IST > Podpora > Uživatelské návody > Často kladené otázky MFA

Často kladené otázky MFA

Obecné

Co dělat, když ztratím telefon nebo klíčenku?
Pokud nemáte přístup k telefonu, můžete využít jinou registrovanou metodu (např. bezpečnostní klíč nebo Windows Hello). Pokud jste ztratili všechny metody ověření, kontaktujte IT podporu vaší fakulty.

Co dělat, když už nemám starý telefon?

  • Pokud již starý telefon nemáte, přihlaste se pomocí dříve nastavené záložní metody na stránce https://aka.ms/MySecurityInfo.
  • Nemáte-li žádnou záložní metodu k dispozici, obraťte se na IT podporu vaší fakulty, která vám pomůže obnovit přístup.

Co dělat, když se nemohu přihlásit?
Pokud se nemůžete přihlásit, vyzkoušejte záložní metodu ověření, jako je Windows Hello, Microsoft Authenticator nebo jiná metoda. Pokud žádnou další metodu nemáte, kontaktujte IT podporu vaší fakulty.

Mohu používat MFA na více zařízeních?
Ano, například aplikaci Microsoft Authenticator můžete nainstalovat na více telefonech. Každé zařízení však musíte ručně přidat do nastavení zabezpečení účtu.

Co mám dělat pokud mám účet registrovaný v jiném tenatnu a nemohu se přihlásit do ČVUT?
přihlaste v anonymním/privátním okně prohlížeče. Návody, jak anonymní okno otevřít, naleznete níže:“

Google Chrome

  • Klikněte na ⋮ (tři tečky vpravo nahoře)
  • Zvolte Nové anonymní okno

 Mozilla Firefox

  • Klikněte na ☰ (tři čárky vpravo nahoře)
  • Vyberte Nové anonymní okno

Microsoft Edge

  • Klikněte na ⋯ (tři tečky vpravo nahoře)
  • Zvolte Nové InPrivate okno

 Safari (Mac)

  • V horní liště klikněte na File
  • Vyberte New Private Window

 

Funguje MFA i bez připojení k internetu?
Ano, pokud používáte aplikaci Microsoft Authenticator, můžete využívat offline generované kódy (TOTP).

Jak často se budu muset na stejném zařízení ověřovat pomocí MFA?
Každých 7 dní

Nedaří se mi registrovat požadovaná metoda ověřování
Pokud se zobrazí chyba „Neočekávaná chyba při zpracování požadavku…“, doporučujeme provést registraci z anonymního (soukromého) okna prohlížeče. Pokud problém přetrvává, kontaktujte prosím IT podporu vaší fakulty. Pro urychlení řešení uveďte jaký byl váš postup, název a verzi použitého webového prohlížeče, název a verzi operačního systému.

Musím svůj soukromý telefon registrovat do univerzitního systému ČVUT?
Registrace soukromého telefonu do univerzitního systému ČVUT není povinná, ale doporučuje se, protože tím snížíte počet autentizací MFA v rámci produktů Office 365.

Jaké jsou výhody registrace pracovního nebo školního účtu na Windows?
Registrace pracovního nebo školního účtu do Windows vám umožní přístup k aplikacím a službám souvisejícím s vaším účtem. Umožňuje také synchronizaci dat mezi různými zařízeními a zajišťuje vyšší úroveň bezpečnosti díky vícefaktorovému ověřování (MFA).

Pokud mi vyprší na mobilním zařízení ověření MFA, budou mi doručovány emaily a další oznámení?
Ano, pokud používáte doporučené klienty jako MS Outlook pro poštu nebo MS Teams pro komunikaci, tak Vám budou veškeré oznámení stále doručována a nepřijdete ani o hovory v MS Teams. Pro čtení zpráv však bude nutné provést nové ověření.

Nemám telefon, nebo mám telefon na který nelze nainstalovat aplikaci MS Authenticator, nebo jinou TOTP aplikaci, co mám dělat?
V takovém případě můžete využít ověření pomocí Windows Hello. Alternativně lze použít FIDO2 USB klíčenku – v tomto případě kontaktujte svého lokálního správce IT. Pokud tyto způsoby nelze použít, můžete využít TOTP aplikaci na jiném zařízení (např. počítači) nebo doplněk do prohlížeče s podporou TOTP.

Jak postupovat v případě ztráty druhého faktoru?
Pokud ztratíte jeden z metod ověření (například telefon, bezpečnostní klíč nebo jinou metodu MFA), postupujte podle následujících kroků:

  • Použijte záložní metodu ověření: Pokud máte nastavenou záložní metodu ověření, jako je například jiný telefon s Microsoft Authenticator, bezpečnostní klíč, nebo Windows Hello, použijte ji k přihlášení do svého účtu.
  • Odeberte ztracenou metodu: Jakmile se přihlásíte pomocí záložní metody, doporučujeme okamžitě odebrat ztracený faktor ověření z vašeho účtu, aby se zajistilo, že nebude možné použít neautorizovanou metodu k přístupu k vašemu účtu.
  • Přidejte novou metodu ověření: Po odstranění ztracené metody přidejte novou metodu ověření, aby byl váš účet stále chráněn vícefaktorovým ověřováním (MFA). Můžete přidat například nový telefon, bezpečnostní klíč nebo jinou metodu, kterou máte k dispozici.
  • Pokud nemáte žádnou záložní metodu ověření a nemůžete se přihlásit, obraťte se na IT podporu vaší fakulty, která vám pomůže obnovit přístup k účtu a provést potřebné změny v nastavení bezpečnostních metod.

Změní se po zavedení MFA ověřování schvalování dovolených přes Obelisk v systému AEDO (jednorázový kód do e-mailu + PIN)?
Ano, jednorázový ověřovací kód, který jste dosud obdrželi e-mailem a který sloužil jako náhrada druhého faktoru ověření, bude ze systému odstraněn. Tento způsob bude nahrazen standardním dvoufaktorovým přihlášením, které zvýší bezpečnost vašich přístupových údajů. Po úspěšném ověření identity pomocí druhého faktoru bude mezi jednotlivými aplikacemi fungovat jednotné přihlášení (SSO – Single Sign-On). To znamená, že při přechodu mezi aplikacemi již nebudete muset znovu zadávat přihlašovací údaje ani kód z e-mailu – postačí pouze zadání PINu.

Jaké jsou možnosti dvoufázového ověření (MFA), pokud nemám chytrý telefon?

I bez chytrého telefonu můžete využít několik bezpečných metod vícefaktorového ověření (MFA):

1. Windows Hello

  • Funguje na počítačích s Windows.
  • Umožňuje ověření pomocí PIN kódu, otisku prstu nebo rozpoznání obličeje.
  • Biometrické ověření není povinné – lze použít pouze PIN.
  • Funguje i offline, ověřování probíhá lokálně na zařízení.

2. Fyzický bezpečnostní klíč (např. USB Fido2 klíčenka)

  • USB zařízení, které slouží jako ověřovací prostředek.
  • Nevyžaduje instalaci aplikací ani připojení k internetu.
  • Velmi bezpečné a snadno přenosné řešení.

3. TOTP kódy přes desktopové aplikace nebo rozšíření prohlížeče

  • Existují doplňky pro prohlížeče nebo desktopové aplikace, které umožňují generování těchto kódů (není doporučováno)

 

MS Authenticator

Jaký je minimální požadavek aplikace MS Authenticator na verzi operačního systému mobilního zařízení?
iOs 16 a vyšší, Android 8 a vyšší

Mám chytrý mobilní telefon, na kterém nelze nainstalovat MS Authenticator, jaké mám další možnosti?
Jako metodu ověřování MFA lze využít i TOTP třetích stran, jako je Google Authenticator. Nebo USB Fido2 klíčenku, kterou lze využít i pro ověření v telefonu. Lze také využít možnost NFC pokud to obě zařízení podporují.

MS Authenticator odesílá ověřovací kód, ale na telefonu se nezobrazuje.
Pokud aplikace Microsoft Authenticator odesílá ověřovací kód, ale na vašem telefonu se nezobrazuje, může to být způsobeno špatným připojením k internetu nebo problémy s nastavením notifikací.

  • Proveďte znovunačtení oznámení tak, že provedete pohyb prstem dolu v aplikaci
  • Zkontrolujte v nastavení systému Android, že aplikace MS Authenticator nemá zapnutou optimalizaci baterie.
  • Zkuste vyčkat zhruba 5 minut až vyprší platnost předchozího kódu.
  • Restartujte telefon
  • Zvolit přihlášení pomocí hesla a následně provést ověření TOTP v MS Authenticator
  • Kontaktujte IT podporu vaší fakulty

MS Authenticator odmítá odeslat nový ověřovací kód, s tím, že ho již odeslal a další odeslat nelze.
Pokud aplikace Microsoft Authenticator odmítá odeslat nový ověřovací kód, protože již jeden odeslala, je třeba počkat, až vyprší platnost předchozího kódu, nebo zkontrolovat nastavení aplikace.

Nedaří se mi nainstalovat MS Authenticator na můj telefon.
Pokud máte problémy s instalací aplikace Microsoft Authenticator, ujistěte se, že máte dostatek úložného prostoru a váš telefon splňuje systémové požadavky aplikace. MS Authenticator rovněž vyžaduje, aby byl na mobilním zařízení zapnutý zámek obrazovky.

Mám nový telefon, přidal jsem svůj školní účet, ale stále vidím starý účet, který nelze odstranit (Android).
Pokud máte nový telefon a přidali jste svůj školní účet, ale stále vidíte starý účet, který nelze odstranit, může být problém v nastavení účtů na vašem telefonu. Zkuste odstranit účet v nastavení systému Android nebo kontaktujte IT podporu vaší fakulty.

Po instalaci MS Authenticator na nový telefon, chodí oznámení, stále pouze na starý telefon.
To je způsobeno tím, že starém telefonu máte aktivovanou službu bezheslové přihlašování (Passwordless) a na novém telefonu bezheslové přihlašování aktivovaný není. Aktivujte si službu Passwordless na novém telefonu, nebo deaktivujte na starém.

 

USB Fido2 klíčenka

Co dělat, když ztratím USB Fido2 klíčenku?
Použijte záložní metodu ověření, jako je Windows Hello, Microsoft Authenticator nebo jinou metodu. Pokud žádnou jinou metodu nemáte, kontaktujte podporu IT vaší fakulty.

Používám OS Linux a při nastavování MFA se mi nedaří nastavit PIN pro novou USB Fido2 klíčenku.
V tomto případě se chová OS Linux nestandardně a neumožní uživateli nastavit prvotní PIN pro klíčenku. PIN lze nastavit pomocí aplikace od výrobce dané klíčenky, kterou si uživatel musí nainstalovat, nebo PIN nastavit v jiném počítači, kde není OS Linux. V operačních systémech Windows a MacOS, lze nastavit PIN bez problémů.

Používám klienta Thunderbird, ale v nabídce chybí možnost ověřit se pomocí USB Fido2 klíčenky.
E-mailový klient Thunderbird bohužel momentálně nepodporuje přihlášení pomocí bezpečnostních klíčů FIDO2 (např. YubiKey nebo podobná zařízení). To znamená, že pokud máte nastavené vícefaktorové ověřování (MFA), není možné v Thunderbirdu využít USB klíč pro ověření přístupu k účtu. Důvodem je to, že Mozilla, která Thunderbird vyvíjí, zavádí moderní bezpečnostní standardy, jako je FIDO2, pomaleji než jiné aplikace. Ačkoli je tato technologie široce podporovaná v prohlížečích (např. Firefox, Chrome), v Thunderbirdu zatím stéle chybí. Použijte jinou metodu ověření, jako je MS Autehticator, nebo jiné TOTP

 

Windows Hello

Funguje Windows Hello i bez internetu?
Ano, běžné odemčení zařízení pomocí Windows Hello funguje i offline – tedy bez internetu. 

Jsou moje biometrická data (např. otisk prstu nebo obličej) při použití Windows Hello v bezpečí?
Ano, biometrická data jsou při použití Windows Hello chráněna velmi vysokou úrovní zabezpečení:

  • Nejsou ukládána do cloudu ani neputují přes internet.
  • Jsou uložena lokálně na vašem zařízení v tzv. Trusted Platform Module (TPM) – to je speciální bezpečnostní čip na základní desce.
  • Nejedná se o ukládání fotografií nebo otisků jako obrázků. Místo toho se biometrické údaje převedou do matematického modelu (tzv. biometrické šablony), který nelze zpětně rekonstruovat.
  • Microsoft ani žádná jiná aplikace nemá k těmto datům přístup.

Nedaří se mi ověřit svojí identitu pomocí MFA Windows Hello, co mám dělat?
Pokud se Vám nedaří ověřit identitu přes MFA pomocí Windows Hello, pravděpodobně používáte jen základní (ne-MFA) variantu — pro skutečné vícefaktorové ověření je nutné mít aktivní Windows Hello for Business. Níže naleznete porovnání a požadavky.

Windows Hello (základní)

  • Slouží pouze k pohodlnému odemčení počítače.
  • Místo hesla použijete PIN, otisk prstu nebo rozpoznání obličeje.
  • Je to rychlé a praktické, ale nepovažuje se to za vícefaktorové ověření (MFA).

Požadavky

HW:

  • Počítač s Windows 10/11
  • TPM čip

SW:

  • Windows 10 nebo 11
  • Lokální účet nebo Microsoft účet
  • Není nutná registrace účtu do univerzítního/pracovního prostředí

 

Windows Hello for Business (univerzitní / pracovní)

  • Používá se v univerzitním prostředí.
  • Přihlásíte se stejně jednoduše (PIN/otisk/obličej), ale navíc se ověřuje i zařízení, které používáte.
  • Díky tomu je přihlášení bezpečnější a splňuje požadavky vícefaktorového ověření (MFA).
  • Často pak není nutné zadávat další ověřovací kódy při vstupu do firemních aplikací.

HW:

  • TPM 2.0

SW a prostředí:

  • Počítač s Windows 10/11 Pro/Enterprise/EDU
  • Účet v zařízení je regisrtovaný do univerzitního prostředí

 

TOTP

Proč je důležité mít v zařízení správně nastavené datum a čas při používání TOTP (Time-based One-Time Password)?
Správně nastavené datum a čas jsou klíčové, protože TOTP generuje jednorázové kódy na základě přesného času. Pokud je čas v zařízení nesprávný, vygenerovaný kód selže.

Jak funguje TOTP (Time-based One-Time Password)?
Generuje jednorázové kódy každých 30 sekund v aplikaci jako Microsoft Authenticator, nebo v aplikacích třetích stran.

Co znamená TOTP (Time-based One-Time Password)?
Je to časově omezené jednorázové heslo, které platí obvykle 30 vteřin

Lze použít TOTP jinde nežli na mobilním zařízení?
Ano, lze použít aplikace, nebo doplňky do prohlížečů, které fungují jako TOTP. Měli by být nainstalovány na jiném zařízení.

Proč  ČVUT více nepodporuje TOTP aplikace?
Přestože je TOTP definován a standardizován v RFC6238 (2011) a dlouhá léta byl považován za široce používanou a funkční technologii pro MFA, jeho pozice se postupně oslabuje. Z pohledu dlouhodobého vývoje bezpečnostních standardů je zřejmé, že TOTP bude postupně považován za zastaralý.

Důvody jsou zejména tyto:

  • nižší odolnost proti některým typům útoků (např. malware na uživatelském zařízení, phishingové techniky zaměřené na kódy),
  • uživatelský diskomfort oproti moderním metodám,
  • slabina v podobě nutnosti bezpečně uchovávat sdílený tajný klíč, přičemž nelze vždy garantovat bezpečné nakládání s tímto klíčem v různých mobilních aplikacích či doplňcích prohlížečů.

Je pravda, že TOTP je výrazně bezpečnější než samotné heslo, nicméně jeho účinnost vždy závisí na důvěryhodnosti aplikace, prostředí, v němž běží, a na chování uživatele. Na běžném zařízení, kde se zanedbávají aktualizace, není věnována pozornost bezpečnosti instalovaných aplikací a uživatel sám podceňuje základní zásady bezpečného chování, se může celková úroveň ochrany TOTP výrazně snížit.

Z těchto důvodů proto klademe důraz na to, aby uživatelé ČVUT přecházeli na řešení, která jsou nejen bezpečnější, ale také odolná vůči budoucím hrozbám a současně jednodušší z hlediska uživatelského komfortu. Proto jako preferovaná řešení podporujeme především Microsoft Authenticator a další metody odolné vůči phishingu.



Vlastník stránky: VIC - oddělení základních IT systémů II. (81380) , Poslední změna: 06.02.2026 , Štítky: MFAnávod