MFA

Z Wiki JU
Podstránky:

Co je to MFA?

Zkratka MFA pochází z anglického slovního spojení Multi Factor Authentication. Do češtiny se toto slovní spojení často překládá jako vícefaktorové ověřování nebo vícefaktorová autentizace. MFA jistě znáte například z přihlášení do své banky.

Jak MFA funguje?

Vícefaktorové ověřování (MFA) přidává do procesu přihlašování další vrstvu ochrany. Při přístupu k účtům nebo aplikacím provádějí uživatelé dodatečné ověření identity, například nasnímají otisk prstu nebo zadají kód, který jim přijde na telefon.

Proč MFA?

Technologie MFA přináší mnohonásobně vyšší zabezpečení uživatelských účtů a dat proti zcizení a zneužití. Pro případného narušitele je tento způsob zabezpečení často neřešitelným problémem, a i v případě zcizení hesla jsou uživatelský účet a data pro útočníka nedostupné. Z pohledu uživatele se jedná o minimální zásah do jeho práce, přitom zabezpečení uživatelského účtu a dat vzroste několikanásobně.

MFA na Jihočeské univerzitě

Na JU bude MFA nasazeno při přihlášení do cloudu Microsoft 365 (dále jen M365) a v rámci jednotného přihlášení (SSO) následně i na další služby jako je například Service Desk, spisová služba atd.. MFA je v prostředí M365 zajišťováno pomocí Azure AD. Vzhledem k tomu, že na JU studuje velké množství zahraničních studentů, kteří se do M365 často hlásí z domovských států není možné aplikovat regionální ochranu přístupu do M365 a MFA je jedinou logickou volbou ochrany.

Registrace sekundárního způsobu ověření MFA v prostředí M365

·        Povinná pro všechny studenty i zaměstnance JU

·        Lhůta pro registraci je 14 dnů od prvního přihlášení do M365

·        Po uplynutí lhůty bude registrace vynucena a bez jejího nastavení nebude možné se do M365 a navázaných služeb přihlásit

Ověřování přístupu pomocí MFA v prostředí M365

·        Bude vyžadováno vždy pro správce s jakoukoli přidělenou rolí v M365

·        Bude vyžadováno vždy při přihlašování ze zařízení mimo vnitřní síť JU

·        Bude vyžadováno vždy v případě rizikového nebo podezřelého chování uživatele

·        Nebude vyžadováno při standardním chování uživatele při přihlašování z vnitřní sítě JU

·        Nebude vyžadováno při standardním chování uživatele při přihlašování z vnitřní sítě JU s požitím VPN

Registrace sekundárního ověření MFA

Co je registrace sekundárního ověření  MFA?

Registrace sekundárního ověření MFA (dále jen registrace) je pouze výběr a nastavení jednoho z možných způsobů sekundárního ověření. Jednotlivé možné způsoby budou podrobně vysvětleny dále.

Kolik je na registraci MFA času?

Registrovat způsob ověření je potřeba po dobu přechodné lhůty tj. 14 dnů od prvního přihlášení od aktivace administrátorem, po uplynutí této přechodné lhůty bude registrace MFA vynucena a bez ní nebude možné se do M365 přihlásit. Například pokud se uživatel přihlásí do M365 až za 30 dnů po aktivaci MFA správce, bude lhůta pro registraci 30 + 14 dnů po aktivaci MFA správcem.

Pozor, pokud je ověření pomocí MFA z nějakého důvodu vynuceno je potřeba registrovat sekundární způsob ověření ihned a přechodná lhůta není poskytována.

Jak poznám, že se mám registrovat ověřovací metodu MFA?

Pokud se uživateli po přihlášení objeví následující obrazovka na obrázku vlevo, jedná se o spuštění procesu registrace, který je možné v prvních 14 dnech přeskočit Pokud se zobrazí obrazovka vpravo, nelze již registraci odkládat a musí být provedena okamžitě.



Způsoby sekundárního ověření

M365 - Azure AD nabízí širokou škálu flexibilních metod vícefaktorového ověřování (MFA) založených na těchto principech:

  • Něco, co víte: Heslo, PIN nebo odpověď na bezpečnostní otázku.
  • Něco, co máte: Fyzický předmět, jako je telefon nebo USB token, který vám poskytne jednorázový kód.
  • Něco, co jste: Biometrická data, jako je otisk prstu nebo rozpoznání obličeje.
  • Každý uživatel si může zvolit jednu nebo více metod, které mu budou nejvíce vyhovovat. Je jen na uživateli, zda dá přednost zaslání číselného kódu, tak jak je zvyklý například z banky, nebo zda se rozhodne využít pro ověření mobilní aplikaci.
  • Velmi doporučujeme registrovat si minimálně dva způsoby ověřování a předejít tak možnému výpadku možnosti ověření. Pokud z nějakého důvodu nebudete schopni přihlášení ověřit kontaktujte nás a my vám pomůžeme.
  • Níže naleznete podrobné návody krok za krokem, jak si jednotlivé způsoby ověření přidat při první aktivaci MFA. Další možnosti je možné přidat v nastavení účtu na adrese https://mysignins.microsoft.com/security-info

Základní způsoby sekundárního ověřování

Jedná se o základní metody, které si může uživatel sám nastavit kdykoli.

  • Microsoft Authenticator 3.4
  • Ověřovací aplikace generující softwarové tokeny – OATH OTP kódy
    • Google Authenticator 3.5
    • Interní nastavení v zařízeních Apple 3.6
    • Mnoho dalších aplikací podporujících generování OATH OTP
      • Authy 2-Factor Authentication
      • FreeOTP Authenticator
      • Bitwarden
      • Sophos Authenticator
      • LastPass Authenticator
  • SMS 3.7

1.2    Doplňkové způsoby sekundárního ověřování

Doplňkovou metodu lze v současné době nastavit jako jediné sekundární ověření pouze po dobu přechodné lhůty. Pokud jste tuto lhůtu promeškali nebo vám nebyla poskytnuta je potřeba nejprve registrovat některý ze základních způsobů sekundárního ověření a teprve poté registrovat doplňkovou metodu. Jakoukoli metodu lze kdykoli odstranit.

·        Klíče zabezpečení tzv. klíčenka s podporou FIDO2

·        Windows Hello pro firmy

1.3    Nouzový způsob sekundárního ověření

Jedná se o kód limitovanou platností na jedno použití, o který můžete zažádat pomocí emailu z univerzitní nebo ověřené soukromé emailové adresy mfa@rt.jcu.cz. Tento kód vám bude zaslán, pokud dojde například ke ztrátě zařízení.