Vícefaktorová autentizace – otázky a problémy
1. Co je bezpečné zařízení?
- Bezpečné zařízení má následující vlastnosti:
- Na zařízení máte svůj účet, který nesdílíte s jinými osobami.
- Účet je chráněn heslem, PINem, otiskem prstu či obdobnou metodou.
- K zařízení je omezený přístup, tj. nedostanou se k němu neznámé osoby.
- Podmínky splňují:
- Počítač v zamykatelné kanceláři se školními Windows.
- Notebook, na kterém pracujete převážně sami a nosíte jej obvykle s sebou. Případní další uživatelé na notebooku mají svůj účet.
- Počítač doma, pokud na něm máte samostatný účet.
- Mobilní telefon, který nesdílíte s jinými osobami.
- Příklady zařízení, které nesplňují podmínky pro bezpečné zařízení:
- Počítač na počítačových učebnách.
- Cizí počítač včetně počítačů Vašich známých.
- Domácí počítač, na kterém sdílíte stejný účet s dalšími členy rodiny.
- Mobilní telefon, který půjčujete ke hrám dětem či vnukům.
Informace o bezpečném zařízení se ukládá ve webovém prohlížeči. Pokud používáte více prohlížečů, tak na každém je potřeba samostatně potvrdit bezpečné zařízení. Pokud je prohlížeč v anonymním či soukromém režimu, tak se informace o bezpečném zařízení při jeho ukončení smaže.
2. Nemám vhodný mobil, nechci používat soukromý mobil
Na počítač Vám nainstalujeme aplikaci pro generování jednorázových ověřovacích kódů a spárujeme ji s Vaším účtem ve studijním systému. Má to nevýhodu – můžete se přihlašovat jen z tohoto počítače, popř. při přihlášení na jiném počítači se musíte být schopni podívat na ověřovací kód vygenerovaný na primárním počítači.
3. Mám nový mobil, jak přenesu kód?
Existuje více možností:
- Zálohujete v aplikaci pro generování kódu. Na novém mobilu nainstalujte stejnou aplikaci a vyberte obnovu uložených tajných hesel.
- Vytiskli jste QR kód a máte ho k dispozici. Na novém mobilu si nainstalujte aplikaci pro generování jednorázových hesel a v ní vyfoťte QR kód.
- V InSIS spárujte nový mobil se svým účtem. Týká se pouze uživatelů s volitelným použitím jednorázových hesel. Do InSIS se přihlásíte pomocí aplikace na starém mobilu. V aplikaci „Nastavení autentizace pomocí jednorázových hesel (OTP)“ deaktivujte dočasně použití jednorázových hesel a zrušíte spárování starého mobilu s účtem. Poté spárujete nový mobil se svým účtem.
- Žádnou z předchozích metod nemůžete použít. Požádejte správce o pozastavení MFA pro InSIS. Po přihlášení !NEJDŘÍVE! zrušte párování původního zařízení v “Nastavení autentizace pomocí jednorázových hesel (OTP)“ a potom nastavte MFA znovu pro nové zařízení.
4. Přišel jsem do školy a zapomenul si mobil
- Pracujete na bezpečném zařízení. Pokud jste si svůj pracovní počítač v kanceláři označili jako bezpečné zařízení, tak je velká pravděpodobnost, že zrovna dnes nebudete muset zadávat ověřovací kód.
- Vrátíte se domů pro mobil. Někdy je to nejjednodušší řešení.
- Máte v kanceláři papír s vytisknutým QR kódem. Požádáte důvěryhodného kolegu, zda by ofotil Váš QR kód do své aplikace na generování jednorázových hesel a pomohl Vám s přihlášením. Po přihlášení by měl kolega smazat Váš záznam ze své aplikace.
- Požádáte o dočasné vypnutí vícefaktorové autentizace. Správce Vám může vícefaktorovou autentizaci dočasně vypnout, nejdéle však do konce aktuálního dne.
5. Vybila se mi baterka na mobilu
Nejjednodušší je zapůjčit si nabíječku a mobil nabít. Pokud to není možné, tak použijte některé z řešení pro případ zapomenutého mobilu.
6. Podařilo se mi spárovat účet s mobilem, ale nyní se nepřihlásím
Příčiny mohou být různé. Zatím jsme narazili na následující:
- Chybné heslo – InSIS kontroluje heslo až po zadání kódu. A vypisuje stejnou chybovou hlášku ať je chybně heslo či kód. Tj. nepoznáte, zda jste zadali chybné heslo či chybný kód.
- Chybný čas na mobilu – čas se lišil asi o 2 minuty a uživatel se nebyl schopen přihlásit. Vyřešili jsme to nastavením automatické synchronizace času na mobilu.
7. Jaké jsou bezpečnostní výhody vícefaktorové autentizace?
Vícefaktorová autentizace chrání proti většině případů úniku hesla, např.:
- mizera sleduje Vaši klávesnici při zadávání hesla
- mizerovi se podaří Vás přesvědčit k zadání hesla na jeho webu (úspěšný phishing)
- stejné heslo používáte na více serverech a z některého z nich Vaše heslo unikne
- omylem zapíšete heslo místo uživatelského jména a mizera ho poté zneužije
- mizera na počítači (např. na učebnách) nainstaluje zařízení na odchytávání hesel (keylogger)
8. Jaká bezpečnostní rizika zůstávají?
Vícefaktorová autentizace je výrazně bezpečnější než přihlašování pouze pomocí hesel. Lze ji ale prolomit, následují dva nejčastější a nejjednodušší způsoby:
8.1 Útočník nainstaluje svůj software na počítač, na kterém se uživatel přihlašuje do studijního systému.
První z Deseti neměnných zákonů počítačové bezpečnosti říká: Pokud Vás mizera dokáže přesvědčit, abyste spustili jeho program ve Vašem počítači, už to není pouze Váš počítač.
Konkrétně – Vy se přihlásíte do studijního systému a mizera bude poté za Vás ovládat klávesnici, zadávat za Vás příkazy.
Základní doporučení:
- Používejte aktualizovaný antivirový program.
- Nestahujte aplikace z podezřelých zdrojů.
- V elektronické poště neklikejte na přílohy, které jste neočekávali.
- Pravidelně aktualizujte operační systém a další aplikace.
- Na přenášených zařízeních (notebook) si zašifrujte disky.
8.2 Útočník se dostane fyzicky k počítači, na kterém je oprávněný uživatel přihlášen do InSIS.
Při správě účtu v bance se obvykle vícefaktorovou autentizací chrání i jednotlivé operace. V případě InSIS je ale jen přihlášení – útočník přijde k přihlášenému počítači a pokračuje jako legitimní uživatel.
Základní doporučení:
- Přihlášený počítač nenechávejte bez dozoru.
- Při odchodu z učeben se nezapomeňte odhlásit od počítače.
- Při odchodu od počítače uzamkněte operační systém – ve Windows kombinace kláves Win+L. Popřípadě se odhlaste.
- Nastavte režim spánku např. po 30 minutách neaktivity – při obnově z režimu spánku se vyžaduje heslo. Může zkusit i dynamický zámek.
9. Obnova spárování InSIS účtu s ověřovací aplikací
Typicky je využíváno v situaci, když si ověřovací aplikaci odinstalujete, nebo v ní již dříve nastavený účet odeberete a nemáte k dispozici QR kód z původního spárování.
Upozornění: Aby bylo možné spárování obnovit, je nejprve nutné zažádat oddělení HelpDesk o pozastavení vícefaktorového ověření k Vašemu InSIS účtu. Žádost je možné zaslat z Vaší školní poštovní schránky, ověřené soukromé poštovní schránky, případně se dostavit osobně.
>> Postup obnovy spárování při pozastaveném vícefaktorovém ověřování (klikněte pro rozbalení návodu) <<
1. Odeberte Váš InSIS účet z ověřovací aplikace (níže příklad z Microsoft Authenticatoru):
2. Přihlašte se do InSIS a v Nastavení informačního systému přejděte na Nastavení autentizace pomocí jednorázových hesel (OTP):
3. Klikněte na Zrušit spárování:
4. InSIS Vás informuje o tom, že spárování s aplikací bylo zrušeno. Kliknutím na Mám nainstalovanou aplikaci, chci zahájit nastavení pak zahájíte nové spárování dle návodu zde.