Document toolboxDocument toolbox

Klíče pro vícefaktorovou autentizaci

Owned by Pavel Novák
Last updated: Feb 15, 2023
2 min read

Zobrazuje seznam existujících nastavených klíčů pro vícefaktorovou autentizaci (pro přihlášení do aplikace). Tlačítkem + PŘIDAT nad seznamem lze přidávat nové klíče. Existující klíče v seznamu lze přejmenovat, nebo smazat.

Pokud není v seznamu žádný klíč, znamená to, že se vícefaktorová autentizace pro přihlášení nepoužívá. Pokud v seznamu existuje alespoň jeden klíč, bude tento při přihlášení vyžadován jako druhý faktor. Bez něj nebude možné přihlášení dokončit. Je tedy velmi doporučeno mít zadáno nejméně dva klíče, aby i v případě ztráty jednoho z nich bylo možné přihlášení pomocí druhého.

Pokud dojde ke ztrátě všech zadaných klíčů, nebude možné se do účtu přihlásit. Jedinou možností bude kontaktovat administrátora a požádat ho o zrušení ztracených klíčů pro vícefaktorovou autentizaci.

Podporovány jsou následující dva typy klíčů:

TOTP

Jedná se o klíče založené na společném sdíleném tajemství, které je využíváno ke generování časově závislých jednorázových kódů potřebných k přihlášení (Time-based One Time Password).

Tento typ klíčů je typicky podporován mobilními aplikacemi jako jsou: Google Authenticator, Microsoft Authenticator, Authy, Duo Mobile, aj.

Po vytvoření nového klíče tohoto typu je jednorázově zobrazen tajný klíč, který je třeba zadat do podporované aplikace (viz výše). Typicky lze provést naskenováním zobrazeného QR kódu.

Při používání klíče tohoto typu, je třeba při autentizaci vždy zadat aktuální jednorázový kód, zobrazený autentizační aplikací.

FIDO2

Jedná se o nový standard FIDO aliance, více např. ZDE, jinak také WebAuthn. Podporován je již všemi moderními prohlížeči a vyžaduje buď vlastnictví hardwarového klíče, např. typu YubiKey 5, nebo použití Windows Hello. Je založen na asymetrické kryptografii s použitím soukromého a veřejného klíče a zejména v případě použití HW tokenu poskytuje vysokou úroveň zabezpečení.

Při přidávání tohoto typu klíče se typicky na žádost prohlížeče zobrazí dialog operačního systému, vyzývající k použití zvoleného klíče, čímž dojde k jeho identifikaci a přidání do aplikace. Pokud je v počítači k dispozici více klíčů, např. jak Windows Hello, tak YubiKey, je třeba dbát zvýšené pozornosti, který z těchto klíčů chceme použít. Vyskočí-li dialog operačního systému dotazující se klíč, který použít nechceme, je třeba ho stornovat a měl by se zobrazit další dialog na další v systému přítomný klíč.

Použití klíče může být volitelně chráněno kódem PIN a v takovém případě je nutné tento PIN na dotaz systému zadat, jinak nebude možné klíč použít.