Přeskočit na obsah Přeskočit na hlavní navigaci Přeskočit na zápatí (patičku)

Dvoufaktorová autentizace

Ve verzi 5.32 beta2 došlo k implementaci funkce, která po zapnutí umožňuje a vynucuje ověření druhým faktorem před korektním přihlášením uživatele do systému ISPadmin.

Ověření je možné provést například pomocí mobilní aplikace Google Authenticator, která je volně dostupná přes Google Play nebo AppStore.

Podporujeme jakoukoliv ověřovací aplikaci nabízející jednorázové kódy s časově omezenou platností (TOTP – Time-Based One-Time Password). Např. Twilio Authy, Google Authenticator nebo Microsoft Authenticator.

Nyní na Google Play Nyní na App Store

Google Authenticator je bezplatná aplikace pro mobilní telefony, ve které je možné přidávat a spravovat tokeny pro různá SW řešení. Autentikátor generuje jednorázová hesla (OTP) pro daný časový úsek (30 vteřin), která je následně možné použít pro autentizaci bez závislosti na připojení k internetu nebo síti mobilního operátora.

Ověření pomocí aplikace Google Authenticator
Ověření pomocí aplikace Google Authenticator

Co je dvoufaktorová autentizace?

Dvoufaktorovou autentizací se rozumí použití dvou faktorů pro úspěšné ověření v procesu přihlášování uživatele do systému:

  • něčeho, co uživatel zná (jméno a heslo)
  • něco, co uživatel vlastní (mobilní telefon s aplikací)

Dvoufaktorové ověření zvyšuje úroveň zabezpečení uživatelských účtů tím, že kromě znalosti jména a hesla uživatele, vyžaduje také potvrzení pomocí ověřovacího kódu (TOTP) z mobilní aplikace (autentikátoru).

I když útočník získá uživatelské jméno a heslo, nebude mít přístup k účtu bez druhého faktoru ověření z mobilní aplikace (autentikátoru).

Při pokusu o přihlášení uživatele do systému ISPadmin je nyní možné, u vybraných uživ. účtů, zapnout vyžadování další možnosti pro ověření (2FA). Po zadání správného uživ. jména a hesla je poté nutné zadat unikátní kód z mobilní aplikace v telefonu.

Nastavení

UPOZORNĚNÍ
V případě resetování nastavení 2FA nebo po změně hesla uživatele, je nutné v autentikátoru přidat pomocí QR kódu nový účet/profil. Starý účet/profil po změně hesla nebo resetování nastavení není platný a kódem z původního účtu již není možné se přihlásit.

Jedná se o volitelnou funkci, která je defaultně u všech uživ. účtů vypnuta.

Vyjímkou je servisní účet s uživ. jménem netservice, kde je dvoufaktorové ověření automaticky po updatu, z důvodu bezpečnosti vzdálených instalací, zapnuto.

Zapnout dvoufaktorové ověření můžete, u konkrétního uživ. účtu , v nastavení uživ. účtů (Nastavení –> Administrátoři –> Administrátoři) ve sloupci 2FA, kliknutím na křížek () (označuje vypnuto) a následně na možnost Zapnout 2FA (viz obrázek).

Zapnutí dvoufaktorového ověření u konkrétního uživ. účtu
Zapnutí dvoufaktorového ověření u konkrétního uživ. účtu

Dvoufaktorové ověření je možné u uživ. účtu i vypnout nebo nastavení účtu resetovat (zobrazit QR pro přidání nového účtu do autentikátoru).

Možnost 2FA vypnout nebo resetovat nastavení
Možnost 2FA vypnout nebo resetovat nastavení

Možnost resetování nastavení je možné i v uživ. nastavení konkrétního uživ. účtu.

Nastavení uživ. účtu
Nastavení uživ. účtu

V sekci Nastavení dvoufázového ověření přes TOTP tlačítkem Upravit ().

Nastavení dvoufázového ověření
Nastavení dvoufázového ověření

Po zadání odpovídajícího hesla k účtu, je možné zobrazit stávající nastavení (QR kód) nebo vygenerovat nastavení nové (nové nastavení účtu pro autentikátor – nutnost přidat nový účet v autentikátoru) možností – Vygenerovat nový secret.

Možnost zobrazit stávající nastavení nebo vygenerovat nové
Možnost zobrazit stávající nastavení nebo vygenerovat nové

Proces ověření

UPOZORNĚNÍ
V případě několika neúspěšných pokusů při přihlášení (uživ. jméno / heslo / OTP), z jedné IP adresy za určitý čas, dojde k zablokování možnosti se do systému z této IP adresy po nějaký časový úsek přihlásit (prevence brute force útoku).

DŮLEŽITÉ
Ověření pomocí TOTP funguje i offline. Vstupy pro algoritmus jsou čas na zařízení a uložený secret klíč (ten v QR kódu). Generování OTP nebo ověření tedy nevyžaduje připojení k internetu. Pro algoritmus TOTP je důležitý systémový čas, protože pokud je čas nesprávný/rozdílný, vygenerovaná jednorázová hesla se budou lišit a nezískáte přístup ke svému účtu.

Před prvním ověřením je nutné přidat do aplikace (autentikátoru) účet.

Účet je možné přidat za pomocí naskenování zobrazeného QR kódu před prvním přihlášením uživatele, u kterého byla 2FA zapnuta nebo po resetování nastavení u uživ. účtu.

První přihlášení a nastavení účtu v mob. aplikaci pomocí zobrazeného QR kódu
První přihlášení a nastavení účtu v mob. aplikaci pomocí zobrazeného QR kódu

V autentikátoru, konkrétně v aplikaci Google Authenticator, je možné účet přidat za pomocí tlačítka () a zvolením možnosti Naskenovat QR kód.

Po prvotním přidání účtu už bude v aplikaci účet dostupný pro příští přihlášení.

Po určitých časových úsecích (30 vteřin) se kód u konkrétního účtu v aplikaci mění. Zobrazený kód je potřeba během jeho platnosti zadat nebo zkopírovat do příslušných polí v systému ISPA, které se objeví po zadání platných přihlašovacích údajů (jméno a heslo) do systému ISPadmin.

Pole pro zadání/vložení kódu z aplikace (po zadání korektních přihl. údajů)
Pole pro zadání/vložení kódu z aplikace (po zadání korektních přihl. údajů)