Nastavení tokenu typu TOTP

Nastavění ověřovacích klíčů - passkey

Nastavení Windows 11 Hello

Nastavení ověřovacího klíče u produktů Apple