Názory k článku
Nová mobilní aplikace mojeID Klíč nabízí dvoufaktorovou autentizaci k mojeID
-
Nejak uz je tech autentikatoru moc. V mojeId jich muzete mit snad 10 druhu, z nichz asi jen 3 jdou pouzit na prihlaseni ke gov.cz. MojeId ma vlastni aplikaci, kterou se tam taky muzete prihlasit a ted jeste pridali klic. Aplikace MojeId pritom na gov.cz nestaci, klic uz jo. Jako klic si muzete nastavit i mobil (bez aplikace) a pri prihlaseni pak android-chrome vyzaduje otisk prstu, tim se ale do klasickeho prohlizece neprihlasite. gov.cz potrebuje otisk prstu, resp. nepotrebuje, protoze staci Yubikey. Podpora Google autentikatoru je tam vlastne k cemu? Kdyz je vyzadovano potvrzeni otiskem prstu, proc nestaci proste zamceny telefon + google autentikator?
Za mne se z MojeID stava jeden velkej bastl. Treba za to muze snaha prizpusobit se pozadavkum gov.cz, ale kazdopadne, cert aby se v tom vyznal.
-
Filip JirsákStříbrný podporovatelNemusíte používat všechny možnosti – můžete si vybrat ty, které vám vyhovují.
Autentizační prostředky pro přihlášení k NIA musí splnit určité požadavky a hlavně na to mít certifikaci.
-
No jo ale NIA je možné použít pro přihlášení do eidentity, která je asi nutná pro přihlášení do DIS+, jenže do eidentity se lze dostat i pomocí bakovní identity, takže moje ID nepotřebuju,
anebo do dis+ lze jít pomocí datové schránky, kam zase lezu s mojeID, ale musim mít k tomu NIA, kam se přihlásím zabezpečeněji pomocí mojeID?Prostě nevim, je to složité a já v tom mám chaos.
Snaží se mojeID udělat si tu certifikaci a nahradit tenhle chaos?
Kdy se do datové schránky nebo DIS+(eidentity) dostanu po jakémkoliv ověření pouze u mojeID?
Anebo to už funguje a já o tom nevim?
10. 6. 2021, 14:59 editováno autorem komentáře
-
IMO je cele MojeId ukazka, jak se da relativne jednoducha vec dotahnout do absurdni slozitosti a nedomyslenosti.
Par let zpetne jsem si nechal od nich poslat dopis na overeni uctu na "vyssi level overenosti". Dopis prisel, ucet jsem overil a pak jsem si rekl, ze kdyz uz ten ucet teda je overeny, bylo by pekne, abych tam mel ve jmenu i diakritiku. Opravil jsem teda diakritiku a v tu chvili byl ucet bez varovani zase neovereny a chtel mi posilat dalsi dopis. Tohle je/bylo k cemu? Ktere udaje vlastne muzu zmenit?
Nejaky autentikator na neco funguje, na neco nefunguje, zmena neceho bez varovani zrusi neco jineho. Proste chaos.
Napriklad, uz si nepamatuju detaily, ale mel jsem na MojeID 2 ucty, pricemz na ten prvni jsem zapomnel heslo. Chtel jsem ho vyresetovat, jenze email - resetovaci link, ktery mi prisel, resetoval heslo k uctu 2. Vyresetovl jsem si tahle helso k jinemu uctu asi 5x! Napsal jsem na podporu a za 20 minut telefon a mila pani mi vysvetluje, jak to funguje a jak heslo vyresetovat a to byla sobota vecer! Problem nebyl v nejake chybe, problem byl nekoncepcnosti a neintuitivnosti toho vseho. -
To není výber keď jeden subsystém podporuje len authentifikáciu A a B,... a druhý subsystém len C a D, a tretí len E a F,... takže musíš používať 3 rôzne v jednom systéme a aj to problematicky a nedajú ti ani informáciu ktorú auth môžeš kde použiť a musíš si to pracne hľadať a je v tom chaos že sa v tom ani ježiš nevyzná.
11. 6. 2021, 12:35 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Jenže takhle to není. Jsou tři úrovně záruky, pro používání nějaké služby potřebujete konkrétní úroveň záruky (lze se tedy i s vyšší úrovní záruky přihlásit do systému, kterému stačí nižší úroveň). Když si pořídíte přístup s úrovní „vysoká“ (to je ta nejvyšší), dostanete se všude.
-
Pokud vím, tak bankovní identita nefunguje všude tam, kde mojeID ( https://www.lupa.cz/clanky/jak-prekonat-omezeni-bankovni-identity/ ). Není to přímo technické omezení, ale uživateli může být zdůvodnění ukradené.
-
Filip JirsákStříbrný podporovatel
To je pravda, to je to hloupé omezení, že Bankovní identitu lze použít pouze pro přihlašování vůči striktně státní správě nebo samosprávě. Nejde ji použít vůči soukromoprávním orgánům veřejné moci (školy, zdravotní pojišťovny apod.). Ale to je specifické pro Bankovní identitu.
Ono to ale tolik nevadí, protože bankovní identita z hlediska akvizice uživatelů funguje opačně. Nikdo nebude uvažovat „potřebuji se přihlásit k NIA, pořídím si účet v bance“. Pokud si bude zřizovat přístup do NIA, použije ostatní možnosti. Bankovní identita funguje opačně – „mám účet v bance, tím pádem mohu používat přihlašování ke službám přes NIA“. Akorát bohužel ne ke všem službám.
-
Filip JirsákStříbrný podporovatelJako třeba že by tam byly nějaké takovéhle informace?
- MojeID Klíč – Přihlašování potvrzením v mobilní aplikaci.
- Bezpečnostní klíč – Přihlašování pomocí fyzických (USB/NFC) nebo systémových bezpečnostních klíčů.
- Jednorázové heslo (OTP) – Přihlašování zadáním kódu z mobilní aplikace. Nelze použít pro přístup ke službám veřejné správy.
-
-
Filip JirsákStříbrný podporovatel
Jako že by si MojeID udržovalo seznam služeb, ke kterým se dá dostat přes NIA, rozdělený podle potřebné úrovně přihlášení? A banky by dělaly to samé? A I.CA také? A stát také pro svoje identifikační prostředky? Není tohle spíš úloha NIA, aby to bylo na jednom místě – tam, kde se přihlašujete?
Navíc teda podle mne to funguje opačně – chci používat nějakou službu, tak zjišťuju, co k tomu potřebuju. Možná si někdo pořídí přihlašovací údaje a pak vymýšlí, kam by se s nima asi tak mohl přihlašovat, ale to bude značně menšinový postup.
-
A pak chci používat nějakou jinou službu tak si pořídím jiný identifikační prostředek a pak jinou a tak… a nakonec mám několik zbytečně pořízených identifikačních prostředků protože jsem neměl jak se jednoduše přehledně podívat kam se dá všude přistoupit a jak abych si rovnou pořídil ten optimální (tj. nejsilnější pro moje potřeby).
-
Filip JirsákStříbrný podporovatel
Tohle je ale věc NIA a hlavně poskytovatelů služeb. Protože poskytovatel služeb vám může nabídnout u jedné služby různé možnosti v závislosti na tom, jak se přihlásíte.
Nicméně dá se to odhadnout předem – nízká úroveň se použije tam, kde nemůžete nic moc napáchat, takže pro čtení údajů, které nejsou nijak zvlášť citlivé. Obvykle se bude používat úroveň značná – zhruba pro kategorii věcí, kde by stačil vlastnoruční podpis. S úrovní vysoká se setkáte výjimečně (v tuto chvíli ji myslím žádný poskytovatel služeb nepoužívá), a budou to typicky případy, kde by „na papíře“ nestačil ani vlastnoruční podpis.
-
"Není tohle spíš úloha NIA" - asi ano. Jenze CZ.NIC propaguje svou sluzbu MojeID, a soucasti propagace sluzby je i jasne sdeleni, kam vsude se s tim prihlasim a k cemu mi to je dobre. Neco na svych strankach maji, ale nemam pocit ze by to bylo tou spravnou formou pro BFU.
A ano, obvykle lidi postupuji stylem "tohle chci, tak hledam co pro to potrebuji", ale eidentita.cz zrovna jasnyma a srozumitelnyma informacema neoplyva. Kdyz se na to podivam ocima BFU, tak zjistuju ze jsem v pr... protoze nicemu z toho nerozumim.Vicemene si myslim, ze by CZ.NIC melo zaskocit za stat a co nejjednodussim zpusobem vysvetlit cely tento problem digitalniho pristupu ke statnim sluzbam, ne jen tu cast ohledene mojeID, ale i ty ostatni casti statnich sluzeb.
-
Já se v tom taky ztrácim. Po zavedení bankovní identity mám v tom hokej.
Mohl by někdo fundovaně popsat současný stav používání mojeID ve vztahu ke státní správě/datovým schránkám/bankám/?
Jestli jsou stále nutné paralelní ověřovací kanály v NIA a jaké jsou levely atp...
Včetně možností ověřování pomocí téhle apky a hw tokenů?
Prostě něco ve smyslu - pokud potřebuju na finančák poslat daňové přiznání, bankovní identita mi stačí. Pokud potřebuju něco víc, pomůže mi mojeID s něčím a jak?
dík -
Již od března platí, že mojeID získalo od MV ČR akreditaci na stupeň záruky "vysoká" (vyšší než "značná") s podmínkou, že předpokladem pro stupeň záruky "vysoká" je používání fyzického bezp.klíče (tokenu) s certifikací FIDO2 L2. Přestože jsem si takový klíč, totiž GoTrust Idem Key, pro účely dvoufaktorového ověřování v nastavení mojeID aktivoval, stejně se úroveň záruky deklaruje jen jako "značná" a nikoliv "vysoká". V nastavení mojeID jsem identifikaci pro účely přihlašování ke stát.správě provedl jednou přes identitu NIA ID a podruhé dokonce osobně na CzechPoint-u po předložení svého OP se strojově čitelnými údaji (za účelem Žádosti o poskytnutí ref.údajů z registru obyv. jiné osobě) , avšak stupeň záruky je stále jen "značná". Nevěděl by někdo, čeho je k tomu stupni "vysoká" ještě zapotřebí? V rozhodnutí MV ČR o akreditaci na stupeň "vysoká" se zmiňuje token na úrovni FIDO2 L2 (který používám) v kombinaci s (nějakým) PIN-em.
-
Filip JirsákStříbrný podporovatel
O požadované úrovni záruky rozhoduje služba, ke které se přihlašujete. Pokud vím, zatím žádná služba požadující úroveň vysoká neexistuje. Navíc MojeID sice má akreditaci na úroveň vysoká, ale ta služba ještě reálně není spuštěná.
-
Pokud vím, zatím žádná služba požadující úroveň vysoká neexistuje.
Co si vzpomínám z hlavy, úroveň "vysoká" by měla být potřeba na zřízení datové schránky a teď nově na zřízení účtu pro správu Dluhopisů Republiky (pokud ho člověk nemá už zřízený).
Mimochodem, jsem jediný, komu připadá nelogické, že "vysoká" je víc než "značná"? Podle mne to názorně ilustruje, proč by bylo lepší používat čísla nebo písmena.
-
Filip JirsákStříbrný podporovatel
Nejste jediný. Myslím, že by naopak bylo těžké najít někoho, komu to označení připadá logické. Ještě k tomu „značná“ bude nejpoužívanější stupeň a má to přiřazené takhle nelogické slovo.
-
Díky za odpovědi k otázce "vysoké" úrovně záruky. Ještě upřesňuji, že tato "vysoká" úroveň záruky je vyžadována při zakládání majetkového účtu k protiinflačním aj. Dluhopisům Republiky na portále MinFin, odkud cituji: "Zájemci, kteří dosud nevlastnili žádné státní dluhopisy, si nyní mohou založit majetkový účet využitím eObčanky, tedy občanským průkazem s aktivovaným kontaktním čipem vydaným po 1. 7. 2018, který je jedním z identifikačních prostředků splňující požadavek AML zákona na vysokou úroveň záruky." Pokud se tam přihlásíme přes mojeID s použitím tokenu GoTrust (s certifikací FIDO2 L2), portál nám po chvílí "přemýšlení" červeným písmem oznámí, že naše záruka je jen "značná", a jako alternativu nám nabízí osobní návštěvu tzv. distribučního místa (ČSp, ČSOB) za poplateček 500 Kč (event. 250 Kč v případě souběžného úpisu dluhopisů), jestliže tedy onu novou eObčanku nemáme.
Odkaz na oficiální sdělení zde:
https://www.sporicidluhopisycr.cz/cs/aktuality/2021/dluhopis-republiky-ted-nakoupite-plne-on-1348 -
Filip JirsákStříbrný podporovatel
O čem přesně? O té nové mobilní aplikaci? Myslím, že to je na článek málo…
-
Ale beze všeho, pohrabte se nám v tom: https://github.com/wultra
Zde je pak dokumentace: https://developers.wultra.com/
Teď trochu přesněji... u nás máme pod open-source licencemi vydané back-endové komponenty a mobilní SDK, která jsou použitá pro implementaci appky. Tím, že kompletní appka jako taková je produkt, který se v některých setupech (zejména pro banky) může míchat s proprietárním kódem (našim nebo od třetích stran), zatím jsme se neodhodlali k tomu ji vydat také.
