Jednotné přihlášení MUNI


Vícefázové ověření

Jednotné přihlášení MUNI nabízí kromě ověření pouze heslem také vícefázové ověření (anglicky multi-factor authentication). Po jeho aktivaci je potřeba při přihlášení kromě hesla použít další způsob ověření – ověřovací kód nebo bezpečnostní klíč. Ověření je možné nastavit u všech IT služeb pod Jednotným přihlášením MUNI, nebo vybrat konkrétní IT služby.

Útočníci používají mnoho způsobů, jak uhodnout nebo zcizit heslo, aby mohli získat přístup k cizím účtům a zneužít je. U některých hesel jim to zabere jen pár sekund nebo hodin. V případě sociálního inženýrství, nejčastěji ve formě phishingu, získá útočník heslo okamžitě.

Vícefázové ověření jim to znemožňuje. Případnému útočníkovi nestačí zcizit nebo uhodnout heslo, musel by získat i ověřovací kód nebo bezpečnostní klíč, který neopouští vaše zařízení. Ověření bezpečnostním klíčem navíc chrání i proti phishingu.

Jak si nastavit vícefázové ověření

Zpočátku je potřeba se rozhodnout, jaký způsob ověření budete využívat, jestli ověřovací kódy nebo bezpečnostní klíče. Rozdíly mezi ověřovacími kódy a bezpečnostním klíčem najdete popsané níže. V rámci Masarykovy univerzity doporučujeme využívat alespoň způsob ověřovacích kódů.

Před použitím vícefázového ověření je potřeba zaregistrovat si alespoň jeden token (tj. ověřovací kódy nebo bezpečnostní klíč). Následně je možné v uživatelském profilu přidávat další tokeny a zapnout ověřování pro všechny nebo vybrané IT služby pod Jednotným přihlášením MUNI. Postup krok po kroku je popsán v návodech.

Slovníček pojmů

Vícefázové ověření Ověření identity dvěma nebo více různými formami (např. něco co vím + něco co mám).
Bezpečnostní klíč Většinou se jedná o fyzické nebo virtuální zařízení sloužící k ověření identity na základě tajného klíče.
Ověřovací kódy Jednorázové kódy s omezenou časovou platností, které generuje speciální (TOTP) aplikace, např. Microsoft Authenticator.
Záložní kódy pro obnovení přístupu Jednorázové kódy, které si uživatel při prvotním nastavení vygeneruje a uloží nebo vytiskne, slouží pro přihlášení v případě ztráty všech ostatních metod vícefázového ověření.
Tokeny Prostředky ověření jiné než heslo či PIN, mimo jiné bezpečnostní klíče, ověřovací kódy a záložní kódy.
Ověřovací kódy (TOTP)

Existuje řada aplikací, které si můžete nainstalovat do svého chytrého telefonu (případně počítače) a které generují ověřovací kódy. Generovat je umí i vybraný software pro správu hesel.

Kód zobrazený v aplikaci nebo správci hesel stačí zkopírovat a vložit při přihlášení. Každých 30 sekund se kód aktualizuje a zobrazuje se nový. Výhodou této ověřovací metody je, že kód můžete využít při přihlášení na jakémkoli zařízení, např. na počítači ve studovně.

K výběru vhodné aplikace můžete využít i návodnou kalkulačku.

Bezpečnostní klíč (WebAuthn)

Bezpečnostní klíč nabízí maximální míru zabezpečení, jedná se o ověření zařízení s použitím tzv. „asymetrické kryptografie“. Jako bezpečnostní klíč může sloužit počítač či chytrý telefon, pokud touto funkcí disponuje (pokud si nejste jistí, můžete zařízení otestovat). Při přihlášení stačí podle typu zařízení potvrdit výzvu, použít otisk prstu nebo rozpoznání obličeje.

Další z možností je použití klíčenky, kterou lze připojit k počítači i k telefonu – např. YubiKey, GoTrust Idem Key či SoloKey. Ověření klíčenkou většinou znamená jen jedno stisknutí tlačítka navíc.

  Přihlášení heslem Ověřovací kódy (TOTP)
Bezpečnostní klíč (WebAuthn)
Ochrana proti zneužití odcizeného hesla
Ochrana proti hádání hesla
Ochrana proti jednoduchému phishingu
Ochrana proti pokročilému phishingu

Záložní kódy pro obnovení přístupu

Pro případ ztráty všech registrovaných přístrojů je možné vygenerovat jednorázové kódy pro obnovení, které si následně můžete bezpečně uložit nebo vytisknout. Pro vygenerování záložních kódů pokračujte podle návodu.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.