Hesla v systému Orion

Z HelpDesk
English version

Hesla jsou nejběžněji používaný způsob ověření identity uživatele (autentizace). Fungování je prosté - kdo prokáže znalost hesla k příslušnému uživatelskému jménu, toho počítače automaticky považují za daného uživatele. Heslo je tedy jediným pojítkem mezi fyzickou osobou (např. Anna Nováková) a odpovídající elektronickou identitou (např. Orion konto civenka) a musí mu být věnována patřičná péče.

Hesla-ilustrace-01.png

Heslo ...

Většina IT služeb ZČU (Webmail, Portál, Courseware apod.) a komponent výpočetního prostředí Orion (počítačové učebny...) používá centrální systém ověření uživatelské identity pomocí hesla, které zajišťuje služba Kerberos. Pro běžného uživatele to znamená, že má jedno uživatelské jméno a jedno heslo, které mu funguje "všude". Často též hovoříme o "účtech Orion" a "Orion heslech" nebo "Kerberos heslech".

Takový systém je na jedné straně výhodný, protože si nemusíme pamatovat pro každý systém jiné jméno a heslo, ale na druhé straně je zde větší rozsah případných škod, pokud by heslo někdo získal a zneužil (vypůjčení knih v knihovně, projezení peněz v menze, přihlášení/odhlášení zkoušek, zneužití konta k neetické činnosti...). Proto je důležité volit heslo obezřetně a uchovávat jej v tajnosti. Heslo je třeba volit a zacházet s ním tak, aby byl zajištěn rozumný poměr mezi mírou bezpečnosti a uživatelským pohodlím. Z tohoto důvodu byla na ZČU zavedena určitá pravidla, týkající se hesel.

... jaké zvolit?

Hesla-ilustrace-02.png

Heslo je v první řadě potřeba volit "silné", tedy takové, aby jej bylo co nejtěžší "uhodnout" zkoušením různých možností. Případný útočník je schopen za velmi krátký čas vyzkoušet mnoho různých kombinací, takže příliš jednoduchá či krátká hesla neobstojí.

Základní pravidla, která musí hesla na ZČU splňovat:

  • Minimální délka je 8 znaků.
  • Heslo obsahuje alespoň dvě různé skupiny znaků. Skupiny znaků jsou celkem čtyři: velká písmena, malá písmena, číslice a ostatní znaky (tečka, čárka, dvojtečka apod.).

Splnění těchto podmínek vylučuje použití opravdu slabých hesel, ale je vhodné vyhnout se i dalším snadno uhodnutelným heslům. Např. heslo Civenka90 podmínky splňuje, ale jeho uhodnutí je přesto velmi snadné. Ideálním heslem je co "nejnáhodnější" posloupnost znaků, která nemá s uživatelem žádnou spojitost. V žádném případě nepoužívejte jména, data narození, místopisné názvy apod. Zvlášť v dnešní době sociálních sítí je velmi snadné o Vás zjistit mnoho informací a na jejich základě vyzkoušet množství možných hesel.

Jakým způsobem však vytvořit zdánlivě "nesmyslnou" posloupnost znaků, kterou si zároveň budete schopni pamatovat? Pomocí tzv. heslové fráze, což je věta či krátký text, na jehož základě heslo vytvoříte. Například takto:

Věta:

Tour de France nelze přežít bez dopingu, tvrdí zlí jazykové už od roku 1989.

Heslo:

TdFnpbd,tzjuodr1989.

Díky heslové frázi není problém si takové heslo zapamatovat, zároveň je však pro útočníka prakticky nemožné jej prolomit hrubou silou, pokud mu jej uživatel sám neprozradí.

Tip: Při vytváření hesel se pokud možno vyhněte znakům, které jsou závislé na jazyce zadávání - typicky z/y, písmena s diakritikou či různé exotické znaky. Vzhledem k tomu, že na různých zařízeních může být různé nastavení (např. na Orion stanicích je při zadávání hesla nastavena anglická klávesnice) působí tyto znaky často velké problémy při pokusech o přihlášení.

... jak často jej měnit?

Dalším problémem je i to, že čím déle je používáno stejné heslo, tím větší je pravděpodobnost, že jej během té doby někdo zjistí - odpozoruje, prolomí nebo podobně. Proto je nutné i dobře vymyšlené heslo jednou za čas změnit. Na ZČU byl proto zaveden následující mechanismus:

  • Heslo je nutno si změnit každých 6 měsíců, přičemž posledních 5 dříve použitých hesel není povoleno opětovně použít.
  • Po uplynutí této doby začnou uživateli chodit varovné e-maily upozorňující na skutečnost, že je požadována změna hesla. Tyto e-maily chodí v daných intervalech po dobu dalších 2 měsíců. Po tuto dobu je uživatelské konto stále plně funkční.
  • Pokud není heslo změněno do 8 měsíců (6 měsíců platnost + 2 měsíce na změnu), je uživatelské konto zablokováno. Nelze se tedy jeho pomocí kamkoli (Webmail, Portál, Orion stanice...) přihlašovat, funguje pouze přijímání či přesměrování příchozích e-mailů. Nicméně po dobu dalších 4 měsíců je možné provést změnu hesla standardním způsobem, čímž je konto automaticky opětovně aktivováno a lze jej nadále používat.
  • V případě, že změnu hesla neprovedete ani do 12 měsíců (6 měsíců platnost + 2 měsíce na změnu + 4 měsíce na změnu u blokovaného konta), nebudete již moci svoje heslo změnit a bude nutná Vaše osobní návštěva na pracovišti HelpDesk.

... jak s ním zacházet?

V prostředí ZČU je heslo jediné, co chrání vaši elektronickou identitu před zneužitím. Důsledky zneužití Vašeho hesla mohou být velmi rozsáhlé - útočník si může přenastavit zasílání vašich stipendií na svůj bankovní účet, změnit vaše osobní údaje, zapsat či odepsat vás ze zkoušek a předmětů, psát vaším jménem e-maily, využít vaší identity pro ilegální činnost prostřednictvím bezdrátového připojení apod. Za zabezpečení svojí elektronické identity jste přitom osobně zodpovědní, vina za jakoukoli takovouto činnost tedy může v důsledku padnout na vás a nikoli na útočníka. Z tohoto důvodu:

Hesla-ilustrace-03.png
  • Nikdy nikomu nesdělujte svoje heslo.
  • Opravdu NIKDY NIKOMU NESDĚLUJTE SVOJE HESLO. "Nepůjčujte" svoje uživatelské konto kamarádům, spolužákům ani kolegům, neříkejte heslo nahlas, nereagujte na výzvy ke sdělení hesla. Nikdo, ani pracovníci CIVu, nezná a nemá právo znát vaše heslo.
  • Heslo si zapamatujte, nezapisujte. Nepište si jej na papírky, do elektronických dokumentů, poznámek v telefonu, e-mailů apod. Pokud si jej potřebujete zapsat či uložit, použijte některou z dostupných aplikací či služeb pro správu hesel, jako je např. Keepass.
  • Pokud se přihlašujete na veřejném nebo cizím zařízení, důsledně se ujistěte, že jste se po ukončení práce odhlásili a nezanechali heslo nikde uložené.
  • Buďte obezřetní při zadávání hesla. Zkontrolujte si, že vás při zadávání hesla nikdo nepozoruje, nezadávejte heslo na zařízeních, u kterých máte podezření na napadení virem, buďte všímaví k podezřelým úpravám hardwaru na veřejně dostupných pracovních stanicích.
  • Pokud máte sebemenší podezření, že vaše heslo zná někdo jiný než vy, okamžitě jej změňte. Pokud si myslíte, že se někdo pokouší útokem či podvodem získat vaše heslo, neprodleně kontaktujte HelpDesk.


Jak nastavit nebo změnit heslo?

Pokud Vás systém Orion nutí ke změně hesla nebo si jej chcete sami změnit, máte několik možností, jak toho dosáhnout.

S použitím webového rozhraní

Webová stránka pro změnu hesla. Vždy se ujistěte, že jste na správné adrese a že je použit zabezpečený protokol https!

Pokud znáte svoje původní heslo a od poslední změny neuplynulo více než 12 měsíců, můžete si heslo změnit na webové stránce heslo.zcu.cz, kde zadejte svoje uživatelské jméno, staré heslo a 2x nové heslo. Pokud jste již přihlášeni, zadáváte pouze 2x nové heslo. Změna proběhne do 5 minut. Pokud se vám změna hesla nedaří, je možné, že jste narazili na jednu z následujících chyb:

  • New password is too short. = Nové heslo je příliš krátké. Zadejte heslo o minimální délce 8 znaků.
  • New password does not have enough character classes. = Heslo neobsahuje alespoň dvě různé skupiny znaků. Zadejte heslo, obsahující alespoň dvě různé skupiny znaků.
  • New password was used previously. = Zadali jste heslo, které již bylo použito dříve. Zadejte zcela nové heslo.


S použitím terminálu pod OS Unix/Linux

V prostředí Unix/Linux (např. v počítačových učebnách) za pomoci programu passwd. V případě, že používáte Unix/Linux stanici, která obsahuje standardní passwd, použijte kpasswd (Kerberos-passwd).

 $ passwd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42

S použitím terminálového serveru

V případě, že chcete změnit heslo přes Unix/Linux terminál a nepoužíváte CIVem podporovaný operační systém (Orion Linux), pak se přihlašte pomocí programu ssh (ssh na UNIXu nebo Putty na MS Windows) na servery eryx.zcu.cz nebo satyr.zcu.cz a tam si heslo podle výše uvedeného návodu změňte.

 ssh eryx.zcu.cz
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz on pts/8
 Last login: Thu Jun 24 16:03:38 2004 from toy.zcu.cz
 Welcome to University of West Bohemia
 Project ORION
 Please, use command 'news' to read system news ( 4 items ).
 ---------------------------------------------------
          Quota       Used     % Used     Partition
 home     100000      35039        35%           19%
 ---------------------------------------------------
 eryx1> passwd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42

Když se nedaří přihlásit

Pokud se vám z nějakého důvodu nedaří přihlásit,

  • nejprve si zkontrolujte, zda skutečně zadáváte správné heslo, tj.
    • nezadáváte krátce po změně původní heslo,
    • nemáte přepnutou klávesnici na jiný jazyk,
    • máte prsty na správných klávesách
    • ...
  • pokud se přihlášení stále nedaří, kontaktujte HelpDesk a informujte se, zda s Vaším kontem není nějaký problém a jak dále postupovat. Je možné, že:
    • vám vypršelo heslo,
    • už nejste zaměstnanec/student ZČU,
    • konto máte blokováno pro závažný bezpečnostní incident.

Zapomenuté heslo

Pokud jste původní heslo zapomněli, kontaktujte HelpDesk. Nové dočasné heslo Vám bude vydáno při osobní návštěvě nebo s využitím změny hesla po telefonu. Dočasné heslo použijte co nejdříve k nastavení nového hesla.

Osobní návštěva HelpDesku

Při osobní návštěvě v pracovní době vám operátoři či služba HELPS mohou obnovit zapomenuté či nefunkční heslo, znovu aktivovat účet zablokovaný v důsledku vypršení dvanáctiměsíční lhůty na změnu hesla či pomoci vyřešit další problémy s vaším uživatelským kontem. Vždy s sebou mějte nějaký doklad totožnosti, ideálně vaši JIS kartu, v opačném případě nebude možné provést obnovení hesla ani žádné další úkony s vaším uživatelským účtem. Chcete-li, aby vám nové heslo vyzvedl kamarád, kolega, rodinný příslušník či jakýkoli jiný zástupce, je nutné jej vybavit neověřenou plnou mocí.

Změna hesla po telefonu

Nechcete/nemůžete-li se dostavit osobně, můžete využít změnu hesla po telefonu. Tuto službu je potřeba předem povolit a zadat svoje telefonní číslo na příslušné stránce Portálu ZČU. Vřele doporučujeme tak učinit co nejdříve; ve chvíli, kdy jste na studijním pobytu na jiném světadíle a právě jste zjistili, že jste zapomněli svoje heslo, je již pozdě. Změna hesla po telefonu probíhá následovně:

  • Připravte si svoji JIS kartu a rodné číslo.
  • V pracovní době zavolejte na HelpDesk: +420 377 638 888.
  • Operátor vám obratem zavolá zpět na předem zadané číslo.
  • Operátor ověří vaši totožnost dotazem na vybraná čísla z vašeho RČ a ID JIS karty.
  • Operátor vám sdělí dočasné heslo, vy se jeho pomocí přihlásíte a nastavíte si nové heslo (přes web https://heslo.zcu.cz).

Často kladené otázky

  1. Jsem si jistý, že zadávám správné heslo, ale přesto se nemohu přihlásit, co mám dělat?
    • Ujistěte se, že nezadáváte starší heslo, heslo určené pro jinou službu nebo prostředí, nemáte přenastavený jazyk klávesnice nebo podobně. Zkuste si změnit heslo pro případ, že vám již vypršela platnost původního hesla. Pokud se vám nepodaří problém vyřešit, kontaktujte HelpDesk.
  2. Potřebuji obnovit heslo, nemohu se dostavit osobně a nemám aktivovanou změnu hesla po telefonu. Zašlete mi nové heslo e-mailem, sms zprávou, dopisem...?
    • Ne. Opravdu ne, naše bezpečnostní politiky zakazují měnit či předávat hesla bez osobního či telefonického ověření identity uživatele. Nežádejte o tuto službu naše operátory, nemohou vám vyhovět. Situaci můžete vyřešit vysláním zástupce s neověřenou plnou mocí, zcela vyhnout se jí pak můžete včasnou aktivací změny hesla po telefonu.
  3. Nesleduji univerzitní e-mailovou schránku, jak jsem měl vědět, že si mám změnit heslo?
    • Sledovat univerzitní e-mailovou schránku je vaše povinnost, vyplývající ze Statutu ZČU (článek 39, bod 3 a 4). Univerzitní e-mailová schránka je považována za oficiální komunikační kanál a každý zaměstnanec a student je povinen ji sledovat a používat pro oficiální komunikaci se ZČU. Zprávy do ní zaslané jsou automaticky považovány za doručené adresátovi.
  4. Vidí pracovníci HelpDesku či jiní zaměstnanci CIVu moje současné heslo? Mohou jej nějak zjistit?
    • Ne, hesla k účtům jsou uložena tak, že je technicky nemožné je jakýmkoli způsobem zpětně zjistit a ani naši zaměstnanci k nim tedy nemají přístup, nehledě na pracovní pozici či úroveň odborných znalostí.
  5. Vaše politika ohledně hesel je špatná, nechci si měnit heslo, chci používat kratší a jednodušší heslo...
    • Děkujeme za názor, ale naše pravidla jsou nastavená tak, aby nabízela rozumnou míru bezpečnosti při co nejmenším snížení pohodlí našich uživatelů. Pokud se vám zdá, že naše politika je příliš tvrdá, doporučujeme si ještě jednou přečíst a uvědomit, jaké následky může mít odcizení vaší elektronické identity. Pokud si o tom chcete více podiskutovat, neváhejte nás kontaktovat.