Připomnělo mi to starý vtípek.
Síla hesla se měří počtem draků:
Enter new password:
> dragon
This is not strong enough. Minimum one uppercase character needed:
> Dragon
This is not strong enough. Minimum one number needed:
> 1Dragon
This is not strong enough. Minimum one non-aplha character needed:
> 1Dragon!
This is not strong enough. Minimal length is 9 characters:
> 2Dragons!
This is strong. Your password has been successfully changed.
Tak to mi nedá a musím reagovat...
Není to tak dávno - zažil jsem před rokem a nejspíš stále platí.
ERP systém (účetnictví, majetek, sklad...) od firmy Gordic (klidně je prásknu). Jejich levný "souborový" systém je protlačován do "malé" státní správy a příspěvkových organizací.
V jejich systému je možné mít IDENTIFIKACI UŽIVATELE POUZE HESLEM (a dokonce je to konzultanty doporučený způsob a default způsob přihlašování!) A heslo vlastně není heslo, ale číselný PIN. A konzultanti firmy doporučují používat právě 4-místné číslo.
Důsledky:
- Do některých subsystémů jde zadat dva různé uživatele se stejným PINem (heslem). Když se tímto PINem přihlásí, můžete si hodit kostkou, pod účtem kterého z nich a s jakými přístupovými právy budete pracovat.
- Jeden ze subsystémů (tuším Majetek) zvolit stejné heslo nepovolí, ale zase na duplicitu upozorní. ;-) Takže získáte (i nechtěně) přihlašovací údaje stávajícího uživatele.
- Brute force útok na přihlášení na 4-místný PIN je možný, systém neomezuje počet chybných přihlášení. Navíc ("osvětová" činnost a výchozí nastavení od konzultantů) stačí obvykle zkusit 1111, 2222, ... 9999 a něco z toho nejspíš vyjde. 9999 bývá nejvyšší úroveň práv.
A ještě něco navíc: Pokud si uživatel změní heslo (PIN) a použije v něm nečíselné znaky, změna mu projde. Ale už se do systému nepřihlásí (ani starým, ani novým heslem).
Je něco takového možné v roce 2022, 23? Je.
Tak SAP asi také nebude procházka růžovým sadem... z důvodu jeho robustnosti a tajuplnosti.
Gordic má minimálně dvě řady produktů - jedné říká "souborová" (má nějaký vlastní "databázový" systém) - o té mluvím. Druhé říká SQL. A ta souborová verze je navíc v lokální a síťové variantě. Možná, že ta SQL verze je ok, s tou jsem se nesetkal.
Ta souborová verze má jako kouli u nohy kořeny v 90. letech. Vypadá jako první pokus někoho, kdo slezl z mainframu s dávkovým zpracováním, a učí se psát aplikace pro Windows 3.0. A dělá spoustu špatných designových rozhodnutí, protože je zatížen terminálovým přístupem. Nicméně instalace v organizaci, o které mluvím, vznikla před 6-7 roky. Čili tato příšerná verze se nabízela a prodávala během posledních deseti let.
Nemám zvláštní důvod Gordic pomlouvat - setkal jsem se s ním zatím jednou a naposled v jedné příspěvkové organizaci. A musím říci, že spousta problémů v té organizaci byla dána tím... že Gordic.
A netroufl bych si psát pomluvy, kdybych si řečené prohřešky proti správě hesel a zabezpečení sám několikrát neověřil. Zkoušel jsem to řešit i jako chyby s Gordicem... marně.
A to jsem se ještě nezmínil, že konzultanti Gordicu měli pro přihlášení do systému backdoor přístup ("tajný uživatel", který ve správě uživatelů nebyl vidět). A že uživatel provádějící rutinní účtování musel dostat administrátorská práva.
Tím jsme s vrátili zpět k tématu hesel.
.
6. 12. 2023, 19:32 editováno autorem komentáře
Shodou okolností jsem si nedávno měnil heslo na PayPalu a vypadalo to velmi podobně. Akorát, že místo heslo je příliš krátké, mi to neustále psalo heslo je příliš dlouhé...pak pro změnu, že jsem použil nepovolené znaky. Pořád nechápu, jak takové hloupé omezení můžou v roce 2023 existovat.
A vypadá to, že jednu dobu dokonce delší hesla v tichosti zkracovali: https://www.reddit.com/r/cybersecurity/comments/10g22mr/paypal_silently_truncates_passwords_to_20/
Super byly kdysi taky hesla na Steamu - člověk tam mohl zadat cokoli, a ono to na pozadí z hesla tiše vyházelo všechny "speciální" znaky a zkrátilo ho to na maximální délku 64. Takže člověk si myslel, že má (pro ilustraci) silné heslo "příští hráči", ale ve skutečnosti uložené heslo bylo jenom "pt hri".
(No a o bezpečnosti hesel tady na rootu, kde mi ho ochotně pošlou zpátky "připomínacím mailem", se taky asi nemá smysl rozepisovat)
Jak jsem to cetl, tak si rikam, treba ma nejaka respektovana entita (NIST?) pro toto guidelines? Kdyby to nekoho zajimalo, tak ma.
> I když v dnešní době dobře víme, že optimálním zabezpečením přístupu do aplikace je pro běžného uživatele dvoufaktorová autentizace...
K obdobnym prohlasenim jsem znacne skepticky. Spis by me prekvapilo, kdyby tohle za 5/10 let porad platilo.
Jen doplním, že jsme o tomhle aktualizovaném standardu pro přihlašování psali už v roce 2017. Je to známá věc, kterou bohužel nedodržují zdaleka všichni. Pořád od uživatelů kolem sebe slýchám, jak jsou nuceni ke zbytečné pravidelné změně hesel.
Chcete příklad ještě větší bezpečnosti?
Což taková povinná pravidelná výměna hesel, kdy pro změnu hesla potřebujete dvoufaktorovou autentizaci?
Jasně, to heslo je tak nějak lépe chráněné, tedy možná trochu důvěryhodnější - ale tak nějak se neřeší, co v případě, kdy uživatel to heslo napíše viditelně před kolegy do nesprávného políčka (toho, kdo vymyslel přihlašovací formulář, kde je jen jedno pole a to druhé se objeví samotné na další stránce po odeslání prvního, bych na chvíli pověsil do hodně studeného průvanu), nemá jednoduchou možnost je rychle změnit, nemá-li přichystaný jinak nepoužívaný token...
A tak hlavne to nedodrzuji ani na NUKIBu. Ten to dokonce cpe do vyhlasek jako explicitni povinnost hesla menit - a samozrejme to chteji nacpat i do provadecich vyhlasek k pripravovane transpozici NIS2, tzn. rozhodne nekopiruji trendy v teto oblasti, naopak zachovavaji zlozvyky z minulosti.
No a kdyz je to ve vyhlasce... tak obcas se v nejake organizaci najde chytrak, co vynucenou periodicitu nastavi na kratsi interval, nez je pozadovano - protoze kyberexperti z uradu stanovi jen horni mez, ale spodni si muze kazdy urcit dle sve libovule. A samozrejme u toho vykladaji, jak pravidelne zmeny hesel zvysuji bezpecnost.
Problem je, ze vyplody z NUKIBu se v nekterych situacich musite ridit, i kdyz tuto organizaci nerespektujete. Ted takovych subjektu neni az tak moc - ale s NIS2 ten pocet docela naroste. A treba pokud jen provozujete 10 tisic domen, uz se z vas stane subjekt, na ktery dopadnou vyssi povinnosti... i kdyby tech 10 tisic domen byly jen blogy o kockach, kralickach atd... ;-)
Chtělo by to nějaký mechanizmus jak úřad za totální nesmysl zažalovat, aby měl pak povinnost se veřejně omluvit a nasypat si za své pochybení popel na hlavu. Pan ředitel by pak měl napsat deseti stránkovou slohovku na téma, co všechno udělal, aby se to neopakovalo :) To by si pak dávali mnohem větší pozor na to s jakýma kravinama přijdou.
Tohle cislo je v draftech provadecich vyhlasek z NUKIB. Ono v NIS2 to primo neni - ale taky tam je napsano, ze nektere provadeci akty komise prijme do 17.rijna 2024 - aneb nas urad mozna i tak trosku predbiha.... a bohuzel se bavime primarne o tom, ze EU tady nebrani stanovit na narodni urovni vetsi prisnost, pricemz NUKIB opakovane neskryva svou ambici v ramci transpozice NIS2 "vyuzit prilezitost" a prisneji zregulovat tech veci u nas vic - treba i ten dodavatelsky retezec, ktery NIS2 vubec neresi. A to mate i ve verejnych vyporadani pripominek - na NUKIBu jsou bytostne presvedceni, ze regulovat veci vic, nez nam uklada EU je v naprostem poradku.
Ono tak nejak vseobecne je v cesku zvykem v ramci transpozice EU smernic toho "zahrnout vic" - ono se to ve finale kdyztak hodi na "zlou EU", ono malokdo se tim bude fakt do detailu prokousavat a overovat to, co prislo z unie a co jsou jen lokalni vymysly....
Ad cyklická výměna je problematická - user pak často sice splní komplexitu a neopakovatelnost, ale zakomponuje tam vzorec, takže jednou uniklé heslo už lze kdykoliv sestavit algoritmem. Např. povinnost měnit každý třetí měsíc = zakomponujete roční období, po měsíci = název měsíce apod.
A k té komplexitě je ještě problém v návodu: Musdí obsahovat jedno velké, jednu číslici a jeden znak = hromada hesel začínají velkým písmenem a končí interpuknčním znakem (tečka) = ihned se sníží entropie :-)
Řešil jsem vážně míněný dotaz uživatele, co má dělat, když jeho heslo typu Jouza-Listopad2023-banka
nelze zadat, když obsahuje velká/malá/číslice/paznaky a je delší než předepsaných 14 znaků.
(Kupodivu tím hlavním důvodem, proč to heslo neprošlo, byla délka: maximum 22 znaků.)
A kdysi dávno jsem zažil i případ, kdy vedoucí na pracovišti dohlédla vždy první pracovní den v měsíci, na to, že si všichni změní heslo - na Password-2024-Led
.
hlavně problematická je komplexnost hesla, kam to povede? Když si člověk dá do grafu jak se ty požadavky zvyšovaly, za chvilku to přesáhne naše schopnosti.
Nechat složité heslo generovat uživatelem je ten největší IT problém co v současnosti máme.
Pravidelná změna hesla je jen berlička, kdyby se heslo pořád nemuselo posílat po síti v plaintextu druhé straně (TLS balí jen na cestě), nemusel by se hledat rovnák na ohýbák, snížila by se šance na únik hesla. Dostatečnou entropii mají zaručovat generovaná data a klíče a ne vymýšlené heslo z hlavy.
Ano a prave i proto se uzivatele nemaji nutit k jejich periodickym zmenam, ze? ;-) A vy sam to jinde obhajujete. Ono ty periodicky vynucovane zmeny hesel v hlavach uzivatelu samy o sobe vygeneruji ve vysledku tak trosku gulas, ze? :-)
těžko posuzovat bez kontextu. Není heslo jako heslo, může to být třeba důsledek toho, že heslo se váže k certifikátu s omezenou platností, které je součástí HW klíčenky/vstupní karty. Pravidelná změna hesla se může vázat i na proces fyzické přítomnosti někde, nemusí se ani vynucovat, že nové heslo musí být jiné atd. (viz třeba pin k občance).
Někdy ty omezení plynou i z technologií, které se používají (nemožnost evidovat poslední použití hesla a nutnost pravidelně aktualizovat hashovací algoritmus). Ne, všechny typy hesel se validují pouze online a můžeš zajistit rate limiting a uzamykání.
V tom příspěvku jsem narážel na forward secrecy v rámci šifrování, kdy dneska je norma symetrické klíče v rámci zabezpečeného spojení měnit v hodinových intervalech jako obranu proti zpětnému louskání.
Můžeme se o tom bavit teoreticky jak chceme, ale prakticky se IT systémy budují v nějakém prostředí, které mají nějaká svá specifika, životní cykly a nemůžeš ze dne na den to změnit jakkoliv.
Ne všechno je webová stránka s přihlašovacím formulářem, víme? Miluji, když okamžitě víš, že to je špatně, aniž bys aspoň na chvilku připustil, že rozmanitost systémů může být různá a NĚKDY to může dávat smysl.
Ale my se bavime o tom, ze jsou politiky, co tu zmena hesla proste tupe vynucuji ciste jen na zaklade casoveho kriteria.
A spoustu veci, co zminujete jsou v konecnem dusledku jen zpusoby, jak si ti takzvani bezpecaci na ukor uzivatele obchazi jiny svuj problem (pocinaje tim, ze si vlastne ani neumi pohlidat potencialni unik tech password-hashu). Aneb misto toho, aby bezpecak hlidal incidenty ve sve infrastrukture jen buzeruje uzivatele. Protoze to je pro nej jednodussi.
Ale porad jsme u toho, ze ty limity hlavy jsou nejake - a typicky u beznych uzivatelu na toto i ponekud mensi, nez treba u nas geeku. Ktere ve vysledku vedou k nezadoucimu chovani, ktere bezpecnost naopak dosti snizuji. Bohuzel tem takzvanym bezpecakum tohle stale nedochazi. Pripadne se projevi jejich alibismus stylem, ze to uz neni jejich problem, ze? :-) Ona i ta pravdepodobnost, ze se ztrati papirek s heslem je asi vetsi, nez ze fakt uniknou ty hashe. A navic to pak ma nabyvatel takoveho listecku jednodussi, nemusi ani nic lamat...
Tak si stěžuj u těch politiků. V rámci připomínek k transpozici NIS2 přišla pouze jediná, které se nelíbilo těch 18 měsíců, nikdo jiný k tomuhle oficiálně nevznesl podmět.
Hodně z těch věcí, ale přichází s chování fyzického světa, kde je hromada věcí také vázána na čas a mají expiraci. IT systémy tohle musí respektovat, protože změna není tak flexibilní.
Pořád mluvíš o situaci, kdy máš online systém s nějakým realtime přístupem, centralizovanou databází a můžeš všechny ty fičůry řešit. To ale není jediné užití IT, máme tady řadu ostrovních systémů (řadu jich danou zákonem), máme tady řadu fyzických omezení, máme tady řadu předpisů, které se musí v těch systémech dodržet. Není to pouze rozhodnutí "neschopných bezpečáků".
Samozřejmě máš prvadu, dělat expiraci hesla u online systému je šílenost a byla to šílenost vždycky. Tam máš jiné nástroje k dispozici.
Tohle je zasite ve vyhlaskach a ty jeste oficialne v legislativnim procesu ani nejsou - a mimoto je politici (tedy poslanci, senatori) ani neschvaluji, ze? ;-) Pripominkove rizeni zvlaste kolem vyhlasek je spis jen o tom, ze se mezi sebou dohaduji urednici z jednotlivych uradu (pripominkovych mist)...
Zrovna u ostrovnich (datove s okolim nepropojenych) systemu tuplem neexistuje duvod, proc buzerovat s periodickou zmenou hesla a v praxi to konci tim, co se tu popsalo opakovane - hesla napsana na listecku, v notysku, nalepena na monitoru (treba ve zdravotnictvi k videni bezne). Tady tak trosku navic sam argumentujete kruhem - ohanite se predpisy a vyhlaskami, co ty nesmysly urcuji jako povinnost - a soucasne tvrdite, ze jinak to nejde. Maximalne vydate dalsi predpis, co formalne zakaze ty hesla do notysku zapisovat - obycejny alibismus, ze? :-) Ale furt narazime na to, ze ta lidska hlava na tohle proste neni nafukovaci... a to vy pri obhajobe toho "jinak to nejde" stale prehlizite.
máš tady řadu věcí, které mají časovou platnost omezenou zákonem (třeba zminěné občanky, licence a povolení, tam všude se to digitalizuje a musíme se nějak vypořádat s prací s hesly/tokeny/klíči), stejně tak je je vhodné omezovat časovou platnost všude, kde je nějaká kryptografie (viz třeba TLS nebo časová razítka, u nich ti nevadí, že mají omezenou platnost?).
Pořád mluvíš o heslech, který uživatel někam zadává, ale ten problém je širší, já vůbec nemluvím o heslech, který zadávám někam do formuláře a přihlašuji se s nimi. Ono se to ale vztahuje i na hesla, který nikdy neopustí nějaké zařízení a uživatel je ani nemusí nikdy vidět, různé tokeny či jiné preuath věci, technické účty pro integrace. Ten požadavek na platnost hesla 18 měsíců totiž platí i pro technické účty a různé předgenerované tokeny, privátní klíče (vč. klíčů pro ssh), což je daleko větší zásah než platnost osobního hesla pro uživatele.
Třeba u HW tokenu se uživatel může prokázat pouze pinem, ale součástí HW token je master heslo, který má svoji platnost (resp. tu platnost má třeba certifikát v tokenu).
Vztahuje se to celé i třeba na osobní certifikáty, které vydáváš zaměstnancům (platnost 18 měsíců se vtahuje i na ně). TLS postupně snižuje dobu platnosti a 2 leté certifikáty dnes už prohlížeče nemají rádi, to celé se děje právě kvůli bezpečnosti a ty mi tady argumentuješ, že přece neomezená platnost "hesla" je dobře. Ne není a není to bezpečné, znovu zdůrazňuji, že se nebavím o osobních heslech, který zadáváš do webového formuláře na přihlášení, ale ten obor "hesel" je daleko širší než se zdá.
Ano, my se porad primarne bavime o expiraci hesel, ne o expiraci technickych prostredku okolo. Expirace hesel je proste spatna vec, kterou nejde obhajovat expiraci technickych prostredku okolo. A ano, IT/bezpecaci maji resit ty technicke prostredky - ne buzerovat s temi hesly.
Zrovna u tech technickych prostredku se snadno muze narazit na to, ze se neco rychle rozjebe, ostatne u statni spravy to mame ukazkove videt - vymeni se certifikat u NIA a nekde se s tim dlouhe hodiny... aneb portal prazana byl celych krasnych 15 hodin out... defacto kvuli jednomu certifikatu :-) To same hrozi i u tech technickych uctu (kdy v danem systemu nemusi byt uplne trivialni zmenu provest) . Muzeme se stokrat bit v prsa, jak je to technicky spravne delat - ale koncovou obeti je zase uzivatel, ktery dojede na to, ze formalne na prvni pohled spravny postup nekde v praxi selze. A cim slozitejsi to bude, tim vetsi pravdepodobnost nejakeho selhani...
Co se certifikatu tyce - ano, zkracuje se platnost nekterych certifikatu, ale rozhodne se treba nezkracuje platnost certifikatu treba u certifikacnich autorit ci treba komercnich kvalifikovanych certifikatu pro el.podpis, rozhodne neni univerzalni pravda, ze by se na hulvata zkracovalo vsecko. U tech koncovych certifikatu typicky pouzivanych pro weby je to primarne proto, ze ve velkem meritku moc nefunguji kontroly revokacnich seznamu. Coz ale neimplikuje, ze to je obecne nefungujici metoda.
A samozrejme, pokud chcete resit treba SMTP/DANE, narazite na jiste "problemy"... a vite jak se to podle nekterych doporuceni v realu resi? ;-) --reuse-key
do certbotu... takze se toci porad stejny privatni klic a nespadnete do bolehlavu s aktualizaci DNS pokazde (a vyvolanymi moznymy problemy s dorucovanim posty), kdyz vymenite certifikaty. :-) Koza se nazere, koza zustane cela - certifikaty se meni... ale zaklad maji porad stejny. Coz samozrejme muzete genericky delat dle libosti, kdyz si vyrabite CSR. To same mame treba i u DNSSECu... kdypak se naposledy menil KSK u .cz? Kdy naposled rotovali klice na gov.cz? ;-) O NUKIBu nemluve, ten to "alibisticky" radsi hodil na komercniho hostera (co jeden keyset pouziva pro vsechny sve zakazniky). Podivejte se, kdy klic naposledy menilo vnitro. Aneb opet ta teorie versus praxe - a tady fakt muzeme natvrdo rict, ze z uradu kazou vodu a sami pijou vino. Po osmnacti mesicich to fakt nemeni...
vytáhl jsi sem diskuzi, kterou jsme měli na lupě, kde jsme se bavili právě o tom nařízení na expiraci hesla. Je důležité si uvědomit, že to nařízení nepokrývá pouze osobní hesla uživatelů/zaměstnanců/lidí, ale právě i všech technických účtů a propojení, a to je právě věc, kterou obhajuji jako důležitou a proto jsem ti i psal, že bezpečnost v IT je právě založena na rotování "tajností" a kterou při návrhu nějakých systémů musíme komplexně řešit, expirace osobního hesla někdo v IDM je obecně nesmysl, to s tebou souhlasím, ale to je věc, o které nikde nerozhoduji, to je často politika.
DANE mě mrzí, fandil jsem tomu a je škoda, že se prostě zatím neprosadilo.
To víme, že technická kvalita těch státních IT systémů je do očí bijící. Nám nezbývá asi nic jiného než na to pravidelně upozorňovat, zmiňovat.
A jaky technicky smysl ma periodicka rotace hesla, co pouziva treba aplikace pro pristup k databazi? Pricemz ten ucet muze klidne z te databaze jen cist, mit omezeny view na nektere konkretni data a kde samotna databaze neni ani primo pristupna odjinud nez ze stroje, kde ta aplikace bezi a kde spojeni k te databazi samo o sobe sifrovane? Pokud mi takove heslo unikne a data z te databaze zneuzije, pak mam podstatne vetsi problem - s celym strojem. A ten problem nezachrani to, ze jen periodicky vymenim hesla technickych uctu.
Tady se v obecne rovine bavime o tom, ze nekdo vymysli jednoduse kontrolovatelny nesmysl, ktery v ramci te jednoduchosti proste aplikuje vsude. Namisto seriozni analyzy rizik a s tim spojenych relevantnich - smysluplnych - opatreni.
DANE obecne vzato narazi na svou slozitost v praxi (provoze) - tady je prave problem to DNS - ano, jde zmenu relevantnich zaznamu zautomatizovat, ale ne kazdy to umi a ne v kazdem prostredi je to trivialni vyresit. Ono technicky co se prenosu zprav tyce je treba X.400 navrzene take lepe, nez hojne pouzivane SMTP. Ale neuchytilo se to moc zrovnatak - prave pro svou slozitost (byt pamatuji doby, kdy treba i MS Exchange to drive pouzival nativne).
"těžko posuzovat bez kontextu" no právě na to řečník naráží. Že se kontext vůbec nebere v potaz a plošně se stále memoruje:
- periodicky měnit heslo = lístečky, vzorec
- komplexita = stejný vzorec u různých služeb
- generátor hesel = nelze používat všude (zkuste změnit heslo do domény generátorem :-p) = lístečky, vzorec
A proto neustále je třeba o tom mluvit, co vlaatně navrhujete: kontext mají vnímat i pracovníci bezpečnosti = neděje se tak, důležitý je zážez v politice firmy
správce hesel je podle mě jen takový mezičlánek, který vyplňuje místo, než se forma přihlašování změní. Uživatelsky přijatelný je asi pin, master heslo a otisk prstu/obličeje, jak to používáme u mobilních aplikací.
Nesmysl je, že se heslo, které je hodně cenné musí posílat v textové formě po síti druhé straně, která ho naprosto různě veme a zpracuje, často stejné textové heslo putuje ještě do databáze. Jak v takovém prostředí chceš zajistit, aby neuniklo?
SSH klíč je super, privátní klíč (jako master heslo) nikdy neopustí klienta, údaje, které po síti putují je možné teoreticky i odposlouchat a komunikace je pořád docela bezpečná. Můžeš mít libovolné množství klíčů a sám si spravovat, které jsou pro co. Škoda neodolnosti proti brute-force útoku na získaný šifrovaný privátní klíč. A škoda, že webauth přišel až teď, měl tady být od počátku a věci jako http digest (RFC 2069) neměly nikdy vzniknout.
Po bitve je kazdy general :-) Aneb RFC 2069 vzniklo na pocatku roku 1997 - v ty dobe se spousta veci delala jinak a tehdy se to jako v zasade bezpecne reseni jevilo. Tehdy se sotva zacinalo mluvit o tom, ze kolize v MD5 muzou byt problem... a dalsich par let trvalo, nez to prokazal. A je to jen o dva roky mladsi RFC, nez SHA1... a kdepak jsme dnes :-) Vsak i format tech klicu se meni, aneb kdo by dnes sahnul po DSA... v dobe vzniku RFC 2069 bezne pouzivanych? :-) Jasne, dneska by clovek analogicky mohl rict, ze veci jako MD4, MD5, RIPEMD, SHA1, DES... vlastne nemeli nikdy vzniknout :D
Ale ona to nebyla z pohledu dane doby chyba. V dane dobe to bylo reseni dostacujici a technicky zvladnutelne. Nezapominejte, ze to byla doba, kdy jste na stole mel krabici s mensim vykonem, nez si dnes tahame po kapsach a dnes uz i na naramku na ruce, ze? :-) To je proste evoluce, nenazyval bych to chybami.
No tak v dalším článku čtu:
"... používejte druhý faktor odolný proti phishingu, kterými jsou hardwarové FIDO tokeny nebo softwarová obdoba takových klíčů ve formě vašeho telefonu spojeného s biometrikou. Jejich použití je velmi jednoduché a je to to nejbezpečnější, co dnes máme k dispozici. "
Je to velmi jednoduché, ale překvapivě v populárních internetových magazínech je takových článků fakt málo.
Jestli bezpečáci chtějí, aby se praktiky zlepšily, tak musí psát populární články na weby typu idnes a podobně, kde bude ukázáno jak se to dá jednoduše udělat.
A ani tady na rootu moc takových článků není.
Já vždycky říkám: bezpečnost je prima věc, ale dostupnost je mnohem lepší. Ono se nejednou stalo, že bezpečáci tak dlouho buzerovali s bezpečností, až se to přehnalo a pak se tam nemohl dostat ten, co měl náhle řešit problém a naopak ten, kdo by mohl pomoct s přístupem, měl zrovna dovolenou (protože bezpečák si vynutil nastavení, o kterém se dozvěděl, že zvyšuje zabezpečení, akorát že to nastavení způsobuje, že když už vám to heslo vyprší, tak si ho nemáte jak změnit).
Bezpečák do baráku, hůl do ruky. Nejlíp hromovou. Já to ještě snáším, i když začínám prskat jak vodou zalitej rozpálenej olej, ale muj brácha prostě nedokáže pochopit, proč po něm furt někdo v rámci zabepečení chce přepisovat odněkud někam nějaký zapráskaný kódy, „koho tohle jako baví?“. No, mně to asi přestane časem bavit taky a na IT se vykašlu, ať si to spravuje někdo, koho to fakt baví.
Takhle jsem odmítl v práci dělat na projektu, kde když po člověku klient něco chce, tak musí ten člověk nejdřív oficiální žádostí poníženě klienta požádat o přístup, ten je mu na určitou dobu (jako je třeba hodina) povolen (když to nestihneš, musíš žádat znovu, mezitím se všechno odhlásí) a je znemožněno používat clipboard. Tak jsem řekl, že mám jen jedny nervy a že tohle ať si v tý příkazový řádce dělá někdo, kdo neni takovej nervák jako já, že jim na to zkrátka s**u a jestli mě za to chtěj vyhodit, tak ať si pospíšej, ať se navzájem neokrádáme o čas. Nevyhodili a na tom projektu nedělám pořád, dělám na jiných, kde neni bezpečák psychopat.
Ja ti to popisu z druhy strany ju?
Takze mam u zakaznika nasazeny ipsec. Vsude (tzn vcetne interni site). Jednoduse proto, ze nehodlam resit, ktera aplikace umi nebo neumi sifrovat aspon hesla ... o datovy komunikaci radsi nemluve ...
Chtelo se od jednoho dodavatele at prevede svoji aplikaci na novou verzi. A straaasnej problem, ani po mesici mu to nefungovalo, a samozrejme za to "moh ten ipsec a dmentni konfigurace uplne vseho ..." a vis v cem byl ve vysledku problem, na zaklade kteryho sem ho poslal dorite? On, pan nejchytresi a naprosto negramotny si nedokazal v logu precist, ze jaksi na druhe strane neni dostupny prislusny port, ne proto, ze nejaky ipsec, ale proto, ze mu proste nebezi ta sluzba. Psalo mu to tam kazdou minutu.
Podotykam, ze nejsem priznivcem nejakyho hazeni klacku, ale podobne tim klacem s potesenim natru.
Ono to neni spatne, kdyz tu bezpecnost nekdo resi - ale chce to proste u toho taky premyslet - a to i nad situacemi, ktere muzou byt rekneme... okrajove pripady, coz se malokdy deje. Kdysi pred lety takhle nejaky "bezpecak" resil EZS v nejmenovanem baraku... klasicky dvere se cteckou cipu, zadny turniket. Koule z obou stran, dvere zevnitr slo otevrit take jen kartou. Ale kamsi se nastavila podminka, ze dvere ve smeru ven muze otevrit jen karta, co prosla dovnitr.... fungovalo to skvele, dokud jednoho krasneho dne nejvyssi pan sef neprosel dovnitr s kolegou - ale pak tam zustal a uz nemohl ven, protoze si nepipnul :D Podotykam, slo o kancelare, zadne specialni rezimove pracoviste. A co na takove reseni by rikali hasici radsi neresme... :-) Kazdopadne - vysledkem bylo, ze se tahle blbost z EZS vyhodila. Jo, asi tam slo rozbit sklicko, vyndat klicek... ale to jsou presne situace, co nechce clovek resit, kdyz mu za zadkem hori. Ono je to ve finale stejne jako "klasicke" zamykani v bytovych domech na klic... ktere stale na mnoha mistech preziva a kdy na vas ti duchodci kolem koukaji jeste pres prsty, kdyz za sebou tim klicem v zamku neotocite.
Ano, a i tady se da najit paralela k uvazovani v NUKIBu.... oni vam ten barak dokonale zamknou, tak ze nikdo neprojde nikdo ani dovnitr, ani ven... ale to ze tam mozna chcipnete, kdyz zacne horet uz proste neresi :-) Protoze prece kdyz tim klicem otocite a dvere zamknete, tak ten barak lip chranite. To je presne ta argumentace kolem password hashu a jejich hypotetickych uniku... ktera oduvodnuje ty periodicky vynucovane zmeny hesel. Stejne tak vam v tom baraku budou oduvodnovat, ze mate otocit klicem v zamku... kdy soucasne se neinvestuje do (klidne mechanickych) reseni, co tenhle problem vyresi taky - zvenci odemykate, zevnitr utecete stisknutim kliky... proste takovi ti klasicti "bezpecaci" s klapkama na ocich, co resi jen ten svuj jeden jediny problem a pritom hledaji zpusoby, jak to udelat pro sebe jednoduse (a levne).
Ono je to ve finale stejne jako "klasicke" zamykani v bytovych domech na klic... ktere stale na mnoha mistech preziva a kdy na vas ti duchodci kolem koukaji jeste pres prsty, kdyz za sebou tim klicem v zamku neotocite.
Když vám do baráku pravidelně v zimě lezou bezdomovci, které zastaví jen zamknuté dveře a ještě nikdy nehořelo, tak se na to logicky budete dívat jinak... Důchodci prostě upřednostňují chranu před aktuálním nebezpečím, které se reálně děje (byť třeba jen u jejich přátel a ne přímo u nich v domě) před hypotetickým nebezpečím (pochybuji, že v jejich sociální bublině pravidelně hoří bytové domy).
30. 11. 2023, 08:41 editováno autorem komentáře
Na tohle funguje lék v podobě pravidelné kontroly a následné pokuty od hasičů.
Nicméně ze zkušenosti vím, že
a) bezdomovci se do baráku dostanou, byť zamykáte - stačí se připojit k nějakému školou povinnému dítku a ještě ho pochválit, že za sebou zamklo,
b) zkušenému zloději stačí na odemčení FAB-ky planžetou mnohem kratší doba, než některým (mně) odemknutí klíčem (a ještě ani nepoškodí zámek ani v něm nezalomí klíč),
c) kupodivu poměrně velký díl čipovách zámků
vchodových dveří (těch starších) snadno a rychle překoná elektronická hračka za 10 dolarů.
Hasicum je to uplne jedno.
Stejne tak nesmis mit zamceny vystupy na strechy, atd atd atd. Kdyz sem tohle namital na jedne ze schuzi, tak mi dotycny tvrdil ze ten zamek prece snadno utrhnu, tak sem ho vyzval, at mi to ukaze ... v situaci kdy nehori a neni tam zadny kour, ze skodu klidne zaplatim, a az ten zamek utrhne, tak ze to zcela jiste bez problemu zopakuje v chodbe, do ktere hodim dymovnici.
Ad zamceni domu, na to tema sem pred par lety s jednou duchodkyni ved zajimavou debatu. Nejdriv se do me navezla ze sem nezamkl, takze sem se ji marne pokusil vysvetlit, ze rozdil mezi vypadenim nezamcenych dveri s kouli zvenku a zamcenych je tak maximalne par kilogramonewtonu navic ... (a o dost vetsi skoda). Taky nechtela pochopit, ze z 10teho podlazi vazne nehodlam behat do prizemi, kdyz nekdo prijde, protoze zamcene dvere samozrejme nejde otevrit elektricky.
Pak sem se ji zeptal, co bude delat, kdyz bude horet... pochlubila se, ze vyskoci z okna. To okno v prizemi je cca 4m nad urovni terenu pod nim, tak sem po ni chtel at mi to ukaze, kdyz je ve svych 70ti takova srnka, ze to chci videt....
Rozdíl mezi odemčením (planžetou) dveří zabouchnutých, zamčených a zamčených na dva západy je v řádu sekund.
Nám se do baráku pravidelně dostával zloděj. Měli jsme i kamerový záznam. Odemknout vchodové dveře (jen zabouchnuté, s koulí) zvládl za sedm sekund, odemknout dveře ke sklepům (zamčené) za dvanáct sekund. Z toho usuzuji, že potřebuje dvě sekundy na nasazení planžety a pět sekund na otočení.
Tenhle problém měla strašně dlouho budova KB u Prašné brány, když tam člověk šel mimo pracovní dobu, nejednou jsme tam uvízli a museli spustit alarm, abysme se dostali ven.
Stejně tak to byl problém, když si člověk šel pro novou kartu a dostal jí uvnitř, pak nebyl záznam o jejím příchodu, naštěští, když fungovala recepce, šlo to řešit.
Ta periodická změna hesla se řeší nejen kvůli úniku hashe, ale pokud je z hesla derivovaný šifrovací klíč, který potřebuješ pravidelně rotovat. Bohužel opět, nápad, kdy se šifrovací klíč derivuje z uživatelského heslo přímo je z dnešního pohledu blbost, s kterou teď musíme bojovat.
Abychom nebyly v rozporu, také nesouhlasím s plošným nařizováním platnosti hesla, to nemá žádnou technickou oporu, ale chtěl jsem ti ukázat, že IT systémy to občas potřebují.
A to si představte barák, do kterého můžete vstoupit předem, zadem, přes garáže + ještě tam jsou vnitřní dveře od garáží dovnitř, atd. Zpočátku stačil jeden klíč, ale pak kdosi prosadil, že je potřeba to rozdělit, takže to nahradily různé klíče, v počtu pěti.
Což o to, můžete je mít na jednom kroužku (pro ajťáky: to je něco jako password manager
;oD ) - jen trochu žerou systémové prostředky (zatěžují kapsu).
Pak následovala fáze očipování dveří, čímž se elegantně snížil počet potřebných klíčů na dva plus čip. Zároveň ale bezpečnostní oddělení
(v osobě zvědavé sousedky důchodového věku) protlačilo u managementu (výbor SVJ), že přístupy budou přísně zónové, takže do garáží smí pouze ten, kdo tam má auto, a podobně. Že se tím dětem prodlouží cesta ze školy zhruba o půl kilometru obcházení baráku není relevantní.
Zároveň je omezen počet těchto klíčů na počet členů domácnosti nad 6 let - takže menší děti mohou domů pouze v doprovodu rodičů a pokud potřebujete dát klíč babičce či ošetřovatelské službě, musíte to složitě vypapírovat
a periodicky zdůvodňovat.
Ono to bezpečáché peklo
občas uteče z prostředí firem a jejich IT až do fyzického světa domů a domovnic. ;o(
Ale poměrně dobře to ilustruje, že často jsou ta opatření zaváděna nikoliv, protože jsou potřebná, ale protože to lze
. (A snadno se to vynucuje.)
Jasne, takze rekneme 50tileta urednice, si nejdriv (jak?)zjisti, jaky typ chipu, jaka frekvence, komunikacni protokol ... se pouziva. Pak si pujde koupit nejake zarizeni, o kterem ani nevi ze existuje, pak bude resit co snim (pocitac nema) a pak to cele nacpe idealne tobe mezi pulky.
Zatimco s klicem si dojde do neblizsiho zamecnictvi, rekne ze chce 5 kopii a za 15 minut snima odchazi.
Nevidím důvod, proč by zámečnictví nemohlo nabízet i kopírování těch levnočipů. S tím rozdílem, že u čipu si můžu tu kopii vyrobit podle potřeby ihned a nářadí mám v šuplíku. Mimochodem, existují i třídy klíčů, u kterých je (předpokládám že smluvně) ošetřené, kdy se můžou vyrábět kopie. U čipu se dá tohle omezení vynutit technicky. Takže je na vlastníkovi dveří, jaký přístup zvolí - ať už s čipy nebo mechanikou.
Hesla odpovídající bezpečnostním standardům s pravidelnou změnou ovšem zaměstnanci berou jako obtěžování a na tom bezpečnost také skončí, protože rychle se objeví papírek u monitoru, telefonu, nebo NTB s heslem pro přihlášení do systému (ADDS) a klíčenky. Tedy celá bezpečnost bude ta tam. Stejně tak nemůže mít Josef Novák heslo pepa007.
Naštěstí existují tokeny (Yubikey NFC) která se dá kombinovat s heslem a výsledkem je maximální bezpečnost a minimální zátěž na uživatele. Ještě se to dá prokombinovat s TPM a klíčenkou a Pepa si klidně může používat heslo pepa007, protože bez tokenu je k ničemu.
Navíc na token se dá navázat i docházkový systém, otevírání dveří … a nikomu nevadí, když bude mít na XY unikátních hesel jako např.: \dj1w/Z~@8bY}Fm*cYkG7hZT*au5.^.F ...
Stejný boj jsem vedl s rodiči v důchodu, jedinou možností bylo pořídit jim na stolní počítač biometriku a oddělené klíčenky, jinak by si používali dál ty parodie na hesla. Nakonec to vyřešila čtečka Kensington zapíchnutá do USB na čelním panelu skříně, Windows Hello a KPM. Sdílený s telefonem a ani si nevšimli, že místo pepa1950 mají najednou složité heslo. Jediné čemu nezabráním je fakt, že jsou .... a klidně pošlou mailem heslo někomu jinému. Prý chce taky vidět fotky z dovolené. Ve své režii dokážu ošetřit, ale oni kamkoliv jinam bez šance.
Mně úplně ke spokojenosti stačí ISV certifikace, což mají všechna provozovaná zařízení a tím je vyřešena základní funkce a přirozeně i plnou integraci pod Windows Server ADDS s centrální správou, včetně TPM.
Prostá elegance centrální správy řeší situace, kdy se Yubikey (NFC) prostě rozbije. Nejběžnější příčinou fyzické výměny tokenu zůstává rozdrcení a děje se to proto, že klíče i s token ležící na vaně kufru přizdí 20-30 kg kufr či brašna s nářadím. Rezervní klíče jsou dávno v systému a přirazení konkrétní osobě zabere pár vteřin. Mnohem déle trvá slovní hromobití spojené s fyzickým předáním.
Tím chci říci, že všechny telefony Samsung, notebooky HP Elitebook, Panasonic Toughbook, stolní počítače HP Elitedesk, Jablotron, NFC čtečky ovládající zámky … s tím zkrátka fungují. Jistě, první kdo přijde do práce musí použít fyzický klíč, zbytek už se courá jen prostým přiložením Yubikey k čtečce a rovnou se tím řeší i docházkový systém. Mimochodem největší hloupost je docházkový systém založený na biometrice, protože ruce řemeslníků vypadají různě a čtečky s tím mají zatraceně velký problém, proto je NFC token lepším řešením, které vylučuje problémy se stavem jejich rukou. Modernější a pohodlnější verze SmartCard. Otisk prstů je zkrátka u řemeslníků dost nespolehlivé řešení.
Jasně, jsou dodavatelé, kteří 2FA nepodporují, ale pořád jsou tu klíčenky, kde ty hesla uložena jsou a nemusí si je pamatovat, protože se vše děje automaticky. Pravdou je, že u většiny dodavatelů se to řeší telefonem a mailem, protože se osobně znáte a jste neustále v kontaktu (Socomec, Hager, Schneider ...) a domlouváte s konkrétními lidmi. To platí i o velkoobchodních partnerech, které dodávají svorkovnice, svorky, vodiče, kde je to zase osobní přístup a třetím typem dodavatelů jsou velkoobchody, kam si osobně zajedou (zapomněli, urgentně potřebují) a hezky si to vyzvednou na místě. No vlastně za ty roky už je to také skoro osobní, protože ten okruh je vlastně neměnný.
Určitě vymyslíš dalších 100+1 důvodů, proč je to úplně k ničemu a proč to nemůže nikdy fungovat. SC jsem na firmě používal 10 let, poslední 3 roky jsem přešel na Yubikey NFC a když se čtečka strčí nízko, tak nemusí ani tahat klíče z kapsy montérek. Nikoho to neotravuje a bezpečnost i automatizace je podstatně někde jinde, než kdyby měli spoléhat jen na hesla. A to jsme malá firma, spíš rodina, kde nás není ani 25 a jde to. Vlastně ono to není vůbec drahé, protože zdravá firma si ty pořizovací náklady hravě zaplatí.
P.S.: S iPhone a Yubikey bývalo dost problémů, to už by mělo být vyřešení, ale i tak jsou firemní telefony Samsung (dlouhodobě), protože ve správě a podpoře jsou nejdál. Teď sice kupuji HP, ale úplně stejně spolehlivě funguje Dell.
1. 12. 2023, 16:35 editováno autorem komentáře
A až někde budete dělat osvětu, přidejte k těm rozumným pravidlům na hesla také požadavek na:
* zrušení nesmyslného odhlašování od služby po 5, 10 minutách a vyžadování nové autentizace
* vynucování dvoufaktorové autentizace i tam, kde to uživatel skutečně nepotřebuje
* protlačování běžných biometrik (prst, tvář, duhovka), tam kam nepatří, protože jsou snadno nabořitelné z mnoha stran a nevyměnitelné (bez násilí na těle)
* běžné bezkontaktní řešení a jejich zneužitelnost
....
Mne by sa pacila globalna autorita ktora by managovala moje heslo na statnej alebo europskej urovni Tento jeden bod by bol zabezpeceny a pouzival rozsirene moznosti (napr oath token, prihlasovanie pomocu privatneho kluca na obcianskom preukaze, notifikacie o prihlaseni napriklad mailom). Kazdy web, sluzba by sa overoval voci tomuto zdroju. Nevidim dovod, preco napriklad banka, nejaky web na internete, alebo kryproburza mala mat o mne akekolvek osobne informacie. Jednym smahom by sa splachlo aj cele KYC (kde treba kade tade posielat dokonca fotku obcianskeho).
Pristup k udajom v danom centralnom bode by mala napriklad policia. Nemyslim si, ze napriklad aj taka banka potrebuje vediet moje meno, alebo datum narodenia. Upne im staci dany token + doplnkove informacie podla sluzby (napriklad rok narodenia pre hypoteky).
Mam dobre skunenosti s MojeID, len by som si to predstavoval na globalnejsej urovni... Napriklad aj na natlak EU (lepsie ako vynutene potvrdzovanie cookies, alebo povinne KYC ktorych udaje nie su pod kontrolou).
2. 12. 2023, 10:43 editováno autorem komentáře
Tohle silně narazí na požadavky zákona - třeba ta banka potřebuje ověřovat klienty ze zákona daleko silněji než třeba root.cz. Navíc by to vytvořilo monopol na přihlašování (zdravím trojjediný monopol mobilních operátorů, CHAPS a podobně). Nehledě k tomu, že by taková autorita poskytla spoustu "zajímavých" informací, ať už komukoliv, kdo se nabourá dovnitř, nebo přímo státu/policii (ani jeden nepotřebuje by default vědět, že na internetu chodím třeba sem na roota).
Samozrejme, ze tato centralna sluzba by mala dostupne vsetky udaje o pouzivatelovi, ale kedze by bola zastresovana statom (alebo EU), ten uz o kazdej osobe aj tak vsetko vie. Nebolo by potrebne aby tato centralna sluzba vedela, kam vsade clovek chodi. Mala by overeny moj verejny kluc. Pri vytvarani konta napriklad na root-e by sa overilo, ze ten kluc patri k mojmu sukromnemu, cim by sa overilo, ze naozaj ide o daneho (overeneho) pouzivatela - aj ked by dany web nemusel poznat totoznost. Nasledne sa na danu sluzbu mozem prihlasovat pouzivamim mojeho privatneho kluca. Ona centralna sluzba by sa o tom nemusela dozvediet.
> ale kedze by bola zastresovana statom (alebo EU), ten uz o kazdej osobe aj tak vsetko vie
To je (redakce promine) hovadina, a navíc dost nebezpečná. Opravdu chybí už jenom "nevinní se nemají čeho bát".
> Nebolo by potrebne aby tato centralna sluzba vedela, kam vsade clovek chodi
Ta centrála se to dozví nejpozději ve chvíli, kdy si koncová služba u ní nechá ověřit klíč.
> aj ked by dany web nemusel poznat totoznost
Ta koncová služba by mě přihlásila mým soukromým klíčem, ale nedokáže podle odpovídajícího veřejného klíče ztotožnit přihlášení k mé osobě? K čemu ta centrála teda vlastně je?
Nikto nehovori, ze by nemohli fungovat aj aktualne klasicke sposoby prihlasenia. Kludne by to slo aj lokalnym kontom ..slo by o doplnok. Nieco ako teraz MojeID alebo google. Pouzival by to kto by chcel. Napriklad ja by som mal na niektorych weboch zaujem.
Centrala by bola uzitocna vzdy pri prvom prihlaseni, alebo pri zmene kluca. Web by ma overil voci tomuto zdoju a kludne by si mohol stiahnut moj verejny kluc a pokial by som pouzival rovnaky privatny, nemusi sa dany web uz centralu opierat. Ak mi predsa posle token a ja ho zasifrujem privatnym klucom, on si ho vie odsifrovat verejnym... cim ma potvrdene ze ide o mna. Ak by som zmenil kluc, znova by doslo k overeniu voci centrale.
Uloha centralneho stroja by bola o tom, aby overovala pouzivatela sposobom KYC. Cize vie, ze tento kluc patri urcite mne. Ci uz by to bolo sposobom ako je aktualne KYC alebo inym je jedno. Naviac by bola vyhoda, ze nemusi ani drzat doplnkove informacie, stacilo by, ze by mala overene danove cislo, alebo nejaky iny identifikator (cislo obcianskeho + datum platnosti). Nieco vdaka comu ta vie statna sprava dopatrat v pripade problemov. O tom predsa v pripade KYC ide, nie?. Nejde o to aby ta poznala dana stranka, nejde o to aby ta poznal ten kto ta overuje. Ide o to, ze ak nieco sposobis, aby si bol dopatratelny.
Za mna by bolo lepsie jedno centralne zastresne riesenie, ako posielanie obcianskeho kade komu po internete.
Predstavujem si podobne zariadenie ako Ledger. Dany web o mne nemusi vediet vobec nic,..iba overi na zaklade verejneho a privatneho kluca ze som to ja. Ja "podpisem" - potvrdim na svojom zariadeni, ze sa chcem prihlasit. Danemu web-u staci iba 1x za zivotnost verejneho kluca overit, na "centrale", ze tento verejny kluc splna podmieny (je overeny, ma KYC, alebo ma dalsie atributy), pripadne vie dostat platnost (napriklad nejakeo dokladu) dokial plati. Nasletne, ked si stiahne ten verejny kluc, uz nikdy pre dany verejny kluc nepotrebuje kontaktovat centralu - pretoze vie, ze tento kluc je overeny na stupen ktory potrebuje.
Toto je sposob ako by odpadla buzeracia ohladom hesiel, sila kluca by sa mohla prenastavovat podla poziadaviek.
Naviac, ak dany server niekto hackn-em neziska ziadne udaje o pouzivateloch.
Root predsa o mne tiez nepotrebuje ziadne osobne informacie, staci mu, ze mu poviem volaj ma <login> a over si ze som to ja napriklad na MojeID. Rovnako by si ma mohol overit napriklad cez cez dany HW (napriklad, ze pripojim svoju overenu penazenku co mam na Ledgeri).
Moje predstavovane riesenie by vsak bolo mimo krypta, ale princip by ostal rovnaky.
Kdyz prosatras analy (nejen)tohoto webu, tak zjistis, ze presne toto prosazoval NIC, v podobne internetove ovcanky a pokousel se to protlacit do legislativy jako povinost = bez toho by ses nedostal nikam.
Argumentace byla samozrejme na tema ze bud si to zavedem sami nebo nam to vnuti. A pochopitelne take "i kdyby to melo zachranit jediny zivot" ...
Pokud NIC znamená CZ.NIC a ta vaše tajemná internetová občanka je mojeID, pak vězte, že to je služba, která předběhla svou dobu. Stát se teď složitě snaží implementovat eIdentitu, kterou CZ.NIC na své náklady provozuje už deset let. Ovšem na rozdíl od ostatních (čtěte BankID) to CZ.NIC dělá od začátku otevřeně, aby ověřenou identitu mohl použít kdokoliv. To třeba s bankovní identitou nejde.
A to jste si precetl na nejakem dezinformacnim webiku, nebo odkud cerpate? :-) Ja jen ze do utrob NICu uz docela dlouho vidim a nevzpominam si, ze by nejaka takova aktivita spojena se snahou z toho udelat zakonnou povinnost probehla. Muzete alespon odkazat na konkretni clanek tady na rootu, kde se o tom pise? Nebo tu jen sirite sve FUDy? :-)