Ministerstvo vnitra ve čtvrtek oznámilo úspěšné nastartování digitalizace státu a v rámci toho představilo i nový způsob přihlašování k datovým schránkám. Jde o tzv. mobilní klíč, formálně „mobilní elektronický prostředek“ (zkratkou MEP), který vnitro avizovalo již v loňském roce a o jehož přípravách jsem zde na Lupě psal již v listopadu loňského roku.
Připomeňme si proto alespoň stručně, co bylo již vloni v listopadu deklarováno jako záměr: umožnit lidem přihlašovat se k datovým schránkám bezpečněji, ale stále velmi jednoduše. Dokonce ještě jednodušeji než dnes zcela dominujícím stylem „jméno a heslo“. A bezpečněji v tom smyslu, že na rozdíl od „jména a hesla“ by se v rámci přihlašování měla využívat dvoufaktorová autentizace a celkově se dosahovalo úrovně záruky „značná“ (ve smyslu nařízení eIDAS).
Nový mobilní prostředek skutečně dvoufaktorovou autentizaci přináší: jedním faktorem, typu „něco, co mám“, je samotná mobilní aplikace na konkrétním mobilním zařízení (přičemž tato kombinace je „spárovaná“ s příslušným účtem v rámci ISDS). Druhým faktorem pak je „něco, co vím“, buď v podobě PINu, (alfanumerického) hesla, či tzv. obrázkového hesla (správně zvolené posloupnosti obrázků). Nebo tímto druhým faktorem může být „něco, čím jsem“ v podobě otisku prstu, případně sken obličeje. Samozřejmě jen tehdy, pokud to váš mobil podporuje.
Jak to funguje?
Samotné fungování nového mobilního klíče, jakmile ho už máte „zprovozněný“, je skutečně velmi jednoduché, a opravdu eliminuje zadávání jména a hesla: když se chcete přihlásit ke své datové schránce přes její webové rozhraní, zvolíte nově přidanou možnost „přihlášení mobilním klíčem“:
Jakmile to uděláte, je vám zobrazen jednorázový QR kód, jako na následujícím obrázku:
V tuto chvíli byste již měli mít připraven svůj mobil a na něm spuštěnou novou aplikaci („Mobilní klíč“), včetně svého přihlášení do této aplikace. Pak už ji jen necháte sejmout QR kód z obrazovky, jak naznačuje následující obrázek.
Po pár sekundách by mělo být hotovo: měli byste být již v příslušné datové schránce, řádně přihlášeni.
Kde (a kdy) dochází k autentizaci?
Pravdou je, že v rámci výše uvedeného postupu nebylo nikde zadáváno žádné uživatelské jméno ani heslo. Ani žádný jiný autentizační údaj. Ani to, k jakému účtu v rámci datových schránek se přihlašujete.
Fígl je v tom, že vaše autentizace (i výběr účtu) musela proběhnou ještě dříve, než jste přiložili mobil se svou novou aplikací a začali snímat QR kód. Museli jste si tuto aplikaci nejprve spustit a přihlásit se do ní (a tím se autentizovat) – protože teprve pak vám aplikace nabídne možnost snímání QR kódu. Navíc vaše aplikace musela být již dříve jednorázově nastavena („spárována“ s tím vaším účtem, ke kterému se chcete přihlašovat pomocí mobilního klíče).
Začněme proto tím, co se opakuje a dělá častěji: jak se můžete přihlásit ke své (již nastavené a „spárované“) mobilní aplikaci. K tomu máte na výběr následující hlavní možnosti:
Jednu z těchto možností si musíte vybrat a tu pak používat – v tom smyslu, že kdykoli aplikaci spustíte, je vám nabízena právě (a pouze) tato zvolená možnost přihlášení k aplikaci, a nikoli obě ostatní. Jakmile ale již jednou jste do aplikace přihlášeni, můžete si v jejím nastavení vybrat jinou možnost, která vám pak bude nabízena až do další případné změny.
Nicméně pokud váš mobil (a jeho operační systém) podporuje biometriku, konkrétně snímání otisku prstů či sken obličeje, můžete si tyto metody biometrické autentizace zapnout – a pak jsou vám nabízeny souběžně s vybranou „hlavní“ metodou přihlašování. Takže třeba když máte nastaveno přihlašování PINem, stejně máte možnost přihlásit se do aplikace buď zadáním správného PINu, nebo sejmutím (správného) otisku prstu.
Jak vypadá příslušná obrazovka při zvolení některé ze tří „hlavních“ možností přihlašování na mobilu podporujícím (povolené) snímání otisků prstu, ukazuje následující trojobrázek.
Tolik k jednomu z autentizačních faktorů v rámci dvoufaktorové autentizace: faktoru „co vím“ či „čím jsem“. Jak jsme si již uvedli výše, dalším autentizačním faktorem je „něco, co mám“ – což je právě ona řádně nastavená a „spárovaná“ instance mobilní aplikace, běžící na konkrétním zařízení (kterým nutně nemusí být mobil, ale může to být např. i tablet apod.).
Jak se nastavuje mobilní aplikace?
Zde popisovanou mobilní aplikaci si samozřejmě musíte do svého zařízení nejprve stáhnout. Jako „Mobilní klíč“ (od Ministerstva vnitra) je k dispozici zdarma pro Android (od verze 4.4) a pro iOS (od verze 10.0).
Pak si ji musíte nastavit: nejprve musíte zvolit jednu z „hlavních“ možností přihlašování k aplikaci (PINem, heslem, obrázkovým heslem), viz výše. Pak musíte rozhodnout o povolení (či nepovolení) biometrické autentizace, pokud ji vaše zařízení podporuje.
Dalším krokem pak je „spárování“ aplikace s konkrétním účtem v datových schránkách: nejprve se musíte k tomuto účtu přihlásit, takovým způsobem, jaký je pro vás právě dostupný (tedy zřejmě i jen jménem a heslem, viz dále). Pak už jdete do nastavení a zde do „Možností přihlášení“. Zde, ve výčtu možností pro přihlašování, najdete novou položku související s právě popisovanou aplikací, resp. mobilním klíčem:
Pokud chcete mobilní klíč reálně používat, musíte jej ke svému účtu nejprve přidat (ve smyslu „spárování“). To uděláte tak, že necháte svou aplikaci sejmout QR kód, který vám vaše datová schránka zobrazí, viz následující obrázek:
Pak se vás vaše aplikace ještě pro jistotu zeptá, zda ji (resp. zařízení, na kterém běží) chcete skutečně připojit k příslušnému účtu u datových schránek. A také vám sdělí čtyřmístný číselný kód, který si máte sami zkontrolovat s tím, co vám sdělí druhá strana (datové schránky).
Až odsouhlasíte poslední krok na předchozím obrázku, nelekněte se toho, že aplikace se beze slova ukončí. Jako kdyby spadla (zhavarovala) – zatímco uživatel marně čeká na vřelé slovo, potvrzující úspěšné propojení („spárování“) se svým účtem. A když si aplikaci znovu spustí a přihlásí se do ní, tato rovnou chce číst nějaký QR kód. Tady už si uživatel musí sám domyslet, že propojení s účtem proběhlo úspěšně – a že ten QR kód, po jehož sejmutí aplikace tolik touží, už není onen jednorázový „párovací“ kód, ale už ten opakovaný „přihlašovací“. Protože aplikace očekává, že už se ke svému účtu přihlašujete.
Funguje to i pro více účtů a více zařízení
Právě popisované přihlašování k datovým schránkám, pomocí mobilního klíče, funguje i pro více účtů: jeden mobil s aplikací můžete spárovat s více účty u datových schránek. Výsledný efekt je pak stejný jako při přihlašování pomocí nové eOP: ta také protistraně (systému ISDS) řekne a potvrdí, kým jste (jaká je vaše identita). Systém datových schránek (ISDS) si sám zjistí, ke kolika různým účtům máte přístup – a dá vám vybrat, ke kterému se právě chcete přihlásit.
„Vícenásobnost“ přitom platí i obráceně: s jedním účtem u datových schránek můžete mít propojeno („spárováno“) více zařízení s příslušnými aplikacemi (mobilními klíči) a pak se přihlašovat kterýmkoli z nich. Samozřejmě je možné mobilní klíče i „odpojovat“ od účtů (deaktivovat).
Navíc se přihlašování pomocí mobilního klíče nevylučuje s jinými možnostmi přihlášení (například pomocí elektronické občanky). Může se ale vylučovat s možností přihlásit se tou nejméně bezpečnou možností (kterou ale používá drtivá většina uživatelů), tedy jen pomocí jména a hesla. Jak vidíte i na následujícím obrázku vpravo dole, po připojení mobilního klíče můžete přihlašování jen pomocí jména a hesla vypnout.
Kromě toho si můžete do svého zařízení s mobilním klíčem nechat zasílat i oznámení o došlých datových zprávách (která vám jinak mohou chodit emailem či SMSkami) a také upozornění, kdyby se někdo přihlásil k vašemu účtu (s aktivovaným mobilním klíčem) jen pomocí jména a hesla, viz následující obrázek. Povinně vám pak do mobilního klíče budou chodit upozornění na aktivaci („spárování“) i deaktivaci mobilních klíčů a i vytváření nebo využití jejich záloh. Nastavení mobilního klíče se totiž dá (a mělo by se) zálohovat.
Zajímavé je také to, že přihlašování pomocí mobilního klíče by mělo fungovat i pro případy, kdy se přihlašujete přímo z mobilního zařízení (ve smyslu: chcete se svou datovou schránkou pracovat z mobilu, a nikoli z běžného počítače, jak jsme až dosud předpokládali). Stejně tak by nová možnost přihlašování měla být k dispozici i pro případ, kdy s datovými schránkami pracujete prostřednictvím nějaké aplikace, a nikoli přes webové rozhraní ISDS. Ale zde už případné zájemce odkáži na oficiální návod.
Jde skutečně o úroveň „značná“?
Nový způsob přihlašování do datových schránek (mobilní klíč) mi přijde vcelku pohodlný a rychlý. A snad bude i dost bezpečný. Obrázkový PIN, který měl být jeho hlavním přínosem, je nakonec jen jednou z více možností – a kdoví, kolik lidí jej skutečně využije.
Jen si ale nejsem jist tím, zda mobilní klíč skutečně dosahuje úrovně záruky „značná“ tak, jak to od něj očekává § 2 odst. 3 vyhlášky č. 194/2009 Sb. (o stanovení podrobností užívání a provozování informačního systému datových schránek). Problém vidím v tom, že jej lze „spárovat“ i s účtem, ke kterému se uživatel přihlásí jen pomocí jména a hesla, což odpovídá pouze úrovni „nízká“ (již jen proto, že zde není dvoufaktorová autentizace). A z této úrovně „nízká“ se pak, pomocí mobilního klíče, má přejít na úroveň „značná“? To podle mého názoru není možné – o výsledné úrovni záruky rozhoduje nejslabší článek v celém řetězci faktorů, který zde zahrnuje i výše popisované připojování mobilního klíče k účtu („párování“).
Tento problém by se dal odstranit tím, že by připojování k účtu v datových schránkách (párování) vyžadovalo „silnější“ přihlášení, s dvoufaktorovou autentizací, resp. nebylo možné v případě, kdy je uživatel přihlášen pouze jménem a heslem. Ale nic takového jsem v dostupné dokumentaci nenašel. Navíc by to bránilo v přechodu k mobilnímu klíči drtivé většině uživatelů datových schránek, kteří jiný způsob přihlášení (než jen jménem a heslem) nepoužívají.
Proč přihlašování k datovým schránkám?
Na závěr si neodpustím malé povzdechnutí, stejné jako v předchozím článku k připravovanému mobilnímu klíči: proč tento vůbec vzniká jako prostředek pro přihlašování k datovým schránkám? Zdůrazněme si: pouze k datovým schránkám. Proč nejde o prostředek pro přihlašování k NIA (národnímu bodu pro identifikaci a autentizaci), fungující obdobně jako nová elektronická občanka či prostředek „jméno, heslo a SMS“? Pak by se totiž pomocí nového mobilního klíče dalo přihlašovat k více různým službám eGovernmentu, a ne pouze k datovým schránkám. Obecně ke všem, které požadují takovou úroveň záruky, jakou mobilní klíč nabízí.
Právě v tom ale může být jádro pudla: stát by musel implementovat nějaký jiný způsob „párování“ (s el. identitou v základních registrech), resp. jiné ověření konkrétní aplikace na konkrétním mobilním zařízení, s požadovanou úrovní záruky a dostupné i těm, kteří nemají přístup do žádné datové schránky. To u datových schránek, kde se od začátku „jede“ jen na přihlašování jménem a heslem, se o úrovních záruky raději moc nemluví – protože by se muselo přiznat, že (u dominujícího jména a hesla) jde pouze o úroveň „nízká“. Což je v zásadním rozporu s tím, jak zásadní právní kroky, s jak zásadními právními důsledky můžete pomocí datové schránky dělat.
Úplně na závěr malá omluva: aplikace mobilního klíče zakazuje pořizování screenshotů. Zřejmě proto, že pracuje s obrázky (QR kódy) a jejich snímáním a bojí se toho, aby nějaká jiná (škodící) aplikace její obrázky nezneužila. Sám jsem skutečně nebyl schopen pořídit screenshot z mobilu žádným způsobem, který mám k dispozici. Proto jsem si v tomto článku dovolil využít některé obrázky z nápovědy k novému způsobu přihlašování přímo na webu datových schránek.
