Višestupanjska autentikacija (MFA, Multi-Factor Authentication) je vrsta autentikacije u kojoj je korisnik autenticiran nakon što se uspješno autenticira kombinacijom dvije ili više metoda autentikacije. Kombinira se autentikacija onim što korisnik zna (npr. korisnička oznaka i lozinka) , s autentikacijom putem onog što korisnik ima (npr. neki uređaj, pametna kartica) i/ili s autentikacijom putem korisnikovih biometrijskih podataka (npr. otisak prsta).
Dvostupanjska autentikacije (2FA) je višestupanjska autentikacija u 2 stupnja, u kojoj se koriste dvije metode autentikacije.
Sustav AAI@EduHr omogućava dvostupanjsku autentikaciju na način da se kao prvi stupanj koristi metoda autentikacije korisničkom oznakom i lozinkom, a kao drugi stupanj neki od sustava koji generira jednokratne lozinke (tokene).
Korištenje dvostupanjske autentikacije u sustavu AAI@EduHr nije obavezno već ovisi o potrebama pojedine usluge.
Dvostupanjska autentikacija u AAI@EduHr prikazana je slijedećim dijagramom:
Postupak autentikacije obavlja se tako da se korisnik prvo autenticira korisničkom oznakom i lozinkom iz sustava AAI@EduHr koju je izdala njegova matična ustanova (autentikacija s onim sto korisnik zna) te se nakon toga obavlja autentikacija putem tokena nekog od sustava koji generiraju jednokratne tokene za autentikaciju (autentikacija onim što korisnik posjeduje).
Trenutno podržani sustavi koji generiraju jednokratne tokene su:
- OTP (One Time Password) via SMS (uz korištenje mobilnog telefona korisnika) - korisnik upisuje token kojeg dobiva putem SMS-a na registirani telefonski broj
- Yubico Yubikey (https://www.yubico.com) uređaj (kojeg korisnik mora posjedovati) - korisnik prenosi token putem Yubikey uređaja
- TOTP (Time-based One Time Password) uz korištenje posebne aplikacije (npr. Google Authenticator, FreeOTP ili OpenOTP) koju korisnik mora instalirati na svoje računalo - korisnik upisuje token koji mu je izgenerirala aplikacija (temeljem registriranog tajnog ključa).
Napominjemo kako autentikaciju putem tokena poslanog SMS-om (OTP via SMS) smatramo namanje sigurnom (u odnosu na ostale raspoložive sustave odnosno metode). Osim toga, za potrebe produkcijskog rada, usluga treba osigurati odgovarajući SMS gateway odnosno podmiriti troškove njegovog rada.
Prije prve dvostupanjske autentikacije korisnik mora registirati metodu (metode) koju će koristiti. Ova registracija obavlja se automatski pri prvom pokušaju autentikacije, a podaci se čuvaju u središnjem sustavu AAI@EduHr te vrijede za sve usluge koje prihvaćaju odabranu metodu. Registraciju za korisnika može obaviti i matična ustanova ili administrator sustava koji generira jednokratne tokene.
VAŽNO: za promjenu registriranih podataka vezanih uz neku metodu, korisnik se mora obratiti mailom na adresu aai@srce.hr.
Detaljne upute za krajnje korisnike.
Sustav AAI@EduHr zahtjeva od davatelja usluge da putem registra resursa zatraži dvostupanjsku autentikaciju s odabranim drugim stupnjem. Detaljne upute za davatelje usluga.