Instrukcja bezpiecznego logowania
Logowanie do usługi korzystającej z uwierzytelniania federacyjnego zazwyczaj przebiega według następującego scenariusza:
- Użytkownik wybiera z listy swoją instytucję macierzystą (MUP Oświęcim)
- Strona usługi dokonuje przekierowania na stronę Centralnego Punktu Logowania MUP login.mup.edu.pl/cas/login
- Użytkownik loguje się w Centralnym Punkcie Logowania MUP
- Centralny Punkt Logowania MUP pokazuje pytanie o zgodę na przekazanie do Usługi wymaganych przez nią atrybutów.
- Jeżeli użytkownik wyrazi zgodę, to jest przekierowywany na stronę Usługi i jest zalogowany, jeżeli zgody nie wyrazi, to zalogowanie nie dochodzi do skutku.
Jeżeli użytkownik był już wcześniej zalogowany w Centralnym Punkcie Logowania MUP, to punkty 2 i 3 wykonają się automatycznie.
Użytkownik powinien zawsze potwierdzać autentyczność strony Centralnego Punktu Logowania MUP poprzez sprawdzenie, że adres pokazany w przeglądarce zaczyna się od https://login.mup.edu.pl/cas/login, a przeglądarka pokazuje symbol bezpiecznego połączenia. Gdyby adres strony był inny, to oznacza to próbę fałszerstwa i pod żadnym pozorem do takiej strony nie należy się logować, a całą sprawę zgłosić administratorom MUP.
Korzystanie z zewnętrznych usług, które wywołują stronę logowania MUP jest obarczone potencjalnym zagrożeniem. Fałszywa usługa może przekierować użytkownika na podrobioną stronę logowania i w ten sposób wyłudzić jego identyfikator i hasło.
Sposobem gwarantującym wysokie bezpieczeństwo jest wstępne zalogowanie na stronie Centralnego Punktu Logowania MUP. Do czasu wylogowania lub zamknięcia przeglądarki użytkownik powinien być automatycznie wpuszczany do wszystkich dostępnych dla niego usług. W takiej sytuacji pojawienie się strony logowania powinno być potraktowane jako sygnał alarmowy. Usługa może zażądać ponownego zalogowania, ale jest to nietypowe. Niezbędne jest zatem sprawdzenie autentyczności strony logowania.
Tam gdzie to tylko możliwe, użytkownik jest zobowiązany do stosowania 2FA (podwójnego uwierzytelniania).