Autentizace

Jak nastavit autentizaci

K nastavení autentizace uživatelů se dostanete v Aministraci > Nastavení > Autentizace.

Volbou "Automatické přihlašování" nastavíte dobu udržení přihlášení, tzn. za jak dlouho bude uživatel automaticky ze systému odhlášen (jak dlouho systém udrží přístup do systému).

Zde uživateli umožníte automatickou registraci, a jakým způsobem bude probíhat:

  • aktivace účtu emailem - na registrovaný email bude zaslán aktivační link
  • manuální aktivace účtu - uživatele aktivuje správce manuálně. Registrovaní uživatelé mohou být filtrováni podle stavu - "registrován"
  • automatická aktivace účtu - uživatel je aktivován prvním přihlášením k systému

Samostatně registrovaní uživatelé mohou být automaticky přidáni do vybrané skupiny.

Můžete také umožnit přihlašování a registraci pomocí OpenID.

 

Bezpečnost hesel

Pro posílení bezpečnosti hesel můžete ve volbě "Vyžadované třídy znaků pro hesla" nadefinovat povinné znaky v heslech, jako například použití velkých/malých písmen, čísel nebo speciálních znaků. Nastavená kritéria budou aplikována při vytváření nového uživatele nebo jakmile si existující uživatel bude měnit své heslo. 

Pokud heslo nesplní nastavené požadavky, zobrazí se následující chybová hláška.

Na stejném místě (Menu Další > Administrace > Nastavení > Autentifikace) můžete nastavit i další požadavky na používání silnějších hesel.

Minimální délka hesla - zadejte vyžadovaný počet znaků
Počítadlo unikátních hesel - po kolika změnách hesla může uživatel použít stejné heslo opakovaně
Vyžadovat změnu hesla po - po kolika dnech bude uživatel systémem vyzván ke změně hesla

Je-li zadána poslední z voleb, pak několik dní před expirací hesla systém zobrazí následující hlášku.

Nicméně zobrazení notifikace o expiraci hesla může být v uživatelském profilu vypnuto.

V zájmu ochrany vašich citlivých obchodních dat důrazně doporučujeme uživatelům, aby si své přihlašovací údaje (přihlašovací jméno a heslo) neukládali do svých webových prohlížečů. Pokud se webový prohlížeč zeptá, zda chcete uložit heslo, nedovolte mu to. V opačném případě vystavíte svůj uživatelský účet a všechny z něj přístupné informace vysokému riziku zneužití.

Aplikační řešení ukládání hesel bohužel není možné, nakolik prohlížeče vší sílou obcházejí mechanizmy na prevenci aplikací na ukládání hesel, a nabízejí tuto možnost i přes jeji riziko.

 

Zablokovat uživatele po "x" zadáních chybného hesla

Aktivací tohoto bezpečnostního prvku bude systém automaticky blokovat uživatelský účet po dosažení zvoleného počtu chybných pokusů o přihlášení. Nastavení je dostupné v Administrace > Nastavení > Autentifikace > Počet neúspěšných přihlášení. 

Jak funguje blokování

  • V případě blokace účtu je na přihlašovací stránce uživateli zobrazena nadefinovaná hláška. Doporučujeme v hlášce uvést kontakt na správce aplikace nebo na oprávněný kontakt pro odblokování, aby uživatelé věděli, kam se mohou obrátit pro pomoc. 
  • Také je vhodné povolit zaslání upozornění správcům, odpovědným za správu uživatelských účtů, aby mohli případně sami kontaktovat daného uživatele a zjistit příčinu blokace. 
  • Manuální odblokování - správce aplikace může odblokovat uživ. účet přes jeho profil (pozor, nezaměňovat s formulářem pro editaci uživatele) a kliknutím na "odblokovat". 
  • Blokace versus uzamčení - tato funkce nemá nic společného s funkcí "Uzamčení uživatele", kterou lze využít pro úplné skrytí uživatele (například po odchodu zaměstnance z firmy). Blokovaní uživatelé mají své účty nadále aktivní, jenom se k aplikaci nemohou přihlásit (do odblokování).

 

Dvoufaktorová autentizace

Dvoufaktorová autentizace (2FA), často také nazývaná dvoufázové ověření, je bezpečnostní postup, při kterém uživatel potvrzuje svou identitu zadáním dvou různých faktorů. Vedle 2FA ještě existuje jednofaktorová autentizace (SFA - single-factor autentization) - během té se uživatel prokazuje pouze jedním bezpečnostním faktorem, zpravidla heslem. Nastavení 2FA najdete v Menu Další > Administrace > Nastavení > Autentifikace > Dvoufaktorová autentizace, kde si zvolíte typ autentizace - buď přes SMS (je nutné zadat telefonní číslo) nebo TOTP - pomocí časově omezeného jednorázového hesla (s použitím TOTP aplikace). U SMS je potřeba na stejné stránce nastavit uživatelské pole Telefon a vybrat Poskytovatele.

Pokud je způsob autentizace TOTP/SMS povolen globálně, uživatelé mají ve svém profilu dostupnou volbu pro jeho aktivaci/deaktivaci, takže každý uživatel si pro svůj účet může zvolit vhodný způsob. Žádný uživatel nemá právo aktivovat způsob autentizace přes TOTP/SMS jinému uživateli. Pouze administrátor má právo deaktivovat jej pro ostatní uživatele, ale nemůže jej aktivovat.

Při aktivaci TOTP je potřeba načíst zobrazený QR kód nebo zadat text přímo do TOTP aplikace (např. Google Authenticator, Authy, Duo Mobile...). Zvolená aplikace by měla vygenerovat ověřovací klíč, který zadáte do formuláře v dalším kroku, tím se celý způsob TOTP aktivuje.

 

Okrajové případy

  • Otázka: Nastavil jsem si dvoufaktorovou autentizaci pomocí TOTP. Ve svém účtu jsem povolil mód TOTP a zkusil použít aplikaci Google Authenticator. Ale nefungovalo mi ověření pomocí vygenerovaného kódu z aplikace. Vyzkoušel jsem také aplikaci Microsoft Authenticator, ale měl jsem stále stejný problém.
    Odpověď: Problém byl způsoben na našem serveru, kde nebyl korektně synchronizován čas. Proto na našem serveru byl nastaven jiný čas než na mobilním telefonu (použitém pro verifikaci).
  • Pokud budete pro přihlašování vyžadovat dvoufaktorové ověření pomocí SMS, je potřeba maximální opatrnosti při zadávání SMS poskytovatele (resp. telefonního čísla). Při chybném zadání se nedostanete k zaslané SMS a nebude možné se znovu přihlásit. 

Založte si Easy Project zdarma na 30 dní

Všechny funkce | SSL ochrana | Denní zálohy