Bezpečnostní doporučení pro správu uživatelů
Silná hesla
Požadavky na bezpečné heslo:
- Minimální délka: Alespoň 12 znaků (čím delší, tím lepší)
- Kombinace znaků: Velká písmena, malá písmena, čísla, speciální znaky
- Nepředvídatelnost: Nepoužívejte slovníková slova, jména, data narození
- Unikátnost: Každý uživatel by měl mít jedinečné heslo
Příklady:
- ❌ Špatné: heslo123, Praha2024, admin
- ✅ Dobré: K7#mPq9$nL2@xR5!, Modr4-Kocka+Skace=Vysoko
Tip: Použijte správce hesel (např. KeePass, Bitwarden) pro generování a ukládání silných hesel.
Pravidlo minimálních oprávnění
Zásady přidělování rolí:
- Každému uživateli přiřaďte nejnižší roli, která je stále dostatečná pro jeho práci
- Role Administrator by měl mít pouze nejmenší možný počet lidí (ideálně 1-2)
- Většina uživatelů vystačí s rolí Editor
- Pravidelně kontrolujte, zda uživatelé stále potřebují své oprávnění
Pravidelné kontroly účtů
Doporučené postupy pro údržbu uživatelů:
- Čtvrtletně: Projděte seznam uživatelů a deaktivujte účty osob, které už v organizaci nepracují
- Jednou ročně: Zkontrolujte, které účty mají roli Administrator a zda je to stále oprávněné
- Pravidelně: Sledujte přihlašovací aktivitu - účty, které se dlouho nepřihlásily, jsou potenciálním rizikem
Bezpečná komunikace hesel
Jak bezpečně sdělit heslo novému uživateli:
- ✅ Telefonicky nebo osobně - nejbezpečnější
- ✅ Přes šifrovaný messenger (Signal, WhatsApp s end-to-end šifrováním)
- ✅ Odkaz pro reset hesla - nechte uživatele nastavit si heslo sám
- ❌ NIKDY ne běžným e-mailem - e-maily nejsou šifrované
- ❌ NIKDY ne SMS - SMS nejsou bezpečné
Dvou-faktorové ověření (2FA)
Pro maximální zabezpečení zvažte implementaci dvou-faktorového ověření, zejména pro administrátorské účty. To vyžaduje kromě hesla i druhý ověřovací faktor (např. kód z mobilní aplikace).
Poznámka: Implementace 2FA vyžaduje instalaci dodatečného modulu. Konzultujte s technickým administrátorem.
Co dělat při podezření na kompromitaci
Pokud se domníváte, že byl některý účet napaden:
- Okamžitě zablokujte účet (Lidé → Upravit → Stav: Blokován)
- Změňte heslo uživatele
- Zkontrolujte aktivitu účtu - jaký obsah byl nedávno vytvořen/změněn
- Informujte ostatní administrátory
- Zvažte změnu hesel i u dalších účtů, zejména administrátorských
- Zkontrolujte logy systému (vyžaduje technické znalosti)
Školení uživatelů
Bezpečnost je zodpovědností všech uživatelů. Školte nové uživatele:
- Jak vytvořit a zapamatovat si silné heslo
- Že hesla nesmí nikdy sdílet s nikým
- Že se vždy musí odhlásit po dokončení práce (zejména na sdílených počítačích)
- Jak rozpoznat phishingové útoky
- Koho kontaktovat v případě problémů se zabezpečením
Často kladené otázky ke správě uživatelů
Doporučujeme minimální možný počet - ideálně 1-2 administrátorské účty. Většinou postačí jeden hlavní administrátor a jeden záložní pro případ nedostupnosti hlavního. Každý další administrátorský účet zvyšuje bezpečnostní riziko. Pro běžnou správu obsahu používejte roli Editor, která má dostatečná oprávnění pro 95% operací, ale nemůže způsobit kritické škody na systému.
Máte tři možnosti: 1) Odkaz pro reset hesla: V seznamu uživatelů (Lidé) najděte uživatele, vyberte "Odeslat odkaz pro reset hesla" - uživatel obdrží e-mail s odkazem a nastaví si nové heslo sám. 2) Změna hesla administrátorem: Upravte uživatele, nastavte nové heslo, zaškrtněte "Vyžadovat změnu hesla při příštím přihlášení" a sdělte mu ho bezpečně. 3) Samoobslužný reset: Uživatel může na přihlašovací stránce kliknout na "Zapomenuté heslo" a požádat o reset sám.
Technicky ano, ale nedoporučujeme to. Smazání uživatele může ovlivnit historii obsahu - u článků, stránek a dalšího obsahu může zmizet informace o tom, kdo je vytvořil nebo upravil. Místo mazání raději účet zablokujte (nastavte stav na "Blokován"). Zablokovaný uživatel se nemůže přihlásit, ale historie zůstane zachována. Účet můžete kdykoli znovu aktivovat. Mazání použijte jen v případě, že účet byl vytvořen omylem a nikdy nebyl použit.
Ano, technicky můžete přiřadit uživateli více rolí najednou (např. Editor + Administrator). Systém mu pak dá součet všech oprávnění z obou rolí. V praxi to ale obvykle není potřeba - pokud má uživatel roli Administrator, má již všechna oprávnění a role Editor by nic nepřidala. Většinou stačí přiřadit jednu roli odpovídající potřebám uživatele.
V seznamu uživatelů (menu Lidé) najdete sloupec Poslední přístup, který ukazuje datum a čas posledního přihlášení každého uživatele. Pokud tento sloupec nevidíte, můžete ho přidat pomocí tlačítka pro konfiguraci zobrazení tabulky. Tato informace je užitečná pro identifikaci neaktivních účtů, které by měly být zablokovány z bezpečnostních důvodů.
V systému CSGOV je samoregistrace vypnutá - pouze administrátoři mohou vytvářet nové uživatelské účty. Toto je bezpečnostní opatření vhodné pro interní systémy a weby veřejné správy. Všichni uživatelé musí být ručně schváleni a vytvořeni administrátorem, což zajišťuje kontrolu nad tím, kdo má přístup k administraci webu. Pokud někdo potřebuje přístup, musí kontaktovat administrátora systému.