Jednotné přihlášení MUNI


Vícefázové ověření

Jednotné přihlášení MUNI nabízí vícefázové ověření (multi-factor authentication) metodami TOTP a WebAuthn. Dále si uživatelé mohou vygenerovat záložní jednorázové kódy pro obnovení přístupu v případě ztráty registrovaných tokenů. Detailní postup nastavení je popsán zde.

TOTP

TOTP je standardní metoda pro generování jednorázových kódů, popsaná v RFC 6238 a používaná řadou komerčních služeb. TOTP aplikace sdílí se serverem tajný klíč, na základě kterého generuje číselné kódy s omezenou dobou platnosti. Nejčastěji má kód 6 číslic a platnost 30 sekund.

Mezi alternativní označení této metody patří “kód z ověřovací aplikace”, “ověřovací kód”, “verifikační kód”, “autentizační kód”, “kód z autentizační aplikace”, “6ciferný kód z generátoru kódů”, “kód z aplikace Google Authenticator” nebo třeba “ověřovací kód pomocí aplikace Google Authenticator”.

Výhodou této metody ověření je univerzálnost. Jednorázový kód z aplikace v chytrém telefonu můžete zkopírovat v rámci telefonu, opsat do počítače nebo třeba do televize. Jediný požadavek na zařízení, na kterém se přihlašujete, je možnost zadávat číslice.

Můžete použít libovolnou TOTP aplikaci, například jednu z níže uvedených, případně TOTP funkci svého správce hesel (např. BitWarden nebo LastPass Authenticator). Pokud už TOTP aplikaci používáte, nemusíte instalovat další, jen do ní zaregistrujete Jednotné přihlášení MUNI.

Přehled TOTP aplikací

Název Autor Stažení Otevřený
kód
Aktualizace Čeština Záloha, export Obrázek tokenu Zámek aplikace Pokročilé parametry (vyšší míra bezpečnosti)
Aegis Authenticator Beem Development Android ano 2022 ano ano je potřeba vložit vlastní ano ano
Google Authenticator Google Android, iOS ne 2022 ano pouze do stejné aplikace ne ne ne
FreeOTP Red Hat Android, iOS ano 2016 ne ne ano ne ano
FreeOTP+ Haowen Ning Android ano 2022 ano ano ano ano ano
Microsoft Authenticator Microsoft Android, iOS ne 2022 ano pouze do účtu Microsoft ne ano ne
Yubico Authenticator (vyžaduje klíčenku YubiKey 5) Yubico Android, iOS, Windows / macOS / Linux ano 2022 ne ne, klíče jsou v YubiKey ano ano, pomocí YubiKey ano

WebAuthn

WebAuthn neboli Web Authentication API je moderní standard vytvořený aliancemi W3C a FIDO. Tato metoda ověření nabízí vysokou míru zabezpečení při zachování soukromí a uživatelské přívětivosti. WebAuthn je často součástí operačního systému, takže na většině zařízení nemusíte nic instalovat.

Tuto metodu ověření můžete znát pod názvy jako “FIDO2”, “U2F”, “ověření bezpečnostním klíčem”, “univerzální dvoufázové ověření” nebo zkrátka “bezpečnostní klíč”.

Výhodou této metody je jednoduchost - nemusíte hledat chytrý telefon, aplikaci a opisovat kód, pouze potvrdíte přihlášení např. stiskem tlačítka či otiskem prstu. Můžete si zaregistrovat různá zařízení a pak v každém zařízení používat jinou metodu ověření podle schopností zařízení.

Pro ověření WebAuthn je potřeba použít jeden z podporovaných webových prohlížečů a k tomu funkci operačního systému, aplikaci nebo fyzický autentikátor (např. klíčenku).

Všechny webové prohlížeče oficiálně podporované Jednotným přihlášením MUNI umožňují ověření WebAuthn.

Pro více podrobností můžete navštívit weby webauthn.iowebauthn.me.

Operační systémy, které obsahují funkci WebAuthn

  • Windows 10+ (Windows Hello)
  • macOS 10.15+ (pouze vybrané prohlížeče v závislosti na verzi)
  • Android 7+ (musí být nastaven zámek obrazovky - např. otisk prstu nebo rozpoznání obličeje)
  • iOS 14.5+ (Touch ID, Face ID)
  • V Linuxu můžete vyzkoušet projekty jako Rust U2F nebo tpm-fido.
Otestované autentikátory

 

Operační systém a prohlížeč Funkce operačního systému Klíčenka přes USB Klíčenka přes NFC
Android 12, Firefox ano (otisk prstu) ano ano*
Android 12, Brave/Chrome/Edge ano (otisk prstu) ano ano*
Android 7, Firefox ano (otisk prstu)   ano*
Android 7, Brave/Chrome/Edge ano (otisk prstu)   ano*
iOS 15.4.1, Safari ano (Touch ID) N/A ano***
Linux, Firefox N/A (pouze tpm-fido****) ano N/A
Linux, Brave/Chrome/Edge N/A (pouze tpm-fido****) ano N/A
macOS 12.2, Safari ** (Touch ID / Face ID) ano N/A
macOS 12.2, Firefox ** (Touch ID / Face ID) ano N/A
macOS 12.2, Chrome
ano (heslo) ano N/A
Windows 11, Firefox ano ano N/A
Windows 11, Brave/Chrome/Edge ano ano N/A

* Použití klíčenky pro přihlášení je možné pouze pokud nemáte telefon zaregistrovaný jako autentikátor (zámkem obrazovky). Při registraci i přihlášení je potřeba přiložení k NFC čtečce velmi dobře trefit a načasovat (nechat telefon dvakrát zavibrovat), jinak operace selže.

** Použití funkce operačního systému jako autentikátoru v prohlížečích Firefox a Safari je možné pouze pokud má zařízení funkci Touch ID nebo Face ID.

*** Klíčenku je potřeba přiložit delší hranou k horní hraně telefonu (horizontálně středem klíčenky na střed telefonu) a případně naklopit střed klíčenky směrem k telefonu. Klíčenku přiložte jakmile systém vyzve k použití Touch ID. Pokud při registraci stisknete “použít bezpečnostní klíč” a až potom přiložíte klíčenku, registrace také proběhne, ale dialog operačního systému se sám nezavře - sledujte změnu stránky za ním, jakmile je registrace hotová, dialog zavřete kliknutím mimo něj. Zařízení musí mít podporu NFC (model iPhone 7 nebo novější).

**** Webový prohlížeč nesmí mít omezená oprávnění např. jako balíček snap, jinak nemá přístup k fiktivnímu USB zařízení, které simuluje tpm-fido.

Fyzické autentikátory, které jsme otestovali

  • YubiKey Security Key
  • YubiKey 5
  • YubiKey Bio
  • GoTrust Idem Key

Ověření WebAuthn funguje s jakýmkoli autentikátorem, který splňuje standard, ale doporučujeme použít produkt certifikovaný FIDO2. V případě problémů s konkrétním typem autentikátoru nás kontaktujte.

Příklady nastavení vícefázového ověření podle stupně ochrany

Nižší stupeň ochrany Stáhněte si TOTP aplikaci Google Authenticator a přidejte jeden token.
Optimální stupeň ochrany Vyberte si z tabulky TOTP aplikaci, zaregistrujte zařízení jako WebAuthn a uložte si jednorázové kódy jako zálohu.
Vyšší stupeň ochrany Zvolte TOTP aplikaci s šifrovanými zálohami, zakupte dva fyzické tokeny pro WebAuthn. Poté vytisknete záložní kódy a ty uložte do trezoru

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.