Podpora 2FA

Ve verzi 5.32 beta2 došlo k implementaci funkce, která po zapnutí umožňuje a vynucuje ověření druhým faktorem před korektním přihlášením uživatele do systému ISPadmin.

Ověření je možné provést například pomocí mobilní aplikace Google Authenticator, která je volně dostupná přes Google Play nebo AppStore. Použít je možné i jinou aplikaci splňující standard OTP.

Co je dvoufaktorová autentizace?

Dvoufaktorovou autentizací se rozumí použití dvou faktorů pro úspěšné ověření v procesu přihlášování uživatele do systému:

• něčeho, co uživatel zná (jméno a heslo)
• něco, co uživatel vlastní (mobilní telefon s aplikací)

Dvoufaktorové ověření zvyšuje úroveň zabezpečení uživatelských účtů tím, že kromě znalosti jména a hesla uživatele, vyžaduje také potvrzení pomocí ověřovacího kódu (TOTP) z mobilní aplikace (autentikátoru).

I když útočník získá uživatelské jméno a heslo, nebude mít přístup k účtu bez druhého faktoru ověření z mobilní aplikace (autentikátoru).

Při pokusu o přihlášení uživatele do systému ISPadmin je nyní možné, u vybraných uživ. účtů, zapnout vyžadování další možnosti pro ověření (2FA). Po zadání správného uživ. jména a hesla je poté nutné zadat unikátní kód z mobilní aplikace v telefonu.

Nastavení

UPOZORNĚNÍ
V případě resetování nastavení 2FA nebo po změně hesla uživatele, je nutné v autentikátoru přidat pomocí QR kódu nový účet. Starý účet po změně hesla nebo resetování nastavení není platný a kódem z původního účtu již není možné se přihlásit.

Jedná se o volitelnou funkci, která je defaultně u všech uživ. účtů vypnuta.

Vyjímkou je servisní účet s uživ. jménem netservice, kde je dvoufaktorové ověření automaticky po updatu, z důvodu bezpečnosti vzdálených instalací, zapnuto.

Zapnout dvoufaktorové ověření můžete, u konkrétního uživ. účtu , v nastavení uživ. účtů (Nastavení –> Administrátoři –> Administrátoři) ve sloupci 2FA, kliknutím na křížek () (označuje vypnuto) a následně na možnost Zapnout 2FA (viz obrázek).

Dvoufaktorové ověření je možné u uživ. účtu i vypnout nebo nastavení účtu resetovat (zobrazit QR pro přidání nového účtu do autentikátoru).

Možnost resetování nastavení je možné i v uživ. nastavení konkrétního uživ. účtu.

V sekci Nastavení dvoufázového ověření přes TOTP tlačítkem Upravit ().

Po zadání odpovídajícího hesla k účtu, je možné zobrazit stávající nastavení (QR kód) nebo vygenerovat nastavení nové (nové nastavení účtu pro autentikátor – nutnost přidat nový účet v autentikátoru) možností – Vygenerovat nový secret.

Proces ověření

Před prvním ověřením je nutné přidat do aplikace (autentikátoru) účet.

Účet je možné přidat za pomocí naskenování zobrazeného QR kódu před prvním přihlášením uživatele, u kterého byla 2FA zapnuta nebo po resetování nastavení u uživ. účtu.

V autentikátoru, konkrétně v aplikaci Google Authenticator, je možné účet přidat za pomocí tlačítka () a zvolením možnosti Naskenovat QR kód.

Po prvotním přidání účtu už bude v aplikaci účet dostupný pro příští přihlášení.

Po určitých časových úsecích (30 vteřin) se kód u konkrétního účtu v aplikaci mění. Zobrazený kód je potřeba během jeho platnosti zadat nebo zkopírovat do příslušných polí v systému ISPA, které se objeví po zadání platných přihlašovacích údajů (jméno a heslo) do systému ISPadmin.