Univerzita Tomáše Bati ve Zlíně

MFA (Multi-Factor Authentication, vícefaktorová autentizace) je způsob zabezpečení přihlášení, kdy nestačí pouze uživatelské jméno a heslo. Kromě hesla zadáváte ještě jednorázový ověřovací kód z autentizační aplikace. Díky tomu je účet chráněn i v případě, že by někdo zjistil nebo odcizil vaše heslo.

Jaké jsou hlavní přínosy MFA?

• Výrazně snižuje riziko zneužití uživatelského účtu.
• Chrání firemní data a systémy.
• Zabraňuje neoprávněnému přístupu při úniku hesel.
• Je jedním z nejúčinnějších bezpečnostních opatření používaných v organizacích po celém světě.

OTP (One-Time Password) neboli také TOTP (Time-based One-Time Password) je jednorázový kód generovaný na základě:

• tajného klíče uloženého při registraci,
• aktuálního času.

Při prvním nastavení se do autentizační aplikace uloží tajný klíč (obvykle naskenováním QR kódu). Aplikace z tohoto klíče a aktuálního času každých 30 sekund vypočítá nový šestimístný kód.

Důležité vlastnosti:

• kód platí jen krátkou dobu a lze jej použít pouze jednou,
• stejný tajný klíč zná pouze server a vaše autentizační aplikace,
• pro generování kódu není potřeba připojení k internetu.

Autentizační aplikace je program, který generuje jednorázové OTP kódy.

Mezi běžné autentizační aplikace patří například:

• Microsoft Authenticator
• Google Authenticator

Úkolem aplikace je pouze generovat ověřovací kódy pro přihlášení.
Více informací k autentizačním aplikacím včetně odkazů ke stažení je na samostatné stránce.

Ne.
Mobilní telefon je nejčastější varianta, protože ho lidé obvykle mají u sebe, ale není jediná.

OTP kódy lze generovat také:

• v desktopové aplikaci na počítači,
• ve specializovaném správci hesel s podporou TOTP,
• na některých hardwarových bezpečnostních zařízeních.

Důležité upozornění

Z bezpečnostního hlediska je vhodné mít druhý faktor oddělený od zařízení, na kterém se přihlašujete. Pokud tedy používáte desktopovou aplikaci na stejném počítači, ze kterého se přihlašujete, ochrana je o něco slabší než při použití samostatného telefonu nebo hardwarového tokenu.

Můžete používat autentizační desktopovou aplikaci na počítači.

Ne.
Standardní autentizační aplikace slouží pouze ke generování ověřovacích kódů.

Typicky:

• nesleduje vaši polohu,
• nečte vaše fotografie,
• nečte vaše zprávy,
• neumožňuje zaměstnavateli vzdáleně ovládat telefon,
• neumožňuje zaměstnavateli sledovat obsah telefonu.

Aplikace generuje kódy lokálně přímo v zařízení.

Samotné generování OTP kódů funguje bez odesílání přihlašovacích údajů nebo obsahu telefonu.
Některé aplikace mohou komunikovat se svými servery například za účelem:

• zálohování účtů,
• synchronizaci mezi zařízeními,
• aktualizacím aplikace.

To ale neznamená, že organizace získává přístup k obsahu vašeho telefonu. Rozsah komunikace závisí na konkrétní aplikaci a nastavení.

Při prvotním nastavení často ano. Důvodem je načtení QR kódu, který obsahuje tajný klíč pro nastavení účtu. Po dokončení registrace již většina aplikací fotoaparát nepotřebuje. Tajný klíč lze zpravidla zadat i ručně pomocí textového řetězce.

Pro generování OTP kódů ne.
Po úvodním nastavení dokáže aplikace generovat kódy i:

• bez mobilních dat,
• bez Wi-Fi,
• v režimu letadlo.

Je pouze potřeba, aby zařízení mělo správně nastavený čas.

Kontaktujte co nejdříve IT podporu.

Obvykle je možné:

• MFA resetovat,
• nastavit na novém zařízení.

Před výměnou zařízení je vhodné:

1. nainstalovat autentizační aplikaci na nové zařízení
2. na portálu pro správu uživatelského účtu si zobrazit klíč pro MFA
3. naskenováním zobrazeného QR kódu přidat účet do nového zařízení

 
Případně převést autentizační aplikaci na nové zařízení včetně nastavení podle návodu výrobce.
Pokud již starý telefon nemáte, obraťte se na IT podporu.

Ano.
Autentizační aplikace běžně podporují více nezávislých účtů současně a dokážou generovat samostatné kódy pro různé služby.

Ano.
Autentizační aplikaci je možné mít současně na telefonu i záložním zařízení – jiném telefonu nebo počítači. To může usnadnit obnovu přístupu při ztrátě nebo poruše jednoho zařízení.

Ano, obecně ano.

OTP kódy:

• nejsou závislé na mobilním operátorovi,
• nelze je zachytit přesměrováním SMS,
• fungují i bez mobilního signálu.

Proto jsou dnes považovány za bezpečnější variantu vícefaktorové autentizace.

Nejčastější příčiny:

• nesprávně nastavený čas v zařízení,
• použití starého kódu po vypršení jeho platnosti,
• chyba při zadání kódu,
• nesprávně nastavený účet v autentizační aplikaci.

Zkontrolujte čas zařízení (ideálně automatickou synchronizaci času) a zkuste nový kód. Pokud problém přetrvává, kontaktujte IT podporu.

I velmi silné heslo může být:

• odcizeno při úniku dat,
• získáno phishingovým útokem,
• omylem prozrazeno,
• zneužito škodlivým softwarem.

MFA přidává další bezpečnostní vrstvu, takže samotná znalost hesla útočníkovi nestačí.

Obvykle:

1. přihlásíte se do systému,
2. naskenujete QR kód autentizační aplikací,
3. aplikace začne generovat OTP kódy,
4. zadáním jednoho kódu ověříte správné nastavení.

 
Poté budete při každém přihlášení tam, kde to bude vyžadováno, kromě hesla zadávat také aktuální ověřovací kód.

Ne.

Používání autentizační aplikace samo o sobě:

• neposkytuje přístup k obsahu telefonu,
• neposkytuje přístup k historii hovorů,
• neposkytuje přístup k fotografiím,
• neposkytuje přístup k osobním aplikacím,
• neumožňuje sledovat polohu uživatele.

Autentizační aplikace není komunikační nástroj mezi organizací a telefonem. Funguje spíše jako kalkulačka, která na základě uloženého tajného klíče a aktuálního času vypočítává jednorázové OTP kódy.