Zalecenia dotyczące bezpieczeństwo logowania

Z Uniwersyteckie Centrum Informatyczne

Patrz też:

Logowanie do usługi korzystającej z uwierzytelniania federacyjnego zazwyczaj przebiega według następującego scenariusza:

  1. Użytkownik wybiera z listy swoją instytucję macierzystą (UMK)
  2. Strona usługi dokonuje przekierowania na stronę Centralnego Punktu Logowania UMK
  3. Użytkownik loguje się w Centralnym Punkcie Logowania UMK
  4. Centralny Punkt Logowania UMK pokazuje pytanie o zgodę na przekazanie do Usługi wymaganych przez nią atrybutów.
  5. Jeżeli użytkownik wyrazi zgodę, to jest przekierowywany na stronę Usługi i jest zalogowany, jeżeli zgody nie wyrazi, to zalogowanie nie dochodzi do skutku.

Jeżeli użytkownik był już wcześniej zalogowany w Centralnym Punkcie Logowania UMK, to punkty 2 i 3 wykonają się automatycznie.

Użytkownik powinien zawsze potwierdzać autentyczność strony Centralnego Punktu Logowania UMK poprzez sprawdzenie, że adres pokazany w przeglądarce zaczyna się od  https://login.umk.pl/, a przeglądarka pokazuje symbol bezpiecznego połączenia. Gdyby adres strony był inny, to oznacza to próbę fałszerstwa i pod żadnym pozorem do takiej strony nie należy się logować, a całą sprawę zgłosić administratorom UMK.

Korzystanie z zewnętrznych usług, które wywołują stronę logowania UMK jest obarczone potencjalnym zagrożeniem. Fałszywa usługa może przekierować użytkownika na podrobioną stronę logowania i w ten sposób wyłudzić jego identyfikator i hasło.

Sposobem gwarantującym wysokie bezpieczeństwo jest wstępne zalogowanie na stronie Centralnego Punktu Logowania UMK. Do czasu wylogowania lub zamknięcia przeglądarki użytkownik powinien być automatycznie wpuszczany do wszystkich dostępnych dla niego usług. W takiej sytuacji pojawienie się strony logowania powinno być potraktowane jako sygnał alarmowy. Usługa może zażądać ponownego zalogowania, ale jest to nietypowe. Niezbędne jest zatem sprawdzenie autentyczności strony logowania.