Višestupanjska autentikacija (MFA, Multi-Factor Authentication) je vrsta autentikacije u kojoj je korisnik autenticiran nakon što se uspješno autenticira kombinacijom dvije ili više metoda autentikacije. Kombinira se autentikacija onim što korisnik zna (npr. korisnička oznaka i lozinka) , s autentikacijom putem onog što korisnik ima (npr. neki uređaj, pametna kartica) i/ili s autentikacijom putem korisnikovih biometrijskih podataka (npr. otisak prsta).
Dvostupanjska autentikacije (2FA) je višestupanjska autentikacija u 2 stupnja, u kojoj se koriste dvije metode autentikacije.
Za usluge kojima se želi povećati razinu razina sigurnosti sustav AAI@EduHr omogućava dvostupanjsku autentikaciju na autentikaciju na način da se za prvi stupanj autentikacije koristi metoda autentikacije korisničkom oznakom i zaporkom u sustavu AAI@EduHr, a za drugi stupanj autentikacije koristi se jedna od podržanih metoda višestupanjske autentikacije u sustavu AAI@EduHr (TOTP sustav, YubiKey sTOTP sustav, WebAuthn FIDO2, vjerodajnice visokog stupnja sigurnosti - eOsobna iskaznica, MobileID osobna iskaznica, FINA RDC osobni certifikat).
U sustavu AAI@EduHr ukinuta je mogućnost korištenja SMS OTP vjerodajnice kao drugog stupnja autentikacije koju zbog niske razine sigurnosti smatramo najmanje sigurnom u odnosu na ostale podržane metode dvostupanjske autentikacije.
Korištenje dvostupanjske autentikacije u sustavu AAI@EduHr nije obavezno već ovisi o potrebama pojedine usluge.
Dvostupanjska autentikacija u AAI@EduHr prikazana je slijedećim dijagramom:
Postupak autentikacije obavlja se tako da se korisnik prvo autenticira korisničkom oznakom i lozinkom iz sustava AAI@EduHr koju je izdala njegova matična ustanova (autentikacija s onim sto korisnik zna) te se nakon toga obavlja autentikacija putem tokena nekog od sustava koji generiraju jednokratne tokene za autentikaciju (autentikacija onim što korisnik posjeduje).
Trenutno podržane metode višestupanjske autentikacije u sustavu AAI@EduHr su:
...
Dvostupanjsku autentikaciju u sustavu AAI@EduHr moguće je koristiti i na način da korisnik za drugi stupanj autentikacije odabere vjerodajnicu visokog stupnja sigurnosti (X509) ako usluga kojoj pristupa za drugi stupanj autentikacije zahtijeva TOTP sustav, YubiKey sTOTP sustav ili WebAuthn FIDO2.
Upute za davatelja usluge u sustavu AAI@EduHr
...