Vícefaktorové ověřování (MFA)

Zkratka MFA pochází z anglického výrazu Multi-Factor Authentication, což v češtině znamená vícefaktorové ověřování nebo vícefaktorová autentizace. Jedná se o bezpečnostní mechanismus, který zvyšuje úroveň ochrany uživatelského účtu tím, že vyžaduje ověření identity pomocí více nezávislých metod.

S MFA se běžně setkáváme například při přihlašování do internetového bankovnictví. Můžete se také setkat s pojmem 2FA (dvoufaktorové ověřování nebo dvoufaktorová autentizace), který označuje konkrétní případ vícefaktorového ověřování využívající dva různé ověřovací prvky.

Jak funguje MFA?

Vícefaktorové ověřování přidává k běžnému zadání hesla další ověřovací krok, který slouží k potvrzení identity uživatele. Tento druhý faktor může mít různou podobu – například jednorázový kód zaslaný na mobilní telefon, ověření pomocí bezpečnostní klíčenky nebo biometrické ověření (např. otisk prstu).

MFA bývá založeno na kombinaci následujících typů ověřovacích údajů:

• Něco, co víte – například heslo nebo PIN kód
• Něco, co máte – fyzické zařízení, jako je mobilní telefon, hardwarový token – USB FIDO2 klíčenka
• Něco, co jste – biometrický údaj, jako je otisk prstu nebo rozpoznání obličeje

Vícefaktorová autentizace (MFA) představuje účinné bezpečnostní opatření, které významně posiluje ochranu uživatelských účtů, citlivých dat i přístupů do univerzitních systémů. Jejím cílem je minimalizovat riziko neoprávněného přístupu, a to i v případě, že dojde ke kompromitaci přihlašovacích údajů.

Na rozdíl od tradičního přihlašování, které spoléhá pouze na znalost hesla, vyžaduje MFA další ověřovací prvek – například kód zaslaný na mobilní zařízení, biometrické ověření nebo použití bezpečnostního klíče. Díky tomu je účet chráněn i tehdy, pokud se útočník získá přístup k heslu – bez druhého faktoru se k citlivým informacím nedostane.

S ohledem na zkušenosti s využíváním vícefaktorového ověřování (MFA) v prostředí ČVUT doporučujeme uživatelům využívat následující metody, které zajistí maximální pohodlí a efektivitu při ověřování.

Používám MS Windows:

1. Doporučujeme používat mobilní telefon s aplikací MS Authenticator (návod)
2. V aplikaci MS Authenticator aktivovat funkci bezheslové přihlašování (passwordless), která umožňuje pohodlnější a bezpečnější přístup bez zadávání hesla (návod)
3. Na počítači s operačním systémem Windows doporučujeme zapnout možnost přihlašování pomocí Windows Hello, například prostřednictvím otisku prstu, rozpoznání obličeje nebo PIN kódu (návod)
4. Pracovní nebo školní počítače doporučujeme připojit do služby Microsoft Intune, čímž zajistíte správu zařízení a vyšší úroveň zabezpečení. U soukromých zařízení doporučujeme provést registraci zařízení pro správu MFA (návod)
5. Ve webovém prohlížeči, který používáte, povolit jednotné přihlašování pro Windows:
   • Edge – je nutné mít synchronizovaný účet (postup)
   • Firefox – podporuje SSO po aktivaci v nastavení (postup)
   • Chrome – je k dispozici doplněk Microsoft Single Sign On (odkaz)

Používám MacOS:

1. Doporučujeme používat mobilní telefon s aplikací MS Authenticator (návod)
2. V aplikaci MS Authenticator aktivovat funkci bezheslové přihlašování (passwordless), která umožňuje pohodlnější a bezpečnější přístup bez zadávání hesla (návod)
3. Pracovní nebo školní počítače doporučujeme připojit do služby Microsoft Intune, čímž zajistíte správu zařízení a vyšší úroveň zabezpečení. Soukromá zařízení nelze k Intune připojit!
4. Poté na počítači s macOS aktivujte možnost přihlašování pomocí Touch ID.

Používám Linux:

1. Doporučujeme používat mobilní telefon s aplikací MS Authenticator (návod)
2. V aplikaci MS Authenticator aktivovat funkci bezheslové přihlašování (passwordless), která umožňuje pohodlnější a bezpečnější přístup bez zadávání hesla (návod)
3. Nastavit záložní metodu MFA (USB Fido2 klíčenka) (návod)

Pro bezproblémové a bezpečné využívání MFA, doporučujeme registrovat alespoň dva druhé faktory. Tím se předejde komplikacím v případě ztráty nebo nedostupnosti jednoho z nich. Například pokud ztratíte přístup k mobilnímu telefonu, můžete se stále ověřit pomocí biometriky nebo fyzického bezpečnostního tokenu (USB FIDO2 klíčenka).

Je mobilní aplikace, která zvyšuje bezpečnost vašich účtů tím, že slouží k vícefaktorovému ověřování (MFA) – buď schvalováním přihlášení formou notifikace „schválit/zamítnout“ na telefonu, nebo generováním časově omezených kódů, čímž nahrazuje nebo doplňuje hesla a umožňuje i bezheslové přihlašování pomocí otisku prstu, rozpoznávání obličeje nebo PINu.

• Oznámení (Push Notifications): Místo zadávání kódů stačí potvrdit přihlášení klepnutím na „Schválit“ v aplikaci, což je rychlejší a bezpečnější.
• Časové kódy (TOTP): Generuje šestimístné kódy, které se každých 30-60 sekund mění, pro dodatečnou vrstvu zabezpečení, když notifikace nejsou k dispozici.
• Bezheslové přihlášení: Umožňuje přihlášení bez nutnosti zadávat heslo, pouze pomocí biometrie (otisk, obličej) nebo PINu zařízení.
• Passkey: Možnost využívat ověřování pomocí passkey.
• Podpora různých účtů: Lze přidat osobní účty Microsoft (Outlook.com, OneDrive), pracovní a školní účty. 

Co budete potřebovat?

• Mobilní telefon, (iOS 16+, Android 8+)

Instalace a konfigurace aplikace pomocí počítače a telefonu

1. Na telefonu nainstalujte aplikaci Microsoft Authenticator (iOS 16+, Android 8+):
   • Android: Google Play Store
   • iPhone: App Store
2. Na počítači otevřete webovou stránku https://mysignins.microsoft.com/security-info.
   1. Přihlaste se pomocí svého univerzitního účtu ve formátu username@cvut.cz a hesla.
   2. Klikněte na +Přidat metodu, zvolte Microsoft Authenticator a pokračujte dokud se na obrazovce se nezobrazí QR kód, který naskenujte na telefonu.
3. Na telefonu spusťte aplikaci Microsoft Authenticator.
4. A vyberte ikonu + (plus) v pravém horním rohu.
5. Zvolte možnost Pracovní nebo školní účet, skenovat kód QR a pomocí fotoaparátu telefonu naskenujte QR kód zobrazený na obrazovce počítače.
6. Po úspěšném naskenování se účet automaticky přidá do aplikace.
7. Na počítači dokončete průvodce přidáním aplikace, který vás vyzve k ověření.
8. Pokud je vše správně nastaveno, na počítači se zobrazí potvrzení o úspěšném přidání aplikace Microsoft Authenticator.

Starší verze operačního systému Android a iOS nemusí podporovat všechny funkce ani nabízet stejné možnosti nastavení aplikace Microsoft Authenticator jako novější zařízení. V některých případech se mohou lišit i jednotlivé kroky nastavení.

• Podrobný návod
• Návod na Microsoft.com
• Často kladené otázky

Windows Hello for Business představuje bezpečný a pohodlný způsob přihlašování, který umožňuje přihlášení bez zadávání klasického hesla. Místo něj využívá biometrické údaje (např. otisk prstu nebo rozpoznání obličeje) či PIN kód, což zajišťuje rychlé a zároveň bezpečné přihlášení.

Tato metoda je navržena s ohledem na uživatelský komfort i vysokou úroveň zabezpečení. Ověřovací údaje jsou šifrovány a ukládány lokálně přímo v zařízení, nikdy nejsou přenášeny na servery, což výrazně zvyšuje ochranu soukromí. Aktivace Windows Hello for Business je vyžadována pro každé zařízení samostatně.

Co budete potřebovat?

• Windows PRO/EDU 10 nebo 11
• Přihlášení k pracovnímu/školnímu účtu (EntraID)
• Musíte mít aktivovanou jinou MFA metodu (např. Microsoft Authenticator)
• V případě, že nelze použít Microsoft Authenticator, kontaktujte IT Vaší fakulty.
• TPM 2.0 čip (jak zjistím verzi)

Jak nastavit Windows Hello for business:

1. Otevřete Nastavení: Start → Nastavení → Účty → Možnosti přihlášení
2. Vyberte způsob přihlášení:
   • Rozpoznání obličeje
   • Otisk prstu
   • PIN kód
3. Nastavte PIN (povinný krok):  Zadejte a potvrďte svůj PIN. Můžete přidat i písmena a symboly pro zvýšení bezpečnosti.
4. Nastavení biometrických údajů (volitelný krok):
   • Rozpoznání obličeje
   • Otisk prstu

• Podrobný návod
• Návod Microsoft.com
• Často kladené otázky

USB FIDO2 klíčenka je malé fyzické zařízení (např. YubiKey, Token2), které slouží k bezpečnému přihlašování bez hesla nebo jako druhý ověřovací krok.

Místo opisování kódů stačí klíčenku zasunout do USB portu (případně přiložit přes NFC) a potvrdit přihlášení dotykem nebo PINem. Přihlášení je rychlé, jednoduché a velmi bezpečné, protože klíčenka funguje jen s konkrétními weby a účty a nejde ji zneužít na dálku.

K přihlášení bez použití hesla lze použít i USB Fido2 klíčenky:

Co budete potřebovat?

• USB Fido2 klíčenka (např. YubiKey, Token2)
• Počítač s USB portem a podporovaným prohlížečem (nejnovější verze: Edge, Chrome, Firefox, Safari)
• Musíte mít aktivovanou jinou MFA metodu (např. Microsoft Authenticator)
• V případě, že nelze použít Microsoft Authenticator, kontaktujte IT Vaší fakulty.

Registrace klíčenky:

1. Přihlaste se do vašeho profilu na adrese: https://mysignins.microsoft.com/security-info
2. Klikněte na +Přidat metodu, zvolte Klíč zabezpečení a následně USB nebo NFC.
3. Vložte USB Fido2 klíčenku do USB portu a postupujte dle zobrazených pokynů.
4. Nastavte dotykové ověření nebo PIN a pojmenujte svou USB Fido2 klíčenku.
5. Po úspěšné registraci se klíčenka zobrazí v seznamu metod přihlášení.

Přihlášení pomocí USB Fido2 klíčenky:

1. Na přihlašovací obrazovce zvolte Další možnosti přihlášení a vyberte Bezpečnostní klíč.
2. Vložte USB Fido2 klíčenku do USB portu a potvrďte ověření.

• Podrobný návod
• Návod na Microsoft.com
• Často kladené otázky

Tato metoda ověřování není doporučována z těchto důvodů. (podrobnosti) 

Aplikace 3. stran, která při přihlašování zobrazuje jednorázové číselné kódy, měnící se každých 30 sekund. (například Google authenticator)

Co budete potřebovat?

• Mobilní telefon nebo počítač s TOTP aplikací (např. Google Authenticator, KeePassXC, Authy, FreeOTP)

Registrace TOTP:

1. Přihlaste se do svého profilu: https://mysignins.microsoft.com/security-info
2. Klikněte na + Přidat metodu / Add method
3. Zvolte Aplikace Microsoft Authenticator (to je povinný výchozí krok, který systém vyžaduje)
4. Zvolit jinou TOTP aplikaci
5. Po výběru Microsoft Authenticator se vám zobrazí možnost „Použít jinou aplikaci“ / Use a different authenticator app
6. Vyberte tuto možnost
7. Zobrazí se QR‑kód nebo tajný klíč (secret / seed)

Nastavení aplikace třetí strany

1. Otevřete vybranou TOTP aplikaci ve svém telefonu
2. Přidejte nový účet:
   • Naskenujte QR‑kód, nebo
   • Ručně zadejte tajný klíč
3. Aplikace začne generovat časově vázané kódy (OTP), obvykle každých 30 sekund

Dokončení registrace

1. Zadejte do webového formuláře aktuální kód z aplikace pro ověření, že vše funguje
2. Po potvrzení se metoda zobrazí ve vašem seznamu metod přihlášení
3.  

• Často kladené otázky

Pokud jste si pořídili nový telefon a chcete na něm používat Microsoft Authenticator pro přihlašování ke svému pracovnímu nebo školnímu účtu, postupujte podle kroků nastavení Microsoft Authenticator, jen navíc bude nutné ověřit aplikaci na novém telefonu pomocí aplikace na starém telefonu.

Při výměně zařízení starý telefon nemažte ani neresetujte do továrního nastavení, dokud nebude MFA úspěšně nastaveno na novém telefonu!

Při použití funkce přenosu dat mezi telefony se konfigurace MFA nepřenese! MFA je nutné na novém telefonu nastavit znovu ručně!

Co dělat, když nemám starý telefon?

• Pokud již starý telefon nemáte, přihlaste se pomocí dříve nastavené záložní metody na stránce https://mysignins.microsoft.com/security-info.
• Nemáte-li žádnou záložní metodu k dispozici, obraťte se na IT podporu, která vám pomůže obnovit přístup.