Hesla v systému Orion

Z HelpDesk
English version

Hesla jsou nejběžněji používaný způsob ověření identity uživatele (autentizace). Fungování je prosté - kdo prokáže znalost hesla k příslušnému uživatelskému jménu, toho počítače automaticky považují za daného uživatele. Heslo je tedy jediným pojítkem mezi fyzickou osobou (např. Anna Nováková) a odpovídající elektronickou identitou (např. Orion konto civenka) a musí mu být věnována patřičná péče.

Hesla-ilustrace-01.png

Heslo ...

Většina IT služeb ZČU (Webmail, Portál, Courseware apod.) a komponent výpočetního prostředí Orion (počítačové učebny...) používá centrální systém ověření uživatelské identity pomocí hesla, které zajišťuje služba Kerberos. Pro běžného uživatele to znamená, že má jedno uživatelské jméno a jedno heslo, které mu funguje "všude". Často též hovoříme o "účtech Orion" a "Orion heslech".

Takový systém je na jedné straně výhodný, protože si nemusíme pamatovat pro každý systém jiné jméno a heslo, ale na druhé straně je zde větší rozsah případných škod, pokud by heslo někdo získal a zneužil (vypůjčení knih v knihovně, projezení peněz v menze, přihlášení/odhlášení zkoušek, zneužití konta k neetické činnosti...). Proto je důležité volit heslo obezřetně a uchovávat jej v tajnosti. Heslo je třeba volit a zacházet s ním tak, aby byl zajištěn rozumný poměr mezi mírou bezpečnosti a uživatelským pohodlím. Z tohoto důvodu byla na ZČU zavedena určitá pravidla, týkající se hesel.

... jaké zvolit?

Hesla ilust 02 cz 72 pes.png

Heslo je v první řadě potřeba volit "silné", tedy takové, aby jej bylo co nejtěžší "uhodnout" zkoušením různých možností. Případný útočník je schopen za velmi krátký čas vyzkoušet mnoho různých kombinací, takže příliš jednoduchá či krátká hesla neobstojí.

Základní pravidla, která musí hesla na ZČU splňovat:

  • Minimální délka je 13 znaků.
  • Heslo obsahuje alespoň tři různé skupiny znaků. Skupiny znaků jsou celkem čtyři: velká písmena, malá písmena, číslice a ostatní znaky (tečka, čárka, dvojtečka apod.).

Splnění těchto podmínek vylučuje použití opravdu slabých hesel, ale je vhodné vyhnout se i dalším snadno uhodnutelným heslům. Např. heslo "Listopad2022." pravidla splňuje, ale jeho uhodnutí je přesto velmi snadné. Ideálním heslem je co "nejnáhodnější" posloupnost znaků, která nemá s uživatelem žádnou spojitost. V žádném případě nepoužívejte jména, data narození, místopisné názvy apod. Zvlášť v dnešní době sociálních sítí je velmi snadné o Vás zjistit mnoho informací a na jejich základě vyzkoušet množství možných hesel.

Jakým způsobem však vytvořit zdánlivě "nesmyslnou" posloupnost znaků, kterou si zároveň budete schopni pamatovat? Pomocí tzv. heslové fráze, což je věta či krátký text, na jehož základě heslo vytvoříte. Například takto:

Věta:

Tour de France nelze přežít bez dopingu, tvrdí zlí jazykové už od roku 1989.

Heslo:

TdFnpbd,tzjuodr1989.

Druhý efektivní způsob volby hesla je použití celé věty. Lze tak vytvořit velmi dlouhé a snadno zapamatovatelné heslo:

Věta:

Civenka pracuje na ZČU už minimálně 10 let.

Heslo:

CivenkaPracujeNaZCUuzMin10Let.

Díky heslové frázi nebo heslu v podobě věty není problém si takové heslo zapamatovat, zároveň je však pro útočníka prakticky nemožné jej prolomit hrubou silou, pokud mu jej uživatel sám neprozradí.

Tip: Při vytváření hesel se pokud možno vyhněte znakům, které jsou závislé na jazyce zadávání - typicky z/y, písmena s diakritikou či různé exotické znaky. Vzhledem k tomu, že na různých zařízeních může být různé nastavení, působí tyto znaky často velké problémy při pokusech o přihlášení.

... jak často jej měnit?

Dalším problémem je i to, že čím déle je používáno stejné heslo, tím větší je pravděpodobnost, že jej během té doby někdo zjistí - odpozoruje, prolomí nebo podobně. Proto je nutné i dobře vymyšlené heslo jednou za čas změnit. Na ZČU byl proto zaveden následující mechanismus:

  • Heslo je nutno si změnit každých 24 měsíců.
  • Před uplynutím této doby začnou uživateli chodit varovné e-maily upozorňující na skutečnost, že je požadována změna hesla. Tyto e-maily chodí v daných intervalech po dobu 1 měsíce. Po tuto dobu je uživatelské konto stále plně funkční.
  • Pokud není heslo změněno, je uživatelské konto zablokováno. Nelze se tedy jeho pomocí kamkoli (Webmail, Portál, Orion stanice...) přihlašovat, funguje pouze přijímání či přesměrování příchozích e-mailů. Nicméně po dobu dalších 4 měsíců je možné provést změnu hesla standardním způsobem, čímž je konto automaticky opětovně aktivováno a lze jej nadále používat.
  • V případě, že změnu hesla neprovedete ani do 28 měsíců (24 měsíců platnost + 4 měsíce na změnu u blokovaného konta), bude možné heslo změnit na pracovišti HelpDesk.

... jak s ním zacházet?

V prostředí ZČU je heslo jediné, co chrání vaši elektronickou identitu před zneužitím. Důsledky zneužití Vašeho hesla mohou být velmi rozsáhlé - útočník si může přenastavit zasílání vašich stipendií na svůj bankovní účet, změnit vaše osobní údaje, zapsat či odepsat vás ze zkoušek a předmětů, psát vaším jménem e-maily, využít vaší identity pro ilegální činnost prostřednictvím bezdrátového připojení apod. Za zabezpečení svojí elektronické identity jste přitom osobně zodpovědní, vina za jakoukoli takovouto činnost tedy může v důsledku padnout na vás a nikoli na útočníka. Z tohoto důvodu:

Hesla-ilustrace-03.png
  • Nikdy nikomu nesdělujte svoje heslo.
  • Opravdu NIKDY NIKOMU NESDĚLUJTE SVOJE HESLO. "Nepůjčujte" svoje uživatelské konto kamarádům, spolužákům ani kolegům, neříkejte heslo nahlas, nereagujte na výzvy ke sdělení hesla. Nikdo, ani pracovníci CIVu, nezná a nemá právo znát vaše heslo.
  • Heslo si zapamatujte, nezapisujte. Nepište si jej na papírky, do elektronických dokumentů, poznámek v telefonu, e-mailů apod. Pokud si jej potřebujete zapsat či uložit, použijte některou z dostupných aplikací či služeb pro správu hesel, jako je např. Keepass.
  • Pokud se přihlašujete na veřejném nebo cizím zařízení, důsledně se ujistěte, že jste se po ukončení práce odhlásili a nezanechali heslo nikde uložené.
  • Buďte obezřetní při zadávání hesla. Zkontrolujte si, že vás při zadávání hesla nikdo nepozoruje, nezadávejte heslo na zařízeních, u kterých máte podezření na napadení virem, buďte všímaví k podezřelým úpravám hardwaru na veřejně dostupných pracovních stanicích.
  • Pokud máte sebemenší podezření, že vaše heslo zná někdo jiný než vy, okamžitě jej změňte. Pokud si myslíte, že se někdo pokouší útokem či podvodem získat vaše heslo, neprodleně kontaktujte HelpDesk.


Jak nastavit nebo změnit heslo?

Pokud Vás systém Orion nutí ke změně hesla nebo si jej chcete sami změnit, máte několik možností, jak toho dosáhnout.

S použitím webového rozhraní

Webová stránka pro změnu hesla. Vždy se ujistěte, že jste na správné adrese a že je použit zabezpečený protokol https!

Pokud znáte svoje původní heslo a od poslední změny neuplynulo více než 28 měsíců, můžete si heslo změnit na webové stránce heslo.zcu.cz, kde zadejte svoje uživatelské jméno, staré heslo a 2x nové heslo. Změna proběhne do 5 minut.

S použitím terminálu pod OS Unix/Linux

V prostředí Unix/Linux (např. v počítačových učebnách) za pomoci programu kpasswd (kerberos-passwd).

 $ kpasswd
 Password for dobrota@ZCU.CZ: Moje.Stare.Heslo,23
 Enter new password: Upln,EnOveHeslo42
 Enter it again: Upln,EnOveHeslo42

Když se nedaří přihlásit

Pokud se vám z nějakého důvodu nedaří přihlásit,

  • nejprve si zkontrolujte, zda skutečně zadáváte správné heslo, tj.
    • nezadáváte krátce po změně původní heslo,
    • nemáte přepnutou klávesnici na jiný jazyk,
    • máte prsty na správných klávesách
    • ...
  • pokud se přihlášení stále nedaří, kontaktujte HelpDesk a informujte se, zda s Vaším kontem není nějaký problém a jak dále postupovat. Je možné, že:
    • vám vypršelo heslo,
    • už nejste zaměstnanec/student ZČU,
    • konto máte blokováno pro závažný bezpečnostní incident.

Zapomenuté heslo

Pokud jste původní heslo zapomněli, využijte některou z možností pro nastavení nového hesla.

Osobní návštěva HelpDesku

Při osobní návštěvě v pracovní době vám operátoři či služba HELPS mohou obnovit zapomenuté či nefunkční heslo, znovu aktivovat účet zablokovaný v důsledku vypršení lhůty na změnu hesla či pomoci vyřešit další problémy s vaším uživatelským kontem. Vždy s sebou mějte nějaký doklad totožnosti, ideálně vaši JIS kartu, v opačném případě nebude možné provést obnovení hesla ani žádné další úkony s vaším uživatelským účtem. Chcete-li, aby vám nové heslo vyzvedl kamarád, kolega, rodinný příslušník či jakýkoli jiný zástupce, je nutné jej vybavit neověřenou plnou mocí.

Změna hesla po telefonu

Nechcete/nemůžete-li se dostavit osobně, můžete využít změnu hesla po telefonu. Tuto službu je potřeba předem povolit a zadat svoje telefonní číslo v aplikaci self-managementu. Vřele doporučujeme tak učinit co nejdříve; ve chvíli, kdy jste na studijním pobytu na jiném světadíle a právě jste zjistili, že jste zapomněli svoje heslo, je již pozdě. Změna hesla po telefonu probíhá následovně:

  • Připravte si svoji JIS kartu a rodné číslo.
  • V pracovní době zavolejte na HelpDesk: +420 377 638 888.
  • Operátor vám obratem zavolá zpět na předem zadané číslo.
  • Operátor ověří vaši totožnost dotazem na vybraná čísla z vašeho RČ a ID JIS karty.
  • Operátor vám sdělí dočasné heslo, vy se jeho pomocí přihlásíte a nastavíte si nové heslo (přes web https://heslo.zcu.cz).

Změna hesla bankovní identitou Bank ID

Zapomněli jste heslo, ale máte k dispozici svou Bankovní identitu Bank iD? Pro obnovení hesla můžet využít i tento způsob.

Bank iD nelze využít pro hostovská konta, která nemají zadané datum narození.

Na stránce https://heslo.zcu.cz:

  1. klikněte na "Zapomenuté heslo",
  2. vyplňte svůj Orion login,
  3. klikněte na "Ověřit Orion",
  4. vyberte metodu Bank iD,
  5. vyberte svou banku a dále postupujte dle systému jejího přihlášení (*).

Po úspěšném ověření si změňte heslo (zadejte nové dle aktuálně platných pravidel).

(*) Pro ověření je třeba souhlasit s předáním údajů v rozsahu jméno, příjmení a datum narození.

Často kladené otázky

  1. Jsem si jistý, že zadávám správné heslo, ale přesto se nemohu přihlásit, co mám dělat?
    • Ujistěte se, že nezadáváte starší heslo, heslo určené pro jinou službu nebo prostředí, nemáte přenastavený jazyk klávesnice nebo podobně. Zkuste si změnit heslo pro případ, že vám již vypršela platnost původního hesla. Pokud se vám nepodaří problém vyřešit, kontaktujte HelpDesk.
  2. Potřebuji obnovit heslo, nemohu se dostavit osobně a nemám aktivovanou změnu hesla po telefonu. Zašlete mi nové heslo e-mailem, sms zprávou, dopisem...?
    • Ne. Opravdu ne, naše bezpečnostní politiky zakazují měnit či předávat hesla bez osobního či telefonického ověření identity uživatele, popřípadě pomocí bankovní identity. Nežádejte o tuto službu naše operátory, nemohou vám vyhovět. Situaci můžete vyřešit vysláním zástupce s neověřenou plnou mocí, zcela vyhnout se jí pak můžete včasnou aktivací změny hesla po telefonu.
  3. Nesleduji univerzitní e-mailovou schránku, jak jsem měl vědět, že si mám změnit heslo?
    • Sledovat univerzitní e-mailovou schránku je vaše povinnost, vyplývající ze Statutu ZČU (článek 39, bod 3 a 4). Univerzitní e-mailová schránka je považována za oficiální komunikační kanál a každý zaměstnanec a student je povinen ji sledovat a používat pro oficiální komunikaci se ZČU. Zprávy do ní zaslané jsou automaticky považovány za doručené adresátovi.
  4. Vidí pracovníci HelpDesku či jiní zaměstnanci CIVu moje současné heslo? Mohou jej nějak zjistit?
    • Ne, hesla k účtům jsou uložena tak, že je technicky nemožné je jakýmkoli způsobem zpětně zjistit a ani naši zaměstnanci k nim tedy nemají přístup, nehledě na pracovní pozici či úroveň odborných znalostí.
  5. Vaše politika ohledně hesel je špatná, nechci si měnit heslo, chci používat kratší a jednodušší heslo...
    • Děkujeme za názor, ale naše pravidla jsou nastavená tak, aby nabízela rozumnou míru bezpečnosti při co nejmenším snížení pohodlí našich uživatelů. Pokud se vám zdá, že naše politika je příliš tvrdá, doporučujeme si ještě jednou přečíst a uvědomit, jaké následky může mít odcizení vaší elektronické identity. Pokud si o tom chcete více podiskutovat, neváhejte nás kontaktovat.