Novinky v Jednotném přihlášení MUNI Pavel Břoušek brousek@ics.muni.cz Masarykova univerzita 2. září 2021 Osnova Více-faktorová autentizace Bezpečnostní obrázky Správa připojených služeb Bezpečná konfigurace OIDC pro front-end aplikace P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 2 / 17 Jednotné přihlášení MUNI poskytovatel identit Masarykovy univerzity připojení Security Assertion Markup Language V2.0 (SAML2) OpenID Connect (OIDC) Obrázek: Přihlašovací obrazovka P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 3 / 17 Více-faktorová autentizace Osnova Více-faktorová autentizace Bezpečnostní obrázky Správa připojených služeb Bezpečná konfigurace OIDC pro front-end aplikace P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 4 / 17 Více-faktorová autentizace Obecně k více-faktorové autentizaci metody autentizace uživatelů tajemství (heslo, PIN) vlastnictví (TOTP, certifikát, fyzické tokeny) biometriky (otisk prstu) chování kombinace dvou nebo více metod zvýšit bezpečnost minimalizovat nárůst komplexity pro uživatele ochrana proti krádeži jednoho faktoru autentizace (hesla) útoky hrubou silou (online i offline) lámání hashů hesel offline phishingu P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 5 / 17 Více-faktorová autentizace Time-based One-Time Password (TOTP)1 6místný číselný kód vygenerovaný TOTP aplikací podpora napříč platformami časové okno platnosti kódu negativní důsledky kompromitace serveru (databáze) Obrázek: TOTP 1 RFC 6238 P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 6 / 17 Více-faktorová autentizace Web Authentication (WebAuthn)3 jednoduché použití ochrana proti MitM a phishingu2 podpora ve většině webových prohlížečů omezené možnosti připojení fyzických klíčenek Obrázek: WebAuthn 2 developers.yubico.com/U2F/Protocol_details/Overview.html 3 w3.org/TR/webauthn-2/ P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 7 / 17 Více-faktorová autentizace Implementace v Jednotném přihlášení aktivace na žádost služby (REFEDS MFA Profile4) SAML AuthnContextClassRef s hodnotou https://refeds.org/profile/mfa $auth−>login ( [ ’saml : AuthnContextClassRef ’ => ’ https : / / refeds . org/ profile /mfa ’ , ] ) ; OIDC parametr acr_values s hodnotou https://refeds.org/profile/mfa customQueryParams : { acr_values : ’ https : / / refeds . org/ profile /mfa ’ } 4 https://refeds.org/profile/mfa P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 8 / 17 Více-faktorová autentizace Uživatelský profil Obrázek: account.muni.cz P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 9 / 17 Bezpečnostní obrázky Osnova Více-faktorová autentizace Bezpečnostní obrázky Správa připojených služeb Bezpečná konfigurace OIDC pro front-end aplikace P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 10 / 17 Bezpečnostní obrázky Ochrana proti phishingu různé variace (např. SiteKey) personalizovaný obrázek/text/barva na přihlašovací stránce chybějící obrázek může znamenat phishing výhody jednoduchá implementace jednoduché použití uživatelem nevýhody obecně velmi malá účinnost alternativy školení uživatelů doplněk do prohlížeče více-faktorová autentizace P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 11 / 17 Bezpečnostní obrázky Implementace v Jednotném přihlášení (a) account.muni.cz (b) přihlašovací obrazovka P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 12 / 17 Správa připojených služeb Osnova Více-faktorová autentizace Bezpečnostní obrázky Správa připojených služeb Bezpečná konfigurace OIDC pro front-end aplikace P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 13 / 17 Správa připojených služeb Aplikace SP reg spreg.aai.muni.cz přihlášky nových služeb správa připojených služeb a jejich parametrů přidávání/odebírání dalších správců P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 14 / 17 Bezpečná konfigurace OIDC pro front-end aplikace Osnova Více-faktorová autentizace Bezpečnostní obrázky Správa připojených služeb Bezpečná konfigurace OIDC pro front-end aplikace P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 15 / 17 Bezpečná konfigurace OIDC pro front-end aplikace Authorization code flow + PKCE Proof Key for Code Exchange5 náhrada implicit flow určeno pro front-endové nebo mobilní aplikace (bez client secret) zdroj: okta.com { responseType : ’code ’ } 5 RFC 7636 P. Břoušek ·Novinky v Jednotném přihlášení MUNI ·2. září 2021 16 / 17 Děkuji za pozornost. idp@ics.muni.cz