Czym jest uwierzytelnianie dwuskładnikowe?
Uwierzytelnianie dwuskładnikowe to rozszerzenie zabezpieczeń konta o dodatkowy element weryfikacji tożsamości. Aby uzyskać dostęp do danych, użytkownik musi przejść przez dwa etapy:
- podać swoje hasło, jak dotychczas,
- użyć dodatkowego narzędzia zwanego autentykatorem, podając specjalny kod jednorazowy.
Autentykator to narzędzie jakie mogli Państwo poznać korzystając z internetowej bankowości lub logowania do usług Googla.
Jednak zmiany w otaczającej nas rzeczywistości (w tym coraz skuteczniejsze ataki wyłudzające hasła) sprawiają, że takie rozwiązanie staje coraz bardziej powszechne, ale również – w przypadku instytucji takich jak nasza – wymagane prawem (dyrektywa NIS2).
Gorąco prosimy o zapoznanie się z opisem zmian, jakie czekają Państwa w najbliższym czasie:
- Nowy system, ujednolicony wygląd, prawie nowy identyfikator
- Zmiana adresu usługi
- Pierwsze logowanie i konfiguracja autentykatora
- Logowanie dwuskładnikowe w codziennej pracy
- Ważne obowiązki związane z autentykatorem
Nowy system, ujednolicony wygląd, prawie nowy identyfikator
Wdrażając uwierzytelnianie dwuskładnikowe postanowiliśmy zmodernizować i ujednolicić uniwersytecki system logowania. Nowa wersja aplikacji, dla Państwa wygody, przyjmuje wygląd spójny z dotychczasowym ekranem logowania do Office 365 – i nie bez powodu:
W nowym systemie, tak samo jak w Office365, jako identyfikator podajemy pełną nazwę konta, uzupełnioną o końcówkę @uksw.edu.pl!
Zdajemy sobie sprawę, że dla Tych z państwa, którzy posiadają skrzynkę mailową, może to być trochę mylące – w indywidualnych przypadkach Państwa identyfikator może różnić się od Państwa adresu e-mail. Jesteśmy świadomi tego problemu i pracujemy nad tym, aby w nieodległej przyszłości ujednolicić to doświadczenie.
Zmiana adresu usługi
To bardzo istotne, aby zawsze pamiętali Państwo, aby sprawdzić, czy strona logowania pojawia się pod właściwym adresem. O ile bowiem zdarza się, że sprawcy ataków podrabiają naszą strony logowania, to bardzo trudno jest im podrobić prawidłowy adres:
Prawidłowym adresem strony jest
Dodatkowo, w okresie przejściowym, pozostaną aktywne starsze ekrany logowania – zawsze warto upewnić się, że co najmniej końcówka domeny jest domeną uniwersytetu, przykładowo:
login.uksw.edu.pl – stary system centralnego logowania
mail.uksw.edu.pl – poczta UKSW
Będziemy stopniowo włączać nowy ekran logowania we wszystkich aplikacjach – stosownie do możliwości, jakie zapewnią ich producenci.
Pierwsze logowanie i konfiguracja autentykatora
Przy pierwszym logowaniu użytkownik zostanie poproszony o skonfigurowanie tzw. autentyfikatora czyli aplikacji generującej kody jednorazowe. System logowania wyświetli Państwu szczegółową instrukcję, jak to zrobić:
Konieczne będzie uprzednie pobranie i zainstalowanie takiej aplikacji na telefonie. Takie proste aplikacje działają w otwartym standardzie i są powszechnie dostępne i udostępniane bezpłatnie m.in. przez duże firmy takie jak Microsoft czy Google, ale również przez twórców otwartego oprogramowania.
Proces konfiguracji autentykatora jest prosty – wystarczy otworzyć aplikację, dodać nowe konto w autentykatorze, zeskanować urządzeniem wyświetlony na ekranie kod QR i podać zwrotnie krótki kod wygenerowany przez autentykator. W dalszej części artykułu znajdą Państwo szczegółowe instrukcje dla głównych, zalecanych przez nas autentykatorów.
Logowanie dwuskładnikowe w codziennej pracy
Od momentu skonfigurowania autentykatora, przy kolejnych logowaniach stosowany będzie dodatkowy składnik uwierzytelniania – po podaniu identyfikatora i hasła system zapyta o kod jednorazowy:
Należy wtedy otworzyć aplikację autentykatora, odnaleźć krótki kod i przepisać go do aplikacji logowania.
Aby nie obciążać Państwa zbyt częstym wpisywaniem kodu, system pozwala na zapamiętanie konkretnego urządzenia (przeglądarki internetowej) jako zaufanego – na takim urządzeniu pytanie o kod nie będzie pojawiać się za każdym razem.
Bardzo ważne jest, żeby do zaufanych dodawać wyłącznie takie urządzenia, do których mają Państwo wyłączny dostęp.
Dla komputerów i laptopów wystarcza tu, aby mieli państwo indywidualne, zabezpieczone hasłem konto do którego nie mają dostępu osoby postronne.
Ważne obowiązki związane z autentykatorem
W przypadku utraty autentykatora nie będą Państwo mogli zalogować się do usług UKSW. Warto o tym pamiętać w przypadku planowanej wymiany telefonu!
System umożliwia posiadanie więcej niż jednej aplikacji autentyfikującej, dlatego przed zmianą urządzenia – lub po prostu na zapas – warto jest skonfigurować dodatkowy identyfikator na nowym urządzeniu.
Strona główna systemu logowania umożliwia Państwu zarówno dodawanie nowych, jak i usuwanie nieaktualnych autentykatorów:
Jeżeli zdarzy się, że utracicie Państwo dostęp do autentykatora (np. w przypadku kradzieży lub awarii telefonu), jedyną metodą odzyskania dostępu do konta i usług UKSW będzie osobista wizyta w Centrum Systemów Informatycznych, koniecznie z dokumentem tożsamości.