Shows the list of existing keys for multifactor authentication (for logging into the application). New keys can be added using the + ADD button above the list. Existing keys in the list can be renamed or deleted.
If there is no key present in the list, it means multifactor authentication is not being used. If there is at least one key present in the list, it will be requested as a second factor during login. Without it the login will not be possible. Therefore it is strongly recommended for at least two keys to be always present, so in case of losing one of them, the login will still be possible using the other one.
If all of the keys in the list are lost or inaccessible, login will not be possible. The only option will be to contact the administrator and request replacement or deletion of the keys for multifactor authentication.
The following two key types are supported:
TOTP
Keys are based on a shared secret, which is used to generate Time-based One Time Passwords needed for the login.
This type of keys is typically supported by mobile applications like: Google Authenticator, Microsoft Authenticator, Authy, Duo Mobile, etc.
After creating a new key of this type, the secret key, which needs to be entered into one of the above mentioned apps, is displayed this one time only. Usually it can be entered into the app by scanning the displayed QR code.
When using a key of this type, it is necessary to enter the current one time code, shown by the authentication application, when prompted during the login.
FIDO2
Jedná se o nový standard FIDO aliance, více např. ZDE, jinak také WebAuthn. Podporován je již všemi moderními prohlížeči a vyžaduje buď vlastnictví hardwarového klíče, např. typu YubiKey 5, nebo použití Windows Hello. Je založen na asymetrické kryptografii s použitím soukromého a veřejného klíče a zejména v případě použití HW tokenu poskytuje vysokou úroveň zabezpečení.
Při přidávání tohoto typu klíče se typicky na žádost prohlížeče zobrazí dialog operačního systému, vyzývající k použití zvoleného klíče, čímž dojde k jeho identifikaci a přidání do aplikace. Pokud je v počítači k dispozici více klíčů, např. jak Windows Hello, tak YubiKey, je třeba dbát zvýšené pozornosti, který z těchto klíčů chceme použít. Vyskočí-li dialog operačního systému dotazující se klíč, který použít nechceme, je třeba ho stornovat a měl by se zobrazit další dialog na další v systému přítomný klíč.
Použití klíče může být volitelně chráněno kódem PIN a v takovém případě je nutné tento PIN na dotaz systému zadat, jinak nebude možné klíč použít.
0 Comments