Vícefaktorová autentizace – otázky a problémy

1. Co je bezpečné zařízení?

  • Bezpečné zařízení má následující vlastnosti:
    • Na zařízení máte svůj účet, který nesdílíte s jinými osobami.
    • Účet je chráněn heslem, PINem, otiskem prstu či obdobnou metodou.
    • K zařízení je omezený přístup, tj. nedostanou se k němu neznámé osoby.
  • Podmínky splňují:

    • Počítač v zamykatelné kanceláři se školními Windows.
    • Notebook, na kterém pracujete převážně sami a nosíte jej obvykle s sebou. Případní další uživatelé na notebooku mají svůj účet.
    • Počítač doma, pokud na něm máte samostatný účet.
    • Mobilní telefon, který nesdílíte s jinými osobami.
  • Příklady zařízení, které nesplňují podmínky pro bezpečné zařízení:

    • Počítač na počítačových učebnách.
    • Cizí počítač včetně počítačů Vašich známých.
    • Domácí počítač, na kterém sdílíte stejný účet s dalšími členy rodiny.
    • Mobilní telefon, který půjčujete ke hrám dětem či vnukům.

Informace o bezpečném zařízení se ukládá ve webovém prohlížeči. Pokud používáte více prohlížečů, tak na každém je potřeba samostatně potvrdit bezpečné zařízení. Pokud je prohlížeč v anonymním či soukromém režimu, tak se informace o bezpečném zařízení při jeho ukončení smaže.

2. Nemám vhodný mobil, nechci používat soukromý mobil

Na počítač Vám nainstalujeme aplikaci pro generování jednorázových ověřovacích kódů a spárujeme ji s Vaším účtem ve studijním systému. Má to nevýhodu – můžete se přihlašovat jen z tohoto počítače, popř. při přihlášení na jiném počítači se musíte být schopni podívat na ověřovací kód vygenerovaný na primárním počítači.

3. Mám nový mobil, jak přenesu kód?

Existuje více možností:

  • Zálohujete v aplikaci pro generování kódu. Na novém mobilu nainstalujte stejnou aplikaci a vyberte obnovu uložených tajných hesel.
  • Vytiskli jste QR kód a máte ho k dispozici. Na novém mobilu si nainstalujte aplikaci pro generování jednorázových hesel a v ní vyfoťte QR kód.
  • V InSIS spárujte nový mobil se svým účtem. Týká se pouze uživatelů s volitelným použitím jednorázových hesel. Do InSIS se přihlásíte pomocí aplikace na starém mobilu. V aplikaci „Nastavení autentizace pomocí jednorázových hesel (OTP)“ deaktivujte dočasně použití jednorázových hesel a zrušíte spárování starého mobilu s účtem. Poté spárujete nový mobil se svým účtem.
  • Žádnou z předchozích metod nemůžete použít. Požádejte správce o zrušení párování původního mobilu. Při přihlášení spárujete nový mobil se svým účtem ve studijním systému.

.

4. Přišel jsem do školy a zapomenul si mobil

  • Pracujete na bezpečném zařízení. Pokud jste si svůj pracovní počítač v kanceláři označili jako bezpečné zařízení, tak je velká pravděpodobnost, že zrovna dnes nebudete muset zadávat ověřovací kód.
  • Vrátíte se domů pro mobil. Někdy je to nejjednodušší řešení.
  • Máte v kanceláři papír s vytisknutým QR kódem. Požádáte důvěryhodného kolegu, zda by ofotil Váš QR kód do své aplikace na generování jednorázových hesel a pomohl Vám s přihlášením. Po přihlášení by měl kolega smazat Váš záznam ze své aplikace.
  • Požádáte o dočasné vypnutí vícefaktorové autentizace. Uživatelům s volitelnou vícefaktorovou autentizací ji může správce dočasně vypnout, např. do konce dne.

.

5. Vybila se mi baterka na mobilu

Nejjednodušší je zapůjčit si nabíječku a mobil nabít. Pokud to není možné, tak použijte některé z řešení pro případ zapomenutého mobilu.

6. Podařilo se mi spárovat účet s mobilem, ale nyní se nepřihlásím

Příčiny mohou být různé. Zatím jsme narazili na následující:

  • Chybné heslo – heslo se kontroluje až po zadání kódu. Tj. nepoznáte, zda jste zadali chybné heslo či chybný kód.
  • Chybný čas na mobilu – čas se lišil asi o 2 minuty a uživatel se nebyl schopen přihlásit. Vyřešili jsme to nastavením automatické synchronizace času na mobilu.

7. Jaké jsou bezpečnostní výhody vícefaktorové autentizace?

Vícefaktorová autentizace chrání proti většině případů úniku hesla, např.:

  • mizera sleduje Vaši klávesnici při zadávání hesla
  • mizerovi se podaří Vás přesvědčit k zadání hesla na jeho webu (úspěšný phishing)
  • stejné heslo používáte na více serverech a z některého z nich Vaše heslo unikne
  • omylem zapíšete heslo místo uživatelského jména a mizera ho poté zneužije
  • mizera na počítači (např. na učebnách) nainstaluje zařízení na odchytávání hesel (keylogger)

8. Jaká bezpečnostní rizika zůstávají?

I při používání vícefaktorové autentizace některá bezpečnostní rizika zůstávají. Z nich bych zdůraznil dvě:

8.1 Útočník nainstaluje svůj software na počítač, na kterém se uživatel přihlašuje do studijního systému.

První z Deseti neměnných zákonů počítačové bezpečnosti říká: Pokud Vás mizera dokáže přesvědčit, abyste spustili jeho program ve Vašem počítači, už to není pouze Váš počítač.
Konkrétně – Vy se přihlásíte do studijního systému a mizera bude poté za Vás ovládat klávesnici, zadávat za Vás příkazy.

Základní doporučení:

  • Používejte aktualizovaný antivirový program.
  • Nestahujte aplikace z podezřelých zdrojů.
  • V elektronické poště neklikejte na přílohy, které jste neočekávali.
  • Pravidelně aktualizujte operační systém a další aplikace.
  • Na přenášených zařízeních (notebook) si zašifrujte disky.
8.2 Útočník se dostane fyzicky k počítači, na kterém je oprávněný uživatel přihlášen do InSIS.

Základní doporučení:

  • Přihlášený počítač nenechávejte bez dozoru.
  • Při odchodu z učeben se nezapomeňte odhlásit od počítače.
  • Při odchodu od počítače uzamkněte operační systém – ve Windows kombinace kláves Win+L. Popřípadě se odhlaste.
  • Nastavte si automatické uzamčení operačního systému po delší neaktivitě.