Vícefaktorové ověřování (MFA)

Vícefaktorové ověřování (dále jen MFA) je postup, který zvýší bezpečnost Vašeho přihlašování do systémů ČVUT a výrazně zkomplikuje možnost zneužití Vašich přihlašovacích údajů. Běžně se s ním již setkáváte například u bankovnictví nebo ve státní správě.

Vícefaktorové ověřování je do vybraných služeb povinné pro zaměstnance, studenty, partnery i absolventy. Četnost užití druhého faktoru je nyní nastavena na sedm dní, reálná frekvence je ale závislá zejména na integraci Vašich zařízení do tzv. jednotného přihlašování (Single sign-on, SSO). Pravidla a výhody MFA spojené s jednotným přihlašováním se různí podle způsobů implementace a použitého operačního systému.

Doporučujeme mít nastaveno více metod pro MFA, minimálně dvě, a to z důvodu možných technických problémů nebo ztráty zařízení pro jeden z druhých faktorů. Toto je nezbytně nutné u zaměstnanců vyjíždějících na pracovní cesty, případně pracujících velmi často mimo stálé pracoviště.

Samotné nastavení se provádí v portále Mysignins.microsoft.com, pokud máte aktivní alespoň jeden druhý faktor můžete si ostatní přidávat nebo odebírat sami. Pokud se Vám první registrace nepovedla, je potřeba zadat tiket do ServiceDesku, dlaždice IT Služby a kolegové Vám nastavení vyresetují.

Dostupné metody druhého faktoru

Microsoft Authenticator
Tato metoda spočívá v instalaci aplikace do chytrého telefonu, ve které dojde k ověření zobrazeného kódu. Chytrý telefon musí mít alespoň operační systém Android 8+ nebo iOS16+. Při volbě chytrého telefonu je potřeba dodržet příkaz děkana 5/2023 a vyhnout se zařízením od firem Huawei Technologies Co., Ltd. a ZTE Corporation.

Podrobný návod k nastavení MS Authenticatoru je na Portále FSv.
Pozor ! Návod se může drobně lišit podle verze OS chytrého telefonu nebo počítače.

USB Fido2 klíčenka
FIDO2 klíčenka je hardwarové zařízení, připojované do USB portu. Je dostupné jak ve variantě USB-A tak i USB-C. Pro zabezpečení oprávněnosti použití klíčenky slouží PIN, případně u dražších modelů otisk prstu. Tento bezpečnostní prvek je uložen lokálně na klíčence, neposílá se tedy po síti a metoda jako taková je vysoce bezpečná.

Pro použití druhého faktoru postačí přítomnost klíčenky v USB portu daného zařízení, zadání PIN a doteku klíčenky, případně otisku prstu.

Uvedené ceny jsou dle B2C, na webu naleznete ceny nižší i vyšší. Nákup lze provést v libovolném obchodě.

Pro aktivaci tohoto druhého faktoru je potřeba mít již aktivní některou z metod MFA, případně zadejte tiket do ServiceDesku a kolegové Vám ji aktivují bez nutnosti aktivace další metody.

Podrobný návod k nastavení FIDO2 klíčenky je na webu univerzitního VIC.

Microsoft Hello for Business
Windows Hello for Business (WHfB) je rozšířená verze Windows Hello, která poskytuje bezheslové a vícefaktorové ověřování pro firemní prostředí, kde je klíčem k identitě digitální certifikát a PIN nebo biometrické údaje na daném zařízení.

Použití druhého faktoru u Windows Hello for Business spočívá v zadání PIN, použití otisku prstu případně biometrického skenu obličeje. Tyto možnosti lze nastavit v závislosti na hardwarovém vybavení Vašeho počítače. Technologii Microsoft Hello for Business není možné použít v prostředí Tenkého Klienta.

Pro aktivaci tohoto druhého faktoru je potřeba mít aktivní ještě jiný druhý faktor, protože WHfB funguje pouze na zařízení, na kterém byl nastaven.

Podrobný návod k nastavení Windows Hello for Business je na webu univerzitního VIC.

TOTP aplikace
TOTP (Time-based One-Time Password) aplikace jsou aplikace pro chytrý telefon nebo počítač, které generují jednorázové, časově omezené kódy (30 sekund), které se používají jako druhý faktor při MFA. (Příkladem takové aplikace je KeepassXC nebo Google Authenticator.)

Aplikace se stahují z běžných online obchodů, pokud není v online obchodě k dispozici, znamená to, že pro Váš telefon není podporována a musíte zvolit jiný druhý faktor.

Při volbě chytrého telefonu je potřeba dodržet příkaz děkana 5/2023 a vyhnout se zařízením od firem Huawei Technologies Co., Ltd. a ZTE Corporation.

Dočasný přístupový kód (TAP)
Tento jednorázový kód platný 12 hodin je možné použít pokud není dostupná žádná jiná metoda jak ověřit identitu. TAP kód se vydává VÝHRADNĚ ve Vydavatelství průkazů ČVUT.

TAP kódy bude Vydavatelství průkazů vydávat až po 1. listopadu 2025.

Tipy a triky pro MFA

MFA je v ideálním případě vynucováno jednou za sedm dní (viz. výše). V reálu je tato doba kratší, ale respektování informací uvedených níže pomůže se ideálním sedmi dnům přiblížit.

Většina aplikací využívajících MFA jsou webové aplikace, které se otevírají ve webovém prohlížeči. Používejte pouze jeden prohlížeč, mějte ho nastaven jako výchozí a mezi prací ho nezavírejte.

Pokud využíváte operační systém Windows, přihlaste se pomocí tzv. "Pracovního a školního účtu" (Work and School Account - WSA). Pro přihlášení do WSA je zapotřebí ověření pomocí MFA, ale toto ověření je poté zapamatováno i pro další aplikace.
Pokud jste přihlášení pomocí WSA funguje následně propojení s webovým prohlížečem Edge, po konfiguraci s prohlížečem Firefox a po instalaci doplňku i s prohlížečem Chrome. Ostatní prohlížeče jsme netestovali, ale lze předpokládat, že je v nich podobná funkcionalita také.

Když potřebujete poradit nebo technika nefunguje

Pokud potřebujete poradit, nastavení druhého faktoru selhalo, nebo prostě potřebujete asistenci s jeho nastavením, kontaktujte pracovníky Střediska podpory uživatelů, které je součástí Výpočetního a informačního centra FSv. Preferujeme zadání tiketu do ServiceDesku, dlaždice IT Služby, v naléhavých případech volejte linku 9700.
Pro ServiceDesk nebude prozatím MFA vynuceno, tedy lze použít i při potížích s touto technologií.