Výpočetní centrumPro zabezpečení Vašeho přihlášení ke službám Office 365 je doporučené nastavit si vícefaktorové ověřování (MFA/2FA).
Přihlášení ke službám mimo síť školy poté kromě klasického uživatelského jména a hesla vyžaduje potvrzení přihlášení v ověřovací aplikaci na mobilním telefonu či zadání potvrzovacího kódu podobně jako např. při přístupu do elektronického bankovnictví.
Možné MFA metody
O365 podporuje pro MFA přihlášení následující metody zabezpečení:
- potvrzení přihlášení v ověřovací aplikaci (Microsoft Authenticator)
- časově proměnlivý ověřovací kód generovaný aplikací
- zaslání ověřovacího kódu v SMS zprávě či hovoru
Popsané způsoby jsou seřazeny od nejbezpečnějšího k nejméně bezpečnému.
Dále upozorňujeme, že existují signály, že Microsoft hodlá v budoucnu utlumovat podporu pro metody založené na telefonním čísle, tudíž doporučujeme toto používat spíše jako záložní možnost.
Jak si nastavit MFA ověřování pro svůj účet
Pokud si chcete nastavit či změnit nastavení vícefaktorového přihlašování, otevřete stránku s nastavením Vašeho Office 365 účtu - https://myaccount.microsoft.com/ a dále vyberte volbu "Bezpečnostní údaje".
Poté vyberte volbu "Přidat metodu přihlašování" a postupujte podle zobrazených instrukcí.
Volba "Ověřovací aplikace" slouží k nastavení ověření pomocí aplikace Microsoft Autheticator(doporučeno) či jiných aplikací generujících proměnlivý časový kód - Google Authenticator a jiné.
Volba "Telefon" slouží k nastavení ověřování pomocí sms zprávy.
Já ale nemám telefon!
Jak jste již asi z předchozího textu pochopili, většina metod vícefaktorového ověřování je založena na používání aplikací v chytrém telefonu či telefonního čísla.
Pokud tímto nedisponujete nebo je nechcete uvádět, je zde alternativa použít program v počítači, který umí emulovat TOTP token pro generování časově proměnlivého kódu.
Toto je sice považováno za méně bezpečné neb jak heslo, tak druhý faktor se vyskytují na stejném zařízení, ale je to možné.
Aplikace, která toto podporuje, je např. KeepassXC.
Pro jejich nastavení budete potřebovat informace, které se dozvíte, pokud zvolíte volbu "Ověřovací aplikace", dále "Chci použít jinou ověřovací aplikaci", "Další" a "Nedaří se obrázek naskenovat?".
Užitečné tipy pro používání MFA
K účtu je možné přidat více ověřovacích metod či zařízení. Můžete si tak např. přidat zálohu na druhý telefon či telefonní číslo, pokud byste svůj hlavní ztratili.
Pokud máte nastaveno více ověřovacích metod, doporučujeme zkontrolovat, která je nastavena jako hlavní - provádí se na stejné stránce jako přidáváte MFA - "Sign-in method when most advisable is unavailable".
Pokud máte nastavené MFA a měníte své zařízení, je nutné prvně nastavit(přidat) MFA na nové zařízení a až pak odebrat to staré. Jinak se s největší pravděpodobností dostanete do situace, že se nebudete moci přihlásit.
V případě, že jste ztratili své MFA zařízení a nemáte žádnou možnost příhlášení, je nutné kontaktovat Technickou podporu Výpočetního centra - helpdesk@vscht.cz.
Pokud máte nastavené MFA pouze na telefonní číslo a chystáte se do ciziny doporučujeme zkontrolovat, že toto telefonní číslo podporuje v dané destinaci příjem zpráv v roamingu. Nebo si nastavte MFA přes aplikaci, ta tento problém nemá.
Malé bezpečnostní okénko na závěr
Doporučujeme pravidelnou kontrolu seznamu nastavených metod a odstranění těch, které již nepoužíváte.
Pokud byste se dostali do situace, že Vám začnou chodit výzvy či kódy k vícefaktorovému přihlášení, které neumíte spojit se žádnou svou aktivitou(přihlášení ke službám atd.) doporučujeme tuto skutečnost neprodleně oznámit Výpočetnímu centru pro prověření možného bezpečnostního incidentu.
I když MFA slouží ke zvýšení zabezpečení přihlášení, neznamená to, že je možné rezignovat na kontrolu, kde své přihlašovací údaje zadávám. MFA sice útoky týkající se krádeže identity ztěžuje, ale ne uplně eliminuje.