====== Logowanie dwuetapowe======

==== Co to jest? ====

Inne nazwy: 2FA lub MFA.

Logowanie dwuetapowe to mechanizm zwiększający bezpieczeństwo kont użytkowników korzystających z modułu WEB systemu LISPAT. Chroni on dostęp do danych przed nieautoryzowanym użyciem nawet w przypadku przejęcia hasła. Dzięki logowaniu dwuetapowemu, oprócz loginu i hasła, użytkownik musi podać jednorazowy kod przesłany na przypisany i potwierdzony adres e-mail lub numer telefony komórkowego. Rozwiązanie to jest zgodne z dobrymi praktykami bezpieczeństwa i stanowi dodatkową warstwę ochrony wrażliwych informacji medycznych.

==== Tryby działania logowania dwuetapowego ====

Funkcja ta może być skonfigurowana na poziomie całego systemu w jednym z dwóch trybów:

  * fakultatywnym – użytkownik może samodzielnie włączyć 2FA dla swojego konta,
  * obowiązkowym – 2FA jest wymagane dla każdego użytkownika i aktywowane automatycznie.

Komunikacja z użytkownikiem w ramach 2FA może odbywać się za pośrednictwem dwóch kanałów:

  * e-mail – kod jednorazowy przesyłany na przypisany adres e-mail,
  * SMS – kod jednorazowy przesyłany na przypisany numer telefonu komórkowego.

W zależności od konfiguracji instytucji, adres e-mail oraz numer telefonu komórkowego mogą być:

    * edytowalne przez użytkownika, lub
    * zarządzane centralnie – tylko administrator (pracownik zakładu patomorfologii) ma prawo do ich zmiany.

Podczas pierwszego uruchomienia 2FA dla danego użytkownika, system może:

  * wymagać potwierdzenia poprawności kanału komunikacyjnego (kliknięcie w link w wiadomości e-mail lub SMS),
  * pominąć potwierdzenie – zakładając, że dane kontaktowe są poprawne i zatwierdzone przez administratora.

To oznacza, że model wdrożenia 2FA w LISPAT może być zarówno **użytkownikocentryczny**, jak i **centralnie zarządzany** – w zależności od polityki bezpieczeństwa instytucji.

==== Włączanie logowania dwuetapowego ====

Logowanie dwuetapowe włącza się globalnie w konfiguracji systemu: Administracja > Konfiguracje > Web > Zabezpieczenia > Logowanie dwuetapowe

Administrator może ustawić jeden z trzech trybów działania:

^Tryb^Opis^
|Wyłączone|Logowanie dwuetapowe jest nieaktywne, system nie proponuje jego włączenia a użytkownik nie ma możliwości samodzielnego uruchomienia logowania dla własnego konta.|
|Fakultatywne|Użytkownik może samodzielnie aktywować logowanie dwuetapowe, ale nie jest do tego zmuszany.|
|Obligatoryjne|Wszyscy użytkownicy muszą aktywować logowanie dwuetapowe – system nie dopuści do logowania, dopóki procedura nie zostanie zakończona.|

Ustawiony tryb wpływa na sposób działania systemu oraz komunikaty pokazywane użytkownikowi podczas logowania.

==== E-mail czy SMS ====

Wybór pomiędzy dwoma systemami przesyłania haseł jednorazowych należy do administratora systemu. Wybrany sposób komunikacji z użytkownikami należy zdefiniować w

<code>Administracja > Konfiguracja > Web > Inne > Kontaktuj się z użytkownikami za pomocą: E-mail / SMS</code>

==== Kto może wprowadzić / zmienić adres e-mail użytkownika ====

^Kto^Model użytkownikocentryczny^Model centralnie zarządzany^
|Administrator|Tak|Tak|
|Użytkownik|Tak|Nie|

Jeżeli użytkownik powinien mieć możliwość edycji swojego adresu e-mail (model użytkownikocentryczny), należy włączyć opcję w:

<code>Administracja > Konfiguracja > Web > Inne > E-mail > Użytkownik może aktualizować</code>

==== Kto może wprowadzić / zmienić numer telefonu komórkowego użytkownika ====

^Kto^Model użytkownikocentryczny^Model centralnie zarządzany^
|Administrator|Tak|Tak|
|Użytkownik|Tak|Nie|

Jeżeli użytkownik powinien mieć możliwość edycji swojego numeru telefonu komórkowego (model użytkownikocentryczny), należy włączyć opcję w:

Administracja > Konfiguracja > Web > Inne > Numer telefonu komórkowego > Użytkownik może aktualizować

===== Proces aktywacji logowania dwuetapowego =====

==== Numer telefonu / adres e-mail ====

W zależności od konfiguracji, proces aktywacji logowania dwuetapowego może wymagać sprawdzenie i (ewentualnie) uzupełnienia adresu e-mail / numeru telefonu użytkownika. 

Zachowanie systemu będzie zależało od przyjętego modelu:

^Model użytkownikocentryczny^Model centralnie zarządzany^
|Jeśli konto nie ma przypisanego adresu e-mail, użytkownik zostanie poproszony o jego podanie.|Jeśli konto nie ma przypisanego adresu e-mail, system uniemożliwi użytkownikowi logowanie|

==== Potwierdzenie adres e-mail / numeru telefonu ====

Jeżeli adres e-mail / numer telefonu został wprowadzony do ustawień użytkownika ponad 1h temu, system LISPAT będzie chciał potwierdzić, że użytkownik nadal ma dostęp do tego kanału komunikacji.

Zachowanie systemu będzie jednak zależało od przyjętego modelu:

^Model użytkownikocentryczny^Model centralnie zarządzany^
|System LISPAT wyśle do użytkownika wiadomość służącą potwierdzeniu, że adres e-mail / numer telefonu jest w posiadaniu użytkownika. W wiadomości e-mail znajduje się link aktywacyjny. Użytkownik musi kliknąć ten link w ciągu 15 minut od jego wygenerowania. We wiadomości SMS znajduje się kod aktywacyjny, który użytkownik musi wpisać w polu formularza.|System LISPAT będzie zakładał, że adres e-mail / numer telefonu jest prawidłowy i pominie procedurę potwierdzania.|

Po potwierdzeniu adresu e-mail logowanie dwuetapowe zostaje automatycznie aktywowane. Od tej pory użytkownik przy każdym logowaniu będzie proszony o przepisanie kodu z wiadomości e-mail lub z wiadomości SMS.

==== Wysyłka kodów jednorazowych ====

Przy każdym logowaniu użytkownika z aktywnym logowaniem dwuetapowym:

  - System generuje jednorazowy kod weryfikacyjny.
  - Kod zostaje wysłany na potwierdzony adres e-mail użytkownika.
  - Użytkownik ma ograniczony czas (np. 5 minut) na przepisanie kodu i zakończenie logowania.
  - Jeśli wiadomość nie dotarła, użytkownik może po 60 sekundach kliknąć przycisk „Wyślij kod ponownie”, aby otrzymać nowy kod.

==== Dezaktywacja lub reset ====

Dezaktywacja logowania dwuetapowego jest możliwa na dwóch poziomach: ogólnym i na poziomie użytkownika.

**Poziom ogólny**

Wyłączenia logowania dwuetapowego może dokonać wyłącznie administrator zakładu patomorfologii w module głównym. Taka interwencja może być konieczna w sytuacjach, gdy:

  * nastąpiłaby awaria systemu wysyłki powiadomień e-mail (serwer SMTP) / bramki SMS

W przypadku wyłączenia logowania dwuetapowego na poziomie ogólnym, wszyscy użytkownicy, wliczając tych, którzy aktywowali logowanie dwuetapowe będą się logować bez jego udziału.

Ponowne włączenie logowania dwuetapowego, uruchomi je na nowo dla wszystkich użytkowników, którzy je aktywowali.

**Poziom użytkownika**

Administrator ma możliwość zmiany adresu e-mail / numeru telefonu użytkownika. Taka interwencja może być konieczna w sytuacjach, gdy:

  * użytkownik utraci dostęp do adresu e-mail / telefonu komórkowego,
  * adres e-mail / numer telefonu został błędnie przypisany.

Administrator ma możliwość dezaktywacji logowania dwuetapowego dla pojedynczego użytkownika w oknie edycji użytkownika. Taka interwencja może być konieczna w sytuacjach, gdy:

  * pojawiły się inne problemy uniemożliwiające logowanie.

<color #ed1c24>Uwaga! W sytuacji tego typu zgłoszeń należy postępować bardzo ostrożnie, ponieważ może to być próba wymuszenia złagodzenia zabezpieczeń w celu dokonania włamania.</color>

Wyłączenie logowania dwuetapowego na poziomie użytkownika będzie miało taki efekt że:

  * W przypadku, gdy logowanie dwuetapowe jest fakultatywne, użytkownik będzie mógł zalogować się bez dodatkowych kodów a następnie będzie mógł samodzielnie włączyć logowanie dwuetapowe - logowanie dwuetapowe nie zostanie ponownie załączone automatycznie.
  * W przypadku, gdy logowanie dwuetapowe jest obowiązkowe, użytkownik będzie musiał przejść przez procedurę jego aktywacji zanim będzie mógł wykonać jakąkolwiek inną aktywność.

===== Zalecany sposób wdrażania logowania dwuetapowego (2FA) =====

W systemie LISPAT istnieją dwa rekomendowane sposoby wdrożenia mechanizmu logowania dwuetapowego (2FA). Wybór metody zależy od stopnia przygotowania danych kontaktowych użytkowników oraz od relacji organizacyjnych z kontrahentami (ZOZ).

==== Metoda 1: Wdrożenie stopniowe (rekomendowane) ====

Metoda polega na **czasowym włączeniu 2FA w trybie fakultatywnym**, przy jednoczesnym zbieraniu danych kontaktowych użytkowników (numer telefonu lub adres e-mail), a następnie – po okresie przejściowym – przełączeniu mechanizmu w tryb obowiązkowy.

Etapy wdrożenia

  - **Włączenie zbierania danych kontaktowych użytkowników.** Mechanizm zachęcający użytkowników do podania numeru telefonu lub adresu e-mail należy włączyć w: <code>Administracja > Konfiguracja > Web > Inne</code>
  - **Włączenie logowania dwuetapowego w trybie fakultatywnym.** Użytkownicy mogą logować się standardowo, ale system umożliwia (i promuje) aktywację 2FA: <code>Administracja > Konfiguracja > Web > Zabezpieczenia</code>
  - Okres przejściowy. W tym czasie użytkownicy:
    - uzupełniają dane kontaktowe,
    - zapoznają się z mechanizmem 2FA,
    - mogą samodzielnie aktywować dodatkowe zabezpieczenie.
  - **Włączenie 2FA jako obowiązkowego.** Po osiągnięciu satysfakcjonującego poziomu kompletności danych kontaktowych, 2FA zostaje włączone jako wymagane dla wszystkich użytkowników: <code>Administracja > Konfiguracja > Web > Zabezpieczenia</code>

Zalety metody:

  - minimalizacja ryzyka problemów z logowaniem,
  - mniejsze obciążenie administracyjne,
  - płynne przyzwyczajenie użytkowników do nowego mechanizmu.

==== Metoda 2: Wdrożenie jednorazowe (centralne) ====

Metoda polega na wcześniejszym uzupełnieniu danych kontaktowych użytkowników, a następnie natychmiastowym uruchomieniu 2FA jako obowiązkowego.

Procedura wdrożenia

  - **Wygenerowanie listy aktywnych użytkowników.** Należy przygotować zestawienie użytkowników aktywnych w określonym okresie (np. ostatnie 12 miesięcy), z podziałem na ZOZ-y: <code>Raporty > Inne > Lekarze zlecający – numery kontaktowe / adresy e-mail</code>
  - Weryfikacja danych przez kontrahentów (ZOZ). Wygenerowane listy należy przekazać do ZOZ-ów z:
    - uzasadnieniem wdrożenia 2FA,
    - prośbą o:
      - wykreślenie nieaktywnych użytkowników,
      - uzupełnienie numerów telefonów lub adresów e-mail dla użytkowników aktywnych.
  - **Uzupełnienie danych w systemie LISPAT.** Po otrzymaniu zwrotnie poprawionych list, dane kontaktowe należy wprowadzić do systemu: <code>Administracja > Zarządzaj użytkownikami</code>
  - **Włączenie 2FA jako obowiązkowego.** Po zakończeniu uzupełniania danych mechanizm 2FA uruchamiany jest w trybie wymaganym: <code>Administracja > Konfiguracja > Web > Zabezpieczenia</code>

Zalety metody:

  - szybkie osiągnięcie pełnego poziomu bezpieczeństwa,
  - pełna kontrola administracyjna nad procesem.

Wady metody:

  - większe obciążenie organizacyjne,
  - zależność od terminowej reakcji ZOZ-ów,
  - wyższe ryzyko braków danych przy wdrożeniu.