Informační systém Masarykovy univerzity si je vědom, že se zaváděním dvoufaktorové autentizace se zvýrazňuje uživatelská nepříjemnost těch, kteří mají dvoufaktorovou autentizaci zapnutou současně pro IS i pro INET, spojená s nezbytností mít zvlášť dva různé druhé faktory.
Protože IS MU nepředpokládá, že by byla na MU vůle začlenit systém Jednotného přihlášení Ústavu výpočetní techniky pod Informační systém MU, navrhuje systém IS MU kompromisní symetrické řešení přihlášení.
Níže popisujeme důvody, proč si myslíme, že toto řešení bude pro uživatele výhodné, a proč je to pro IS MU jediné možné řešení.
Klíčové důvody navrženého řešení
IS MU tento symetrický koncept navrhuje a současně obhajuje důvod pro zachování stávajícího přihlašování do IS MU, tzv. systému islogin. Základní důvod pro zachování stávajícího způsobu přihlašování do IS MU je bezpečnost IS MU.
Okamžitá detekce zneužitých přihlašovacích údajů (Phishingové kampaně)
IS MU je atraktivním systémem pro útočníky, kteří se typicky chtějí dostat k možnosti rozesílat e-maily z co největšího počtu e-mailových adres. Proto je IS MU často cílem tzv. phishingových kampaní, ve kterých se útočníci snaží podvržením různých přihlašovacích formulářů vylákat z uživatelů IS MU jejich přihlašovací údaje – login a heslo. Následně si útočníci získané údaje pokusy o přihlášení v IS MU ověřují.
Díky mechanismům, které má IS MU zapracované v systému islogin a ve spolupráci s kontrolními body ve vybraných aplikacích IS MU, se nám daří útočníky relativně brzy odhalit. Od dob covidu, kdy se masivní útoky proti IS MU rozvinuly, jsme takto odhalili více než 1 300 ukradených identit. Téměř všechny tyto případy byly odhaleny dříve, než mohl útočník heslo zneužít. Všem postiženým bylo heslo obratem změněno, s řadou z nich byla situace telefonicky projednána.
Rychlá a účinná reakce na DDos útoky
Druhý typ útoků, které jsou pro provoz IS MU ničivější, jsou DDoS útoky. Poslední sérii významných DDoS útoků z října 2025 z desítek milionů IP adres celého světa zvládla infrastruktura islogin a IS MU sama a s minimálním dopadem na uživatele. Uživatelé pouze hlásili dlouhou dobu odezvy během první hodiny prvního útoku. Další útoky již proběhly bez dopadu na uživatele.
Pro detekci útoků a následné jejich odrážení pracuje IS MU s analýzou provozu přihlašovacího systému islogin. Sledují se použitá přihlašovací jména a hesla jak úspěšných, tak hlavně neúspěšných pokusů o přihlášení. Otisky hesel se srovnávají s bází otisků kompromitovaných hesel. Pro určení charakteristiky útoku se rovněž analyzují jednotlivé pakety, parametry navázání TLS spojení, MTU, rozestupy paketů a další údaje. Relevantní pro IS MU je mít jak mechanismus přihlašování, tak vlastní IS za stejným a vlastním firewallem, aby bylo možné neprodleně reagovat na případný útok.
IS MU z těchto důvodů potřebuje zachovat provozování vlastního systému islogin. V IS MU jsme však připraveni islogin doplnit tak, aby akceptoval navržené kompromisní řešení symetrického přihlášení, protože islogin je nástroj vyvinutý v IS MU a máme jej plně pod kontrolou.
IS MU respektuje fakt, že i v budoucnosti budou uživatelé přihlašující se jak s dvoufaktorovou autentizací, tak i bez ní. To plyne z obrovské šířky IS MU jak v aplikacích, tak v uživatelích. Proto IS MU na rozdíl od jiných systémů začíná na úrovni jednotlivých aplikací rozlišovat, zda je nezbytné, aby byl uživatel přihlášen dvoufaktorovým ověřením, nebo není. Aplikace s významným dopadem, např. možnost měnit osobám hromadně hesla, už dvoufaktorové ověření vyžadují.
Další argumenty pro podporu předloženého návrhu
Odložené ověření druhým faktorem
Po zavedení povinnosti uživatelů s vysokými právy mít dvoufaktorovou autentizaci jsme obdrželi několik požadavků od funkcionářů univerzity, že se nechtějí do ISu dvoufaktorově přihlašovat např. při veřejné projekci obsahu obrazovky během výuky v posluchárně. IS MU vyšel těmto uživatelům vstříc a umožňuje jim odloženou dvoufaktorovou autentizaci (aktuálně má zapnutou odloženou autentizaci druhým faktorem 85 uživatelů z těch, kteří musí mít k plnohodnotné práci zapnutý druhý faktor). Uživatel, pokud je přihlášen jen jedním faktorem, bude k ověření druhého faktoru vyzván, až když použije aplikaci nebo funkci, která dvoufaktorové ověření vyžaduje. Jedná se o unikátní a žádanou vlastnost IS MU.
Opakované ověření u kritických operací
IS MU rovněž podporuje specifické opakované ověření již dříve autentizované osoby při provádění kritické operace, např. při změně čísla bankovního účtu pro výplatu stipendia. O tuto důležitou bezpečnostní vlastnost bychom vyčleněním autentizace do externího systému přišli.
Rozmanitost zařízení (sdílená, zapůjčená)
IS MU musí brát ohled na fakt, že jeho uživatelé pro přístup k ISu používají různá zařízení s různými operačními systémy. A to včetně zařízení zapůjčených či sdílených. Všem těmto uživatelům je třeba zajistit přístup k IS MU a to často i s využitím dvoufaktorové autentizace.
Bezpečnost a minimalzace rizik na sdílených zařízeních (např. katederní PC, knihovny, …)
IS MU zahrnuje spisovou službu, kompletní evidenci studentů a studia na MU a další pro MU kriticky důležité funkčnosti. Musí splňovat požadavky vyhlášek 409/2025 Sb. a 410/2025 Sb. o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších nebo nižších povinností. Podle předchozí verze vyhlášky byl významným informačním systémem (tzv. VIS, jednalo se o legislativní kategorii). Není možné takový systém napojit na mechanismus, který umožní uživateli se do ISu přihlásit „jen mimochodem“. Tzn. nelze akceptovat široce pojatý přihlašovací mechanismus typu Single Sign-on, který identitu uživatele ověří, když primárně přistupuje např. do externí knihovny, a současně bude přihlášen i do ISu. Uživatel např. na veřejném počítači se přihlašuje do externí knihovny, po nalezení požadované knihy v katalogu odchází a neuvědomí si, že na tomtéž počítači je přihlášen i do ISu. Přihlášená relace do ISu by na veřejném počítači zůstala nadále otevřená a k dispozici osobě, která by přišla později. Je důležité zachovat míru zabezpečení IS MU, bezpečnost je zde důležitější než pohodlí přihlašování do vedlejších systémů (např. knihoven, menzy). Uživatel nesmí být „jen mimochodem“ přihlášen do VIS, pokud provedl autentizaci do libovolného jiného systému.
IS MU souhlasí s tím, že když se uživatel vědomě (primárně) přihlásil do IS MU, bude současně přihlášen i do dalších systémů.
Návrh respektuje pohodlí uživatelů
Na MU jsou dva informační systémy, které spadají do legislativní kategorie Významných informačních systémů IS a INET. Systém IS má vlastní mechanismus autentizace uživatelů, vlastní vývoj a vlastní uživatelskou podporu. Systém INET má podobně na ÚVT vlastní mechanismus autentizace uživatelů, vlastní vývoj a vlastní uživatelskou podporu. Většinu operací IS MU provádí jiná skupina uživatelů než skupina uživatelů provádějící většinu operací INETu. Provozně je v pořádku, že i uživatelská podpora je pro tyto skupiny uživatelů rozdělená. To proto, aby se zajistilo respektování potřeb a pohodlí zvlášť uživatelům používajícím převážně IS, a zvlášť uživatelům používajícím převážně INET.
Spolehlivost a podpora u ostrého testování u PC
Je zásadní zajistit snadnou konfigurovatelnost počítačů v počítačových učebnách pro skládání studentských testů pod dohledem v odpovědnících ISu. Brání se studentům během zkoušky v přístupu na internet. Na počítačích v učebnách se musí explicitně povolovat každá adresa, na kterou musí být zachován přístup. Vnímáme obavu e-techniků při zajišťování zkoušek u počítačů, že by během hromadných akcí v počítačových učebnách nemohli pokrýt vlastními silami řešení většiny problémů. Typicky e-technik musí mít aktuální informace, co je třeba na počítači nastavit, aby se zkoušený z počítače „dostal“ jen do ISu a nikam jinam. Pro zachování spolehlivosti a jednoduchosti je zásadní, aby IS měl pod vlastní kontrolou autentizační mechanismus.
Jiná doména jako základní obrana proti phishingu (Lack of Origin Isolation for User-Generated Content)
IS z bezpečnostních důvodů vyžaduje operace s heslem, vč. přihlášení provádět na jiné doméně druhého řádu než muni.cz, nyní islogin.cz. Na rozdíl od systému INET, na rozdíl od běžných významných informačních systémů nebo např. systémů elektronických bankovnictví, IS MU musí podporovat také vkládání různého uživatelského obsahu, který je zpřístupněn pomocí webového prohlížeče (např. studijní materiály učitelů, domácí úlohy studentů, javascriptové kódy odevzdávané studenty). Běžné prohlížeče pak nekontrolují zabezpečení takového obsahu v rámci domény muni.cz tak pečlivě, a je proto snadněji možné vložit počítačový kód, který může v krajním případě odchytit zadávané heslo. Proto je nutné mít uživatelský obsah a přihlašovací formulář pro zadání hesla na jiné internetové doméně druhého řádu (obsah v doméně is.muni.cz neovlivní formulář v doméně islogin.cz). Podobně funguje např. doména google.com a googleusercontent.com. Webové servery v doméně muni.cz mohou nastavovat cookies pro doménu muni.cz, a takové se pak uplatní i na is.muni.cz. Tomu brání jiná doména druhého řádu, islogin.cz. Rovněž webové prohlížeče ukládají hesla a nabízejí uložená hesla pro domény druhé úrovně. V případě umístění přihlašovacího formuláře v doméně muni.cz (např. na serveru is.muni.cz) by hrozilo, že prohlížeč jej předvyplní a uživatel odešle uložené heslo omylem do jiného serveru než jen is.muni.cz (např. útočníkovi).
Přes 20 tisíc uživatelů už má mobilní aplikaci pro ověření druhým faktorem pro IS MU – vlastní řešení
IS MU v posledních letech naprogramoval a má v provozu aplikaci pro mobilní telefony dostupnou v Google Play pro Android a v App Store pro iOS. Jedna z funkcí je umožňovat dvoufaktorovou autentizaci do IS MU. Mobilní aplikace je naprogramována tak, aby spolupracovala se systémem islogin a je preferovanou formou dvoufaktorové autentizace v IS MU. Pro autentizaci druhým faktorem mobilní aplikaci ISu využívá aktuálně 1 091 uživatelů a nainstalovanou a spárovanou ji má přes 20 800 osob. IS MU pro autentizaci druhým faktorem podporuje i další metody: TOTP a Identitu občana.
Máme uživatele, kteří nejsou v systémech ÚVT
IS MU si vytváří, spravuje a autentizuje skupiny uživatelů, které nemusí být pokryté systémy ÚVT (např. uživatelé e-kurzů, MjUNI, komerčních aktivit OC, aktivit vůči studentům středních škol). Tento princip je nutné zachovat.
Návazné funkce – Identita občana, MjUNI, MOOC kurzy (ekurzy)
Speciální funkcí systému islogin je propojení ověření osoby identitou občana v procesu distančního zápisu přijatého studenta na MU. Speciální jsou procesy pro juniorskou univerzitu MjUNI a přístupy rodičů. IS MU pro účely e-kurzů podporuje autentizaci přes Facebook nebo Google účet. IS MU potřebuje zachovat možnost přihlašovat tzv. neosobní účty pro strojový přístup (robotů).
Shrnutí
Navrhované řešení symetrického přihlášení poskytuje několik podstatných výhod:
- Přihlašovací infrastruktura v navrhovaném schématu je odolnější vůči destruktivnímu efektu DDoS útoku.
- Zajištěn základní provoz celé univerzity i při napadení jednoho z přihlašovacích systémů.
- V případě výpadku systémů ÚVT zůstává provoz IS zabezpečen a v případě výpadku ISu zůstává provoz systémů ÚVT zabezpečen.
- Podobně v případě plánované údržby.
- Navržené řešení zajišťuje, že se mohou systémy spravované ÚVT i ISem nadále nezávisle rozvíjet, aniž se vzájemně brzdily v inovacích.
- Ponechá se IS MU možnost zůstat nadále díky inovacím být nejlepším IS.
IS MU nemá žádné vyčleněné oddělení věnující se identitám, ani vyčleněné zaměstnance pro implementaci a provoz autentizačního systému. Pracovníci IS MU řeší úkoly napříč celým ISem. Proto argumentovat, že vypnutím autentizace na straně IS MU se ušetří finanční prostředky, je chybné. IS MU využívá přidělené finanční prostředky maximálně efektivně a hospodárně. Naopak je pravděpodobné, že dojde ke škodám v okamžiku, kdy IS MU nebude moci vykonávat kontrolu nad přístupy k IS MU.
Neztotožňuji se s vnucovaným protiargumentem o uživatelské nepřehlednosti ponechání autentizace jak na straně IS MU, tak na straně ÚVT.
Systémy ÚVT a systém IS MU mají vlastní uživatelskou podporu a ta obslouží uživatele kompletně. Ke zvýšené zátěži uživatelské podpory reálně nedochází, neboť dotazy na způsob přihlášení tvoří za poslední rok jen zlomek procenta všech dotazů na uživatelskou podporu IS MU.
IS MU nabízí, že ÚVT poskytne programátorské kapacity pro dokončení naprogramování komponenty Jednotného přihlášení ÚVT, která by spolupracovala se systémem islogin v souladu s tímto návrhem.