Názory k článku
Hesla k datovým schránkám: musíte je měnit každých 90 dnů!

Ono když si uvědomím, že po 20 letech máme premiéra karierního komouše, do Brusele nás jde zastupovat také straník, pilný student VUMLu v Moskvě...pak se nedivím, že soudruzi z 602. organizace svazarmu sem tam udělají nějakou tu chybičku........

smarja co ma co delat 602Software s prihlasovanim do datove schranky?

to že to napsali?:-) (ne pouze geniální doplněk..)

prosim vás, pokud o tom nic nevíte, tak neplácejte hlouposti.

Jiri obavam se, ze ona "testovaci" perioda od 1.7. 2009 do 1.11. 2009 zustala zcela nevyuzita. Vsichni to vyuzili k tomu, aby naprogramovali rozhrani pro svoje spisove sluzby, ale nikdo to opravdu netestoval.

Radeji nedomyslim stav, ktery nastane, az se zjisti, ze nektere z tech spisovych sluzeb s touto funkcionalitou nepocitaji.

Pokud to vezmu z pozice statutarniho organu obchodni spolecnosti, ktera s urady prijde do styku minimalne, tak mi to prijde absurdni. Do systemu jsem se prihlasil jen jednou a to proto, abych si nastavit odesilani notifikace pres e-mail. Predstava, ze do te schranky polezu kazdy druhy den, je usmevna.

Mimochodem, i pro uzivatele datovych schranek mohou nastat "zajimave casy" - http://extendedsubset.com/

(mimochodem LUPE zase nefunguje autentizace uzivatelu, minimalne tem, co prijdou po IPv6)

Paní jsem řekl email, na který mi ty udaje mají poslat.

Pokud žádáte o nové přístupové údaje tak je předpoklad, že ty staré nemáte, takže když Vás pak systém vyzval ke změně hesla jak píšete - chtělo to po Vás jen nové heslo? Nebo místo starého hesla ID obálkly?

A mohu se ještě zeptat, jak dlouho trvalo, než Vám byl e-mail doručen?

Tedy že datové schránky byly koncepčně navrženy a pořád jsou prezentovány jakožto webová aplikace, ke které se připojuje a se kterou pracuje jedna určitá (počítačově znalá) osoba. Té pak samozřejmě nevadí, že musí řešit problémy s prohlížečem, a ani teď jí nebude vadit, že na ní čas od času vybafne požadavek na změnu hesla.
Samozřejmě, z pohledu instituce, která má několik oprávněných osob, které se mohou přihlašovat v různých časových obdobích, je to katastrofa (a to už vůbec nemluvím o problémech s e-podatelnami, které přistupují do DS sami.)
Docela by mne zajímalo, jak je právně řešen případ, kdy subjekt díky tomu že mu expirovalo heslo a nemohl se přihlásit do své DS, prošvihl lhůtu na podání svého dokumentu . Nebo se zase na takovou "maličkost" zapomnělo????

Ale houby, to jsou problémy subjektu, a ten ať si klidně ryje nosem v zemi a teče z něho krev. To je jeho problém.

Všechny problémy se dají přehodit na subjekt, a ještě ho pořádně zmáčknout.

Pravděpodobně to bude řešeno stejně jako obvykle: Může utratit velké peníze za právníka, začít se soudit a utratit spoustu peněz a času. To jsou jeho peníze a čas a z cizího krev neteče.

Klasické řešení shora.

ach jo, nechcete se zivit psanim katastrofickych filmu ?
ono to funguje trochu jinak.

Zato vy jste člověk z praxe!

Včera jsme to taky zjistili, takže mě nenapadlo nic lepšího než se zeptat. Na infolince k datovým schránkám mi sdělili, že se jedná vlastně jen o doporučení a není třeba nic měnit, taže čekám. Přesně jak píšete v článku - nikdo tam denně neleze, ručně se to kontoluje 1x týdně protože jinak využíváme upozorňovacích mailů.

Co chcete od systému který zadává veřejná správa tak aby to nakonec dělala pošta. Změna hesla po 30 dnech je jen špička ledovce. Představte si denně 100 zpráv ve schránce a každá je pro jednoho ze 100 uředníku a dozvíte se to až po přečtení zprávy.
Další zážitek je když se přihlašujete do schránky a systém vám vyhodí tuto hlášku: "Z bezpečnostních důvodů došlo k automatickému odhlášení z datové schránky. Bezpečnostní limit je 30 minut. Chcete-li se znovu přihlásit, klikněte zde"a na zde nejde kliknout. Pokud nejste obeznámen s tím jak to může fungovat a neklikáte jako šílenec na tlačítko a vedle do té doby než se to "chytne", tak ze stránky odejdete zkusíte to za těch 30 min, ono Vám to vyhodí stejnou hlášku a jste na cestě k psychiatrovi.
Takže Vešm pevné nervy s používáním DS

Co se mi podařilo zkoušením zjistit, tak k tomuto dochází, pokud jsem se ze schránky ručně neodhlásil, ale přihlášení expirovalo kvůli nečinnosti, a přihlásit se mi podařilo až po ukončení a novém spuštění prohlížeče (smazat příslušné cookies nestačilo). Firefox 3.0.13.

Jak to řešíte vy?

Stejne, t.j. pred prihlasenim do ds killnu prohlizec a znovu nahodim. Takhle uzivatelsky pritulna uz snad neni ani sporitelna ;-)

Nestačilo by jen v prohlížeči smazat příslušné cookie? Samozřejmě ve většině případů je restart prohlížeče rychlejší, ale mohou být i výjimky.

Asi to bude způsobeno HTTP 1.1 KeepAlive. S podobným problémem jsem bojoval u CzechPOINTu, kde je povinná autentizace klientským certifikátem.

Tam to mají tak „chytře“ udělané, že místo toho, aby server vyžadoval certikikát natvrdo už při zahájení TLS, tak vás nechá propadnout do HTTP, kde dostanete webovou stránku stěžující si na chybějící autentizaci. Když si uvědomíte chybu a zastrčíte token do USB a dáte znovu načíst stránku, tak to nepomůže, protože HTTPS spojení je už ustanovené z minulého pokusu. Webový prohlížeč (Firefox) nikde nemá možnost ručně ukončit TCP spojení. Takže jediné řešení je prohlížeč znovu spustit.

Celé to mají takhle hloupě proto, že na stejné doméně běží ještě novellácká aplikace na přiřazování klientských certifikátů uživatelským účtům, kde autentizace certifikátem není vyžadována (ani být nemůže, jinak by si uživatel neměl jak certifikáty přiřadit). Ale vyřešit to šlo jednoduše pomocí poddomény.

Představte si denně 100 zpráv ve schránce a každá je pro jednoho ze 100 uředníku a dozvíte se to až po přečtení zprávy. - no to si snad děkáte legraci! Co když narazíte na zásilku "do vlastních rukou" ?

Rada z pochybné infolinky DS nabídla dvě varianty:
a) Pověřená osoba si zařídí souhlas s otevíráním takových zpráv s tím, že nesmí jiným osobám sdělovat obsah.
b) Pověřená osoba zavolá adresátovi, ať se přijde podívat a... vlastně jsem nepochopil, jak tohle řešit.

Samozřejmě je také "řešením", aby odesílatel napsal do kolonky "k rukám" příslušnou specifikaci adresáta (jméno, název oddělení ap.)

Omlouvám se mělo tam být po 90 dnech.

Na obou se mně akorát ukázala bílá stránka. Zkus něco lepšího.

Je tam flešová prezentace, která bombastickým způsobem informuje, že doménu datoveschranky.info nevlastní státní organizace, ale soukromá firma, a spekuluje, jak drahý jednou bude odkup domény.

Na jedné z obrazovek je tam pak anketa, co si o tom myslíš, po kliknutí na jednu z možností se zobrazí graf, o jehož pravosti mám vážné pochybnosti – nezdá se mi, že tak vysoká čísla (17 tisíc hlasů pro jednu z variant) jsou reálná.

Vynucovat změnu hesla je jeden z nejlepších způsobů, jak snížit zabezpečení.

Nikdo si nebude pamatovat žádnou bezpečně dlouhou sekvenci, pokud se ta bude pravidelně měnit. Takže to skončí používáním nějakého univerzálního hesla a u něj číslo verze na konci.

Kdybych měl naopak jedno heslo pro pravidelně používanou službu navždy, tak si nějaký desetiznakový bezpečný řetězec čistě pro ní vymyslím a zapamatuji.

Měl jste vidět úředníky, když jsem jim řekl: tady si zadejte heslo pro datovou schránku, tady další heslo pro CzechPOINT a ještě nezapomeňte heslo pro soukromý klíč na kryptografickém tokenu.

Nechápu, proč když je možná autentizace certifikátem, proč je navíc nutné používat přihlašování heslem. Celé to je kontraproduktivní.

Vynucovat změnu hesla je jeden z nejlepších způsobů, jak snížit zabezpečení. - tato myšlenka se mi velmi líbí. Né že bych se nedokázal dostat na "pravidelně" se měněná hesla kolegů. (je to občas potřeba)

"desetiznakový bezpečný řetězec" ... co ?

souhlasim s tim ze je lepsi jedno poradne heslo, ale kdyz uz tak alespon 20+ znaku, protoze bez expirace hesla vam cokoliv kratsiho 12 znaku pomoci brute-force podlehne

Já mám strašně špatně zabezpečenou bankovní kartu!

Banka mi na ní už dlouhá léta nechává stejný PIN, dokonce mnohé banky umožňují PIN změnit samotnými uživateli a ponechat ho tam navěky.

Prej to je proto, aby si ho člověk zapamatoval a nepsal na obal karty.
To jsme teda v háji, měli by ho měnit každejch 90 dní a pro zabavené karty by k bankomatům jezdili s kýblem.

komu vlastne zminovana domena (informacni rozcestnik) datoveschranky.info v soucasnosti 'patri'?

http://www.who.is/whois/datoveschranky.info

pro vetsi pohodli par dalsich odkazu z ARESu: o e-invent, s.r.o. OR: http://wwwinfo.mfcr.cz/cgi-bin/ares/darv_or.cgi?ico=27428907&jazyk=cz&xml=1 RES: http://wwwinfo.mfcr.cz/cgi-bin/ares/darv_res.cgi?ico=27428907&jazyk=cz&xml=1 RZP: http://wwwinfo.mfcr.cz/cgi-bin/ares/darv_rzp.cgi?ico=27428907&jazyk=cz&xml=1&rozsah=0 DPH: http://adisreg.mfcr.cz/cgi-bin/adis/idph/int_dp_prij.cgi?id=1&pocet=1&fu=&OK=+Search+&ZPRAC=RDPHI1&dic=27428907

omlouvam se za neprehlednost predchoziho prispevku

pro vetsi pohodli par dalsich odkazu z ARESu: o e-invent, s.r.o.
OR: http://wwwinfo.mfcr.cz/cgi-bin/ares/darv_or.cgi?ico=27428907&jazyk=cz&xml=1
RES: http://wwwinfo.mfcr.cz/cgi-bin/ares/darv_res.cgi?ico=27428907&jazyk=cz&xml=1
RZP: http://wwwinfo.mfcr.cz/cgi-bin/ares/darv_rzp.cgi?ico=27428907&jazyk=cz&xml=1&rozsah=0
DPH: http://adisreg.mfcr.cz/cgi-bin/adis/idph/int_dp_prij.cgi?id=1&pocet=1&fu=&OK=+Search+&am p;ZPRAC=RDPHI1&dic=27428907

Rekl bych ze to bude insider
http://www.linkedin.com/in/vlastimilcejp

Do datové schránky budu jako fyzická osoba přistupovat pouze, když mi přijde oznámení o nové datové zprávě. Což je zcela určitě výrazně méně často, než po 90 dnech. To znamená, že si budu muset změnit heslo při každé návštěvě. Složité bezpečné heslo, které bude mít alespoň 8 znaků, velké písmeno a číslo, bude o to větší problém si zapamatovat, když ho použiju jen jednou a třeba po roce si na něj vzpomenout a potom hned zase změnit. Doufám, že alespoň půjde střídavě používat dvě hesla, jednomu dopsat na konec jedničku a dalšímu dvojku. Co spíše z bezpečnostních důvodů místo vynucené změny hesla nastavit, že se přístup zablokuje po třeba třech až deseti chybných pokusech o přihlášení? A odblokování na CzechPointu, nebo případně automaticky po 24 hodinách.

Co spíše z bezpečnostních důvodů místo vynucené změny hesla nastavit, že se přístup zablokuje po třeba třech až deseti chybných pokusech o přihlášení? A odblokování na CzechPointu, nebo případně automaticky po 24 hodinách.

Takhle už to funguje, je to přímo ve vyhlášce. O zablokování by vám měl přijít e-mail a účet se odblokuje po hodině. Těch pokusů, než dojde k zablokování, je myslím pět.

Nepujde, pamatuje si to vsechna minula hesla. Asi nejlepsi co s timhle muze clovek udelat je vygenerovat a zapamatovat si jedno dostatecne silne a kvalitni heslo a pak uz za nej jen prilepovat zvysujici se cislice.

Zima2009
Jaro2010
Leto2010
Podzim2010
Zima2010
...
...
...

:-D

Docela dobrý nápad... zatímco u normálních hesel lidé rádi používají "heslo", "xxxx" nebo "1234", tak tohle by mohl být nový trend :)

Já bych nebyl takový optimista ohledně četnosti datových zpráv. Až se to úředníci (doufám, že za dlouho) naučí používat, moc, moc se bojím že nás svými nesmyslnými a zbytečnými sděleními, ba co hůř, ještě nesmyslnějším vyžadováním různých informací, totálně zahltí (samozřejmě hlavně malé podniky, monopolní giganti se s tím samozřejmě nějak vypořádají). To, že zasílání něco stojí, podle mě nebude pro úředníky dostatečná "brzda" v jejich zběsilém počínání - zákony prof. Parkinsona jsou silnější.

jeho tvrzení že cituji "zato čistě z hlediska bezpečnosti a správy hesel, je jejich co nejčastější obměna jistě správná." je naprosto zcestné. V momentu, kdy donutíte uživatele, aby použil heslo o X písmenech a Y číslech, tak si uživatel takové heslo nezapamatuje a napíše vedle PC na papírek. V horším případě si ho uloží do PC. Totéž platí o systému nucené změny hesel.

Vlastně to nejhorší, co jde udělat je to, že uživateli generujete každý měsíc heslo typu a1Ss9Fgg6r5 a podobné. V praxi to vypadá tak, že počítače takových uživatelů jsou oblepeny papírky s jejich "stávajícími" hesly. Bezpečnost je tak do kytek a rozhodně to není správné...

Kdybys neplácal hovadiny a podíval se alespoň co ten KeePass umí, zjistil bys, že databázi hesel si můžeš z počítače nahrát do PDA nebo prakticky do libovolného moderního telefonu a můžeš si ty hesla vzít sebou prakticky kamkoliv. Stačí se mrknout na http://keepass.info/download.html....
Odzkoušeno m.j. na Nokias 2700 classic (cca 2300 vč. DPH)

Samozřejmě, že si ho budete s sebou muset vzít. Nebo alespoň notebook. Z internetové kavárny někde v Karibiku se asi těžko do Datové schránky podíváte.

Ano, na takové legrace je určen správce hesel... Ale hádejte, kolik běžných uživatelů ho v zaměstnání používá?

A nestačilo by si ten papírek dát třeba do peněženky?

Zřídil jsem si zkušební datovou schránku a nevím proč, ale schránka mi nechce odesílat zprávy pro fyzické osoby, ale jen pro orgány státní zprávy, v položce vyhledávání není možné změnit typ schránky.

Jsem z toho lama

Protože fyzické a právnické osoby MOHOU posílat zprávy do DS pouze orgánům veřejné moci. Orgány veřejné moci MUSEJÍ upřednostnit posílání do DS všem, kdo ji mají zřízenou.

To není chyba, ale vlastnost. Prostě to tak je. Nebuďte z toho smutný...

Jj, jak již řekl sám Velký Bill, jehož je Steve Prorokem - "It´s not a bug, it´s a feature" .... je vidět, že se státní správa učí od Mistrů - když to nefunguje a neumíme to spravit, prohlásíme to za vlastnost (ačkoli zde je blbost jako obvykle zabudována přímo do zákona).

Hrozně se směji vaší naivitě. Co když ÚOOÚ zakáže fyzickým osobám sdělovat resp. úřadúm zjišťovat některé údaje (ano třeba datum narození) a bez toho bude celý systém na vodě.

V tomto případě ale o žádnou chybu nejde, ono by stačilo třeba si o DS nejdřív něco přečíst než psát nesmysly.

Tak se mi podařilo zapomenout heslo. Musel jsem navštívit CzechPoint. Navštívil jsem jej na poště v Brně. Paní za přepážkou vůbec nevěděla která bije a poslala mě na jinou poštu, že tam to umí. :( Objíždět Brno a zkoušet na které poště to umí se mi fakt nechce. Navíc na to potřebujete vědět vaše ID, které vám došlo poštou. Já si naivně myslel, že stačí občanka!

Od soudu mi přišel do datové schránky elektronicky podepsaný dokument v PDF a pošta ho není schopna na CzechPointu převést do ověřené listinné podoby. Hlásí jim to chyby (např. že to musí být PDF verze 1.3 a vyšší, což evidentně podle Adobe Readeru je, certifikát podpisu prohlašují za neplatný - Adobe Reader zobrazuje, že je platný, atd.). Na poště neexistuje žádný kanál, kde to reklamovat. Každý se odvolává na někoho jiného (CzechPoint na poštu a naopak), ale nikdo s tím nechce nic mít. Takže zatím se konverze nikde nepovedla.

Perlička na závěr: dokument od soudu obsahuje 2 stránky, z toho je jedna úplně prázdná (asi pár Enterů nebo odstránkování navíc). Při konverzi do papírové podoby tedy zaplatíte 60Kč, z toho 30 Kč za úplně prázdný papír. Zde je další díra systému - chybí jakakoliv možnost reklamace technického obsahu zprávy u odesílatele. Docela by mě zajímalo, jak bude vypadat vytištěná ověřená prázdná druhá stránka. Není tam nic, ani číslo strany. Bude to ověřená bianko strana, která bude skýtat zajímavé možnosti zneužití, protože tam bude podepsán soud.

Soubor je nutné přinést na CzechPoint na CD nebo DVD. Na poště v Jindřišské vezmou i flashku. Druhá možnost je přes úschovnu MV. Tam je opět další úsměvná věc. Vytisknete si stránku o uložení do úschovny s čárovým, přesně řečeno 2D kódem, která předáte na CzechPointu a oni si to vyzvednou a zkonvertují. Jenže nikde zatím nebyli schopni 2D kód naskenovat, takže to dlouhatánské číslo opisují ručně :-).

Na obsah souboru určeného ke konverzi se samozřejmě nedá sáhnout - okamžitě přestahou souhlasit hashe, takže se to lehce pozná. Jenže co v případě, že je soubor přílohy zprávy nabouraný (např. chyba v software, který ho vytváří) a tento nabouraný dokument je podepsán. Co pak? K čemu mi ale je, že mi byl právně doručen dokument, který ale nikdo není schopen zkonvertovat do listinné podoby?

Už jsem to tady psal.Napsat na Ministerstvo vnitra dopis, že žádáte o zrušení datové schránky, protože systém kdy stát nadiriguje právnickým osobám pouze jednu možnost komunikace je v rozporu s Ústavou a podmínkami hospodářské soutěže.Nadto stát svoji ingerencí prolomil značně sféru soukromého práva, tedy subjekty hospodářských vztahů - obchodní společnosti mají mít právo volby a možnost ze systému doručování do DS dobrovolně vystoupit.Po zamítavém stanovisku vnitra je třeba podat správní žalobu k soudu.Vzor žaloby výhledově někde zavěsím na web.Čím více správních žalob tím lépe.Nejsme v totalitě, přijal se špatný a nedokonalý zákon, tak je třeba bojovat za novelu, která umožní dobrovolný výstup ze systému DS.

Nejnovější informace o konverzi do listinné podoby: Pdf vytvořené soudem je vytvořeno jiným softwarem, než vývojáři předpokládali (nejspíš by chtěli, aby všichni měli koupený souftware na tvorbu pdf od nich). Takže konverzi do listinné podoby nelze provést.

Prostě si nadiktovali nějaký standard (pdf) a pak ho sami nedodržují. To je amatérismus nejvyššího kalibru.

Každá z 5 zpráv zatím došlých do naší schránky je vytvořena v jiném software (Pdf Creator).

Cituji z provozního řádu:

Doba uchovávání DS

ISDS uchová Datovou zprávu po dobu 90-ti dnů od doručení do Datové schránky příjemce.

Datovou zprávu doručenou fikcí uchovává ISDS po neomezenou dobu. Provozovatel má právo takové zprávy po 90-ti dnech od fikce doručení přemístit do off-line datového úložiště,
ze kterého lze zprávu na žádost příjemce zprávy vrátit zpět do jeho Datové schránky.

Moje otázka zní:

Jakým způsobem a kde požádat o vrácení zprávy doručené fikcí do Datové schránky příjemce z off-line datového úložiště, kam byla po 90 dnech od fikce doručení zpráva přemístěna.

Podle původně hlásaných záměru tvůrců měla být zpráva ve schránce 90 dnů od přečtení, nikoliv od uplynutí 10 denní fikce.

Protoze by na tom camaradi nic netrhli?

Např. v případě nějakého sporu můžete přijmutí e-mailu zapřít, zprávu do DS ne. To je asi tak jediné, co mě napadá. Pokud ale jde o samotný dokument, tak elektronicky podepsaný ho můžu poslat mailem i do DS a platnost bude mít stejnou.

A kdo tvrdí opak? Dotaz zněl proč používat DS a ne klasický e-mail.

Nucene meneni hesel je silene zlo. Ten, kdo to prosazuje s pocitem, ze to zlepsuje bezpecnost, by potreboval nafackovat.

Kdyby to bylo jedno heslo ke vsemu, tak ok. Ale v pripade, ze ma clovek 10 kont a musi u nich po trech mesicich menit hesla, tak uz to moc bezpecne neni, protoze to znamena, ze temer kazdy tyden musi zmenit jedno heslo. Aby se mu nepletly, nezbyva mu nic jineho, nez si ho nekam zapsat. A kde je bezpecnost?

Uplne nejlepsi je, kdyz podminkou zmeny hesla je, aby nebylo ani podobne nekolika predchozim. To by me zajimalo, v jakem tvaru si ta hesla dany system uchovava, aby mohl podobnost zjistovat. Bezpecny hash to asi nebude.

Pokud s datovou schrankou pracuju 2-3x do roka, coz je muj pripad, je logicke, ze slozite heslo, kde MUSI byt mala a velka pismena a cisla a kde nesmi byt zapamatovatelna slova ani sekvence, ZAPOMENU. Nejsem robot nebo programator. Jsem jen clovek. Aby se tak nestalo, napisu si to nekam na papir, ktery, pochopitelne, ulozim ne do sejfu do banky, kam bych musel pokazde, kdyz se chci nalogovat do datove schranky, ale nekam pobliz pocitace. Nebo nekam do cloudu, abych to mel pristupne odkudkoliv. Takovy je v REALU velmi nezabezpeceny vysledek TEORETICKY velice zabezpeceneho systemu. Gratuluju, autore! Pouzil jste nekdy elektronicke bankovnictvi u nejake banky? A pokud jste chtel mit zabezpeceni tak "promakane", proc jste nezvazil sifrovaci kalkulacku, sifrovanou smsku nebo ctecku otisku prstu.. o tom jste asi nikdy neslysel. Akorat ze MY to ted mame na taliri! moc rad bych to nechal vyzrat vas. Misto toho ale musim pockat 20 dnu nez se vratim do CR a nez budu moci dojit na Czechpoint nechat si vystavit nove heslo.

V nové "verzi" datových schránek lze v nastavení kliknout na "nastavit neomezenou platnost hesla".. třikrát sláva a hurá...