Nedávno jsem dostal otázku, zda nevím, jak ve školním vzdělávacím prostředí Microsoft 365 zakázat dvoufaktorové ověřování, že by jej na jedné škole (jejíž jméno mi zůstalo utajeno) rádi vypnuli, jelikož tamní učitelé u sebe nemají, a nehodlají mít, neustále telefony, aby se dostali k ověřovacím kódům a mohli tak provést autentizaci a celé přihlášení dokončit. Jak jsem z kontextu pochopil, než by vedení této školy povinně vyžadovalo dvoufaktorové přihlašování minimálně u sebe, všech učitelů a ostatních zaměstnanců školy, a u žáků pak volitelně, raději je ochotno ustoupit tlaku učitelů, kteří daný způsob přihlašování odmítají, v duchu: „pokud tohle zavedeme, učitelé budou řvát“.
Mým doporučením bylo uvedenou bezpečnostní politiku ve výše zmíněném rozsahu zavést. Nicméně až poté jsem si uvědomil, že v roce 2023 bychom už neměli na školách primárně řešit hesla a autentizační kódy, ale začít budovat školy bez hesel.
Pokud před 20 lety stačilo nejen učitelům umět vytvářet silná hesla a před 10 lety si je ukládat do správců hesel a později k tomu aktivovat dvoufaktorové přihlašování, aby nakonec namísto zasílání přístupových kódů prostřednictvím SMS zpráv přešli na používání autentizačních aplikací jako např. Google Authenticator, nyní už to nestačí. Přišel čas své digitální kompetence rozšířit na bezheslový způsob přihlašování prostřednictvím přístupových klíčů, tzv. passkeys. Ten již delší dobu podporují všechny velké společnosti v čele s Applem, Googlem či Microsoftem a ostatní se k nim postupně přidali nebo dál přidávají.
Bezheslová autentizace je metoda ověřování, při níž se uživatel může přihlásit do konkrétního systému bez nutnosti zadání hesla. Funguje na principu přístupových klíčů (passkeys), které jsou založeny na standardu webové autentizace, využívající principu šifrování pomocí veřejného klíče. Když si v daném systému, službě či aplikaci založíte účet, vaše zařízení vytvoří pár jedinečných kryptografických klíčů. Veřejný klíč je uložen na serveru dané služby, zatímco ten soukromý je bezpečně uložen na vašem zařízení (počítači, smartphonu apod.) a lze k němu přistupovat pouze prostřednictvím biometrického podpisu (otisku prstu, skenu tváře apod.) nebo jiného autentizačního faktoru, který není založen na znalostech, jako je tomu v případě hesla.
Na začátku přihlašování požádá systém o zobrazení soukromého klíče na vašem zařízení a zkontroluje, zda funguje s veřejným klíčem. Tento požadavek je ověřen např. pomocí již zmíněné biometriky (otisku prstu, skenu tváře) a po tomto ověření dojde k přihlášení. Tedy místo zadávání uživatelského jména, hesla a případně též dvoufaktorového ověřovacího kódu se celý proces zredukuje na jednoduchý, výše popsaný ověřovací akt.
Vedle biometrického podpisu je možné použít i jiné způsoby ověření identity uživatele, jako jsou např. hardwarové tokeny s uloženými soukromými klíči, které je nutné do zařízení, pomocí něhož se přihlašujete, vložit nebo k němu přiblížit (podpora NFC). Právě řešení hardwarových tokenů (v podobě např. USB klíčenek) může být vhodnou alternativou pro ty uživatele, kteří u sebe trvale nemají mobilních telefon.
V některých scénářích (tam, kde je vyžadována velmi vysoká úroveň zabezpečení) se výše uvedené přístupy ověření identity často kombinují s dalšími metodami, jako je geolokace, síťová adresa apod. (1)(2)
Ukázka rozdílné bezpečnosti jednotlivých metod ochrany identity (zdroj: Microsoft Security Blog) |
Samozřejmě se neočekává, že na nový způsob přihlašování zůstanou učitelé a ostatní zaměstnanci školy sami a nikdo jim s tím ve škole nepomůže. Pokud budeme po učitelích, žácích a všech ostatních lidech ve škole chtít, aby se přihlašovali ať už vícefaktorovým přihlašováním, nebo ponovu tím bezheslovým pomocí přístupových klíčů, musíme je to také naučit (vygenerovat si tyto klíče) a ukázat, že nejde o přítěž, ale naopak o pomoc. V nastavení bezpečnostní politiky školy je volba a prosazení konkrétní metody přihlašování pouze prvním krokem, tím druhým, důležitějším a náročnějším, je, jak se k implementaci a dodržování dané politiky společně dopracujeme a co nám to ve výsledku všechno přinese.
Microsoft i Google již přihlašování pomocí passkeys také podporují ve svých systémech Microsoft 365 Education, resp. Google Workspace for Education, a tak bychom se na něj měli připravit a postupně na něj přejít. Důvodů pro to není málo a všechny jsou poměrně zásadní.
Pro školu, jejíž bezpečnostní politika nikdy nezahrnovala ani taková základní opatření, jako jsou vynucené změny hesel po určitém období (např. 90 dnech) či nemožnost jejich opakování (min. třech po sobě jdoucích), bude bezheslový způsob ověřování uživatelů trochu jiný vesmír. Jak ale platí obecně, nemusíte začínat hned tím nejvyšším bezpečnostním řešením nebo chtít vše naráz. Začněte postupně, třeba tím dvoufaktorovým a jen u vybraných skupin uživatelů s důležitým přístupem k datům a údajům školy a postupně tyto skupiny rozšiřujte. I tady budete potřebovat strategii a tým lidí, který vám ji pomůže vytvořit. A ten může zahrnovat i zástupce z řad učitelů a žáků.
Nenechte si ujet vlak dnes často slýcháme v souvislosti s umělou inteligencí a jejím zaváděním do vzdělávání na školách. Vedle AI vlaku by nám však neměl ujet ani ten kybernetický.
Všechny články jsou publikovány pod licencí Creative Commons BY-NC-ND.
Článek nebyl prozatím komentován.
Pro vložení komentáře je nutné se nejprve přihlásit.
Článek není zařazen do žádného seriálu.