Doporučení k zavádění MFA na FJFI

Na ČVUT jsou k dispozici různé způsoby multifaktorové autentizace (MFA) sloužící k bezpečnějšímu přihlašování k provozovaným informačním systémům. V závislosti na uživatelské roli, typu zařízení a způsobu správy doporučujeme:

• děkanát / administrativa (konfiguraci zajistí FJFI IT)
  • spravované PC a pracovní notebooky s Windows Hello (Touch-Id nebo PIN)
  • možnosti registrace Windows Hello
    • dočasný přístupový kód TAP
    • (soukromý) chytrý mobil s aplikací Microsoft Authenticator
• katedry (primárně řešeny katedrálními správci)
  • plně spravované windows v režimu děkanátu (browser, mail a office)
  • registrace windows do systému ČVUT a konfigurace Windows Hello 
  • (soukromý) chytrý mobilní telefon s Microsoft Authenticator
  • FIDO2 klíčenka (security token)
• ostatní (studenti, externisti, partneři)
  • mobil s Microsoft Authenticator
• učebny
  • přihlašování ke stanicím bez MFA jménem a heslem (případně guest)
  • MFA chytrým telefonem nebo klíčenkou ke službám (OneDrive, Mail, IS ČVUT, ...)

Nejuniverzálnějším druhým faktorem je Microsoft Authenticator, který lze použít pro MFA bez ohledu na operační systém (Android, iOS, macOS, Linux a starší verze Windows). Pro náročnější uživatele je atraktivní volbou FIDO2 klíčenka, kterou lze použít k zabezpečení dalších služeb třetích stran a často poskytuje další bezpečnostní funkce. Povolenou MFA metodou je stále i TOTP se zabezpečením závislým na implementaci - existují klasické hardwarové tokeny s displayem, softwarová řešení využívající bezpečné úložiště (např. MS Authenticator, YubiKey Manager), minimem je důvěryhodná aplikace se zašifrovanou konfigurací (např. KeePassXC, Ente Auth).

Doporučujeme zaregistrovat více druhých faktorů, abyste předešli komplikovanějšímu procesu resetu s využitím TAP. Vybrané varianty pro alternativní faktory

• IT spravovaná zařízení: Windows Hello for Business (spravované zařízení) + Authenticator (případně security token)
• Windows zařízení: Windows Hello for Business (registrované zařízení) + Authenticator
• Ostatní zařízení: Authenticator + jeden / více security tokenů případně bezpečnou variantu TOTP
• (ČVUT ID web plánovaný na 2026 umožní reset přes identitu občana)

Následující vybavení máme k dispozici na vyzkoušení (detaily) v průběhu týdne, kdy bude MFA zaváděno na katedrách (harmonogram)

• FIDO2 security tokeny
  • GoTrust Idem Key (USB a NFC komunikace např. s mobilem)
  • YubiKey 5 NFC (USB a NFC komunikace, další funkce - např. TOTP)
  • YubiKey Nano (formát vhodný pro notebooky, další funkce)
  • YubiKey BIO (otisk prstu místo PIN, omezenější další funkce)
  • Yubico Security Key NFC (omezenější další funkce)
• Windows Hello
  • Aktuálně nepodporuje externí kamery a čtečky otisků prstů bez snížení úrovně zabezpečení při přihlašováni
  • Face-ID
    • Vyžaduje kameru s podporou IR snímání a dostatek světla pro normální kameru
    • Lenovo Performance FHD Webcam (bez ESS)
  • Touch-ID
    • Funguje se čtečkami zabudovanými v noteboocích
    • Kensigton VeriMark Fingerprint Key
    • Kensigton VeriMark Desktop Fingerprint Key

Stručný plán zavádění MFA na FJFI

• Nasazení po katedrách a odděleních děkanátu
• Vynucení druhého faktoru po kampani na katedře
• 1.11. ČVUT vynutí MFA pro všechny uživatele
• Harmonogram, stav zavádění MFA na FJFI