Doporučení k zavádění multifaktorové autentizace na FJFI

Na ČVUT jsou k dispozici různé způsoby multifaktorové autentizace (MFA) sloužící k bezpečnějšímu přihlašování k provozovaným informačním systémům. V závislosti na uživatelské roli, typu zařízení a způsobu správy doporučujeme:

• děkanát / administrativa (konfiguraci zajistí FJFI IT)
  • spravované PC a pracovní notebooky s Windows Hello (Touch-Id nebo PIN)
  • možnosti registrace Windows Hello
    • dočasný přístupový kód TAP
    • (soukromý) chytrý mobil s aplikací Microsoft Authenticator
• katedry (primárně řešeny katedrálními správci)
  • plně spravované windows v režimu děkanátu (browser, mail a office)
  • registrace windows do systému ČVUT a konfigurace Windows Hello 
  • (soukromý) chytrý mobilní telefon s Microsoft Authenticator
  • FIDO2 klíčenka (security token)
• ostatní (studenti, externisti, partneři)
  • mobil s Microsoft Authenticator
• učebny
  • přihlašování ke stanicím bez MFA jménem a heslem (případně guest)
  • MFA chytrým telefonem nebo klíčenkou ke službám (OneDrive, Mail, IS ČVUT, ...)

Nejuniverzálnějším druhým faktorem je Microsoft Authenticator, který lze použít pro MFA bez ohledu na operační systém (Android, iOS, macOS, Linux a starší verze Windows). Pro náročnější uživatele je atraktivní volbou FIDO2 klíčenka, kterou lze použít k zabezpečení dalších služeb třetích stran a často poskytuje další bezpečnostní funkce. Povolenou MFA metodou je prozatím i TOTP jehož zabezpeční závisí na implementaci - existují klasické hardwarové tokeny s displayem, softwarové řešení v aplikaci musí používat bezpečné úložiště (např. MS Authenticator, YubiKey Manager) a není povoleno využívat TOTP integrované do password managerů a rozšíření webových browserů.

Doporučujeme zaregistrovat více druhých faktorů pro případ ztráty, abyste předešli komplikovanému procesu resetu s využitím TAP. Připravuje se možnost resetu druhého faktoru přes webové rozhraní po přihlášení identitou občana, což v budoucnu pokryje většinu situací vyžadujících reset MFA.

• IT spravovaná zařízení: Windows Hello for Business (spravované zařízení) + Authenticator (případně security token)
• Windows zařízení: Windows Hello for Business (registrované zařízení) + Authenticator
• Ostatní zařízení: Authenticator + jeden / více security tokenů

Následující vybavení máme k dispozici na vyzkoušení (detaily) v průběhu týdně, kdy bude MFA zaváděno na katedrách (harmonogram)

• FIDO2 security tokeny
  • GoTrust Idem Key (USB a NFC komunikace např. s mobilem)
  • YubiKey 5 NFC (USB a NFC komunikace, další funkce - např. TOTP)
  • YubiKey Nano (formát vhodný pro notebooky, další funkce)
  • YubiKey BIO (otisk prstu místo PIN, omezenější další funkce)
  • Yubico Security Key NFC (omezenější další funkce)
• Windows Hello
  • Aktuálně nepodporuje externí kamery a čtečky otisků prstů bez snížení úrovně zabezpečení při přihlašováni
  • Face-ID
    • Vyžaduje kameru s podporou IR snímání a dostatek světla pro normální kameru
    • Lenovo Performance FHD Webcam (bez ESS)
  • Touch-ID
    • Funguje se čtečkami zabudovanými v noteboocích
    • Kensigton VeriMark Fingerprint Key
    • Kensigton VeriMark Desktop Fingerprint Key

Stručný plán zavádění MFA na FJFI

• Nasazení po katedrách a odděleních děkanátu
• Vynucení druhého faktoru po kampani na katedře
• 1.11. ČVUT vynutí MFA pro všechny uživatele
• Harmonogram, stav zavádění MFA na FJFI