Hlavní navigace

Ke službám eGovernmentu se už přihlásíte i pomocí svého účtu u služby MojeID

 Autor: screenshot – Lupa.cz
Potřebujete ale ještě jeden další faktor, kterým může být více různých věcí: nejenom hardwarový token, ale třeba i PIN, heslo či otisk prstu na mobilu nebo počítači.
Jiří Peterka 15. 9. 2020
Doba čtení: 18 minut

Sdílet

Koncem minulého týdne se možnosti přihlašování k Portálu občana, k datovým schránkám a k dalším službám českého eGovernmentu, přes „prostředníka“ v podobě NIA (Národního bodu pro identifikaci a autentizaci), rozrostly o další variantu. Vlastně o dvě – oproti stavu, který jsme si popisovali zde na Lupě v květnu, kdy přibyla možnost přihlašovat se pomocí karty Starcos od I.CA.


Jednou z nových možností je „mezinárodní brána“ („IIG – International ID Gateway“), která slouží k tomu, aby se k českým službám dalo přihlašovat i s prostředky elektronické identifikace (eID prostředky), vydanými v jiných zemích. Příkladem využití by mohlo být přihlášení zahraničního jednatele české právnické osoby (firmy) k její datové schránce prostřednictvím eID prostředku (např. elektronické občanky) vydaného v rodné zemi jednatele.

Jak ukazuje následující obrázek, brána dnes nabízí možnost přihlášení pomocí eID prostředků, vydaných v Německu a na Slovensku. Stejně tak se i z obrázku dozvídáme, že tuto bránu provozuje sdružení CZ.NIC, jako bránu CZ.PEPS (Czech Republic Pan-European Proxy Services).


Dnes se ale podrobněji zaměříme na druhou z nových možností, opět z dílny sdružení CZ.NIC, kterou je čerstvě spuštěné přihlašování přes mojeID. Potřebný akreditovaný status udělilo ministerstvo vnitra 13. srpna 2020 a již za necelý měsíc se tato nová možnost otevřela všem zájemcům o její využití.

Jak přihlašování (přes NIA) pomocí mojeID prakticky funguje?

Princip je stejný jako u všech ostatních možností: když si přihlášení pomocí mojeID zvolíte, jste přesměrováni na stránky této služby. Zde se musíte přihlásit s využitím dvoufaktorové autentizace (podrobněji dále), odsouhlasit předání svých údajů – a už se dostáváte (jako přihlášený uživatel) k té službě, ke které se právě přihlašujete. Tedy například do své datové schránky, na Portál občana atd. Obecně k jakékoli službě, ke které se lze přihlásit přes NIA a která požaduje úroveň záruky „značná“ (případně „nízká“). Protože přihlašování přes mojeID zatím nabízí jen úroveň „značná“ (a úroveň „vysoká“ je stále v řešení).

Vše naznačuje následující obrázek.


Co je u nové možnosti přihlašování přes mojeID nové a unikátní, je otevřenost celého řešení a podpora (otevřených) standardů: u dosud dostupných variant přihlašování si nemůžete vybírat, čím se identifikujete a čím stvrdíte, že jste skutečně tím, za koho se vydáváte (čím se autentizujete). Je to „napevno“ buď elektronická občanka, nebo karta Starcos, nebo kombinace „Jméno, heslo a SMS“.

Do budoucna, až přijde bankovní identita, to nejspíše bude (kromě jména a hesla k internetbankingu) mobilní klíč příslušné banky, případně její certifikát, nebo jednorázový SMS kód. Tady už si možná budete moci vybrat, ale jen mezi těmi možnostmi, které vám jako tzv. druhý faktor dopředu nabídne příslušná banka. Nebudete si moci přidat nic „svého vlastního“.  

To u přihlašování pomocí mojeID si naopak můžete přidat i „něco vlastního“. Vlastně dokonce musíte. Samozřejmě ale jen to, co splňuje konkrétní technické požadavky (viz dále). Může to být něco, co existuje a je dostupné již dnes – stejně tak jako něco, co se stane dostupným až někdy časem. A třeba i něco, co si dnes ještě neumíme ani představit, či co ještě nikoho nenapadlo.

Co může být druhým faktorem?

Základem vždy bude přihlášení k vašemu účtu u mojeID (na předchozím obrázku v levém sloupci dole), což zahrnuje identifikaci (skrze uživatelské jméno) a první autentizační faktor (heslo). Pro přihlašování ke službám eGovernmentu je povinný ještě další (druhý) autentizační faktor, kterým ale již mohou být různé věci dle vašeho výběru, a hlavně s rozsahem možností, který si stanovujete sami.

To krásné je v tom, že není předepsáno, jak má řešení druhého faktoru vypadat – ale je požadováno, co musí splňovat (z pohledu bezpečnosti a spolehlivosti). Konkrétně: musí být certifikováno (nejméně) na úroveň L1 dle specifikací FIDO2 od FIDO aliance (viz dále).

Nemusí to nutně být nějaký „kus železa“ (hardwarový token), ale může to být i softwarové řešení. Případně kombinace softwaru a hardwaru. Potřebnou certifikaci na (úroveň L1) dnes má například systém Hello v operačním systému Windows či operační systém Android (od verze 7.0). Takže oním druhým faktorem může v praxi být v zásadě cokoli, čím se můžete přihlásit do svého počítače přes Windows Hello či ke svému mobilu s Androidem. Například zadání PIN, otisk prstu či rozpoznání obličeje na vašem stolním počítači (podle toho, co tento počítač a jeho operační systém podporuje), nebo na vašem mobilu či tabletu (opět podle toho, co podporuje).

Samozřejmě to ale může být i onen hardwarový token, jakých je na trhu celá řada, s možností připojení a komunikace přes USB, přes NFC, nebo ještě jinak (např. přes Bluetooth). Jejich výhodou je to, že nejsou vázány na konkrétní zařízení (počítač, tablet, mobil), ale můžete je používat jako druhý faktor na různých zařízeních. Navíc je můžete používat pro výrazně bezpečnější přihlašování i zcela nezávisle na službě mojeID a NIA, například pro přihlašování k vašemu počítači jako takovému. Nebo pro přihlašování k nejrůznějším online účtům, které takovéto tokeny (resp. specifikace FIDO2) podporují.  

Tři různé světy

Abychom si mohli podrobněji popsat, jak celá nová možnost funguje a docenit její přínosy, musíme se nejprve seznámit s určitými souvislostmi. Zejména s tím, že zde vlastně došlo ke vzájemnému propojení tří různých světů, s vlastním způsobem fungování, vlastními požadavky i vlastní terminologií:

  • služby mojeID jako takové
  • našeho národního systému elektronické identifikace, založeného na nepřímém modelu a existenci Národního bodu pro identifikaci a autentizaci (NIA)
  • specifikací od FIDO aliance

O každém z těchto světů potřebujeme něco vědět, abychom pochopili, jaké jsou důsledky jejich vzájemného propojení, jak vůbec k tomuto propojení dochází a jaké jsou jeho předpoklady.

Konkrétně u služby mojeID je dobré vědět, že je sama „plnohodnotným“ systémem elektronické identifikace, a takto také dlouhé roky funguje: vede a spravuje elektronické identity svých uživatelů a umožňuje využívat je pro jednotné přihlašování k nejrůznějším službám (tzv. single sign-on). Kromě toho má mojeID svá vlastní řešení pro autentizaci, neboli pro prokazování toho, že uživatel je skutečně tím, za koho se vydává. Může to být jen jednofaktorová autentizace (kdy uživatel zadává jen heslo nebo se prokazuje svým certifikátem), nebo (volitelně) i autentizace dvoufaktorová.


Pro dvoufaktorovou autentizaci nabízí mojeID tři hlavní možnosti: jednorázové heslo, generované „cizí“ mobilní aplikací (jako je např. Google Authenticator, Authy apod.). Další možností je použití vlastního autentikátoru („mobilního klíče“) přímo od služby mojeID.


Bezpečnostní klíče

Konečně třetí možnost (na obrázku uvedená nahoře, jako první) je ta, která nás zajímá v souvislosti s propojením s NIA: možnost použít „bezpečnostní klíč“. Jak si za chvíli řekneme, tato možnost je pro přihlašování ke službám eGovernmentu nutností, zatímco jiné varianty druhého faktoru (autentikátor a jednorázové heslo) pro tento účel naopak použitelné nejsou.

Ke svému účtu u služby mojeID přitom můžete mít připojeno více různých „bezpečnostních klíčů“, a při každém jednotlivém přihlašování můžete použít kterýkoli z nich, který je reálně dostupný. Jak jsme si také již zdůrazňovali, nemusí to být jen „klíče“ v hmotném slova smyslu (hardwarové tokeny). Mohou to být i již zmiňované PINy či otisky prstu na konkrétním zařízení.


Povšimněme si, že některé z klíčů na předchozím obrázku mají v kolonce „Úroveň certifikace“ uvedeno „Certifikován, úroveň 1“. To souvisí se specifikacemi od FIDO aliance (konkrétně FIDO2, viz dále) a zjednodušeně to znamená, že příslušný bezpečnostní klíč může být použit pro přihlašování přes NIA s úrovní záruky „značná“. Tedy ke službám, které vyžadují buď tuto úroveň, nebo úroveň „nízká“.

Napojení klíčů na NIA

Možnost přihlašování přes NIA ke službám eGovernmentu, z účtu u mojeID a s využitím konkrétního bezpečnostního klíče, má ale ještě druhou podmínku: NIA musí tento klíč znát. Proto musí nejprve dojít k napojení každého bezpečnostního klíče na NIA.

To je samozřejmě možné jen u těch bezpečnostních klíčů, které mají potřebnou certifikaci alespoň na úroveň 1. Je to dáno podmínkami akreditace, kterou služba mojeID získala od ministerstva vnitra (a také je to důvodem toho, proč druhým faktorem nemůže být vlastní autentikátor služby mojeID či jednorázové heslo od jiného autentikátoru).

Dnes, v době psaní tohoto článku, je situace taková, že „napojit na NIA“ je nutné každý bezpečnostní klíč (s potřebnou certifikací) samostatně. Proto také v tabulce na předchozím obrázku (jako třetí shora) můžete vidět příklad bezpečnostního klíče (ve skutečnosti PINu přes Windows Hello na konkrétním počítači), který je certifikovaný na úroveň 1, ale není ještě napojen na NIA, a nelze ho tedy používat pro přihlašování přes NIA. Ale je možné ho kdykoli napojit (viz tlačítko ve spodní části následujícího obrázku).


Časem by prý mohlo dojít k určitému zjednodušení tohoto postupu, tak aby se nemusel napojovat na NIA samostatně každý jednotlivý bezpečnostní klíč.

Propojení účtu mojeID s NIA

Napojení prvního bezpečnostního klíče ale není možné provést bez „celkového“ propojení příslušného účtu služby mojeID s NIA (což je na předchozím obrázku prezentované jako „propojení na státní správu“). Toto propojení ale má určité praktické důsledky.

Připomeňme si, že služba mojeID je „plnohodnotnou“ službou elektronické identifikace a má i své vlastní varianty autentizace. Naproti tomu svět NIA si můžeme (s poněkud větším zjednodušením) představit jako systém elektronické identifikace, který ale nemá vlastní nástroje a řešení pro autentizaci – a tak pro autentizaci využívá „partnerská řešení“. Sice o takovýchto partnerech mluví jako o „poskytovatelích identifikačních služeb“ (IdP, Identity Provider), ale ve skutečnosti jí jde hlavně o autentizaci – aby jí partner (IdP) potvrdil, že uživatel je skutečně tím, za koho se vydává. Naopak do toho, kdo je oním konkrétní uživatelem, si NIA nenechává od IdP nijak mluvit: elektronické identity konkrétních fyzických osob si NIA vede své vlastní (v základních registrech, jako „státem garantovanou identitu“), a konkrétní údaje (atributy) z nich pak také poskytuje těm službám, ke kterým se uživatel přihlašuje. Neposkytuje je tedy onen poskytovatel identitních služeb (IdP), jak by se podle použité terminologie (a bez znalosti skutečného fungování celého nepřímého modelu) mohlo zdát.

Je to docela zamotané a místy to působí jako Hlava22: ten, kdo je vůči NIA v roli IdP (poskytovatele identitních služeb), což je zde konkrétně služba mojeID, má primárně potvrzovat, že jde skutečně o toho uživatele, o kterého má jít. Ale o kterého uživatele má jít, to ví (a o tom rozhoduje) NIA. Jak to tedy může celé fungovat?

Odpověď je taková, že NIA přeci jen dopředu „přepustí“ něco ze svých informací o identitě konkrétní osoby tomu, kdo pro ni zajišťuje požadovanou autentizaci (bohužel ne zcela vhodně prezentovanou jako identifikaci). „Něco“ ve smyslu minimálního rozsahu údajů o příslušné osobě – tak, aby ten, kdo pro NIA zajišťuje autentizaci, věděl, o koho jde, a dokázal ho odlišit od ostatních osob, které „zná“. Aby si ho dokázal přiřadit k některému ze svých vlastních účtů.

Proto musí dojít k (jednorázovému) propojení mezi konkrétním uživatelským účtem u služby mojeID a identitou konkrétní osoby u NIA (přesněji: v základních registrech) a k předání minima potřebných údajů směrem od NIA k mojeID.

Prakticky si to můžeme představit tak, že uživatel služby mojeID se přihlásí ke svému účtu a řekne, že jej chce propojit s NIA („se státní správou“). Přesněji: se svou elektronickou identitou v rámci základních registrů.


Služba mojeID v tuto chvíli již ví, o koho jde (v rámci jejích uživatelských účtů). Ovšem druhá strana (NIA) to ještě neví – a tak je nutné jí to říct. Navíc s požadovanou mírou spolehlivosti, která odpovídá (nynější) úrovni „značná“.

Možnosti, jak toto udělat, jsou nabízeny dvě:

  • přímo (online), přihlášením do NIA (z účtu u mojeID)
  • přes CzechPOINT

První možnost, na obrázku prezentovaná jako „Použít existující prostředek (eObčanka)“, mohou využít všichni ti, kteří se již mohou nějakým způsobem přihlásit k NIA, alespoň na úrovni značná. Nemusí to tedy být jen pomocí nové eObčanky, ale i pomocí prostředku „Jméno, heslo a SMS“ či kartou Starcos od I.CA.


Samotný postup se pak neliší od jiného přihlašování přes NIA, a proto se podívejme až na závěr: když už jste (z účtu u mojeID) přihlášeni k NIA, jste v posledním kroku vyzvání k odsouhlasení údajů (o vás), které NIA jednorázově předá službě mojeID (resp. jejímu provozovateli, sdružení CZ.NIC). Jejich rozsah vidíte na následujícím obrázku:


Alternativou pro ty, kteří ještě žádný použitelný prostředek pro přihlašování přes NIA nemají (a chtějí v této roli používat právě mojeID), je zajít si osobně na CzechPOINT se žádostí, kterou vám služba mojeID vygeneruje.


Obě strany si pak již samy provedou potřebné propojení. To má ale určité konkrétní důsledky i pro váš účet u služby mojeID: jeho údaje o vaší osobě budou upraveny podle toho, co se o vás tato služba dozvěděla od NIA. A to jak věcně (například pokud jste si u mojeID ještě neaktualizovali změněné bydliště), tak i víceméně formálně.

Jako příklad mohu uvést, co se stalo v případě mého účtu (a profilu) u mojeID: jméno a příjmení, původně napsané obvyklým způsobem (první písmeno velké, ostatní malá), bylo přepsáno tak, jak je uvedeno v základních registrech (vše velkými písmeny). Dále: k číslu orientačnímu u domu přibylo ještě číslo popisné (na následujícím obrázku rozmazáno). A údaj „Praha 5 – Jinonice“ byl změněn na „Praha, Jinonice“.


A ještě jeden dovětek: propojením účtu u mojeID a NIA online způsobem dochází současně k napojení jednoho bezpečnostního klíče na NIA. Konkrétně toho, který uživatel použije, když je v procesu propojování vyzván, aby z bezpečnostních důvodů potvrdil svou identitu novým přihlášením ke službě mojeID. Viz též zmínka o konkrétním klíči ve spodní části předchozího obrázku.

Není potřeba validovaný účet

Celá výše popisovaná možnost propojení účtu mojeID s NIA má jeden užitečný důsledek: zahrnuje i validaci vašeho účtu u služby mojeID. Nebo, jinými slovy: chcete-li propojit svůj účet u mojeID s NIA, nemusíte mít validovaný účet. Stačí jen identifikovaný (částečně či plně).

Připomeňme si, že když si založíte účet u služby mojeID, ještě ho nemůžete používat (k přihlašování kamkoli). Nejprve jej musíte alespoň nějak ověřit. Prvním stupněm je ověření e-mailové adresy a telefonního čísla – tím vzniká částečně ověřený účet (přesněji: „kontakt“, v terminologii Podmínek služby), který se už dá reálně používat. Stále ale skýtá prakticky nulovou záruku toho, že jde o skutečnou a správnou identitu. Dalším stupněm je pak tzv. plně identifikovaný účet (kontakt): abyste ho získali, musíte si nechat zaslat listovní poštu třetí PIN, který musíte správně zadat zpět. Pak už je vaše identita (včetně bydliště) přeci jen jistější, ale stále ne úplně jistá (mohla by odpovídat nejvýše tak úrovní „nízká“, ve smyslu úrovní záruky z nařízení eIDAS).

Nejvyšším stupněm pak je validovaný účet: pro jeho validaci musíte potvrdit svou skutečnou identitu jedním z několika možných způsobů. Například se dostavit na některé validační místo a prokázat se svými osobními doklady.

Pro propojení s NIA však validovaný účet nepotřebujete a stačí jen ten identifikovaný (částečně či plně). A to díky tomu, že potřebné ověření vaší identity probíhá v rámci vaší identifikace vůči NIA (buď na CzechPOINTu skrze výše popisovanou žádost, nebo online prostřednictvím prostředku s úrovní záruky alespoň „značná“). A pokud váš účet u mojeID před propojením ještě validovaný nebyl, získává validovaný status automaticky.

FIDO nekouše

Pojďme nyní na malou exkurzi do třetího světa, který je s popisovanými dvěma propojen, tedy do světa specifikací FIDO a jeho protokolů. To nám teprve umožní docenit otevřenost a celkovou „krásu“ právě popisovaného řešení.

FIDO je zkratka od „Fast Identity Online“ a je to společná iniciativa (formou aliance) řady velkých technologických firem s cílem prosadit do praxe spolehlivější způsoby autentizace. Základním principem, na kterém jsou všechna vzniklá řešení postavena, je asymetrická kryptografie (předpokládající existenci soukromého a veřejného klíče). Tedy vlastně stejný základ, na kterém je postaveno i elektronické podepisování (s výjimkou tzv. prostých elektronických podpisů, které nestojí na žádných základech).

První sada specifikací, které FIDO aliance vytvořila již v roce 2014, má dvě komponenty: UAF (Universal Authentication Framework) a U2F (Universal 2nd Factor). Z pohledu tohoto článku jsou důležité novější („druhé“) specifikace, vydané v dubnu 2018 a označované souhrnně jako FIDO2. Důležité je připomenout si, že FIDO2 má několik úrovní, odstupňovaných podle „bytelnosti“ příslušného řešení. To proto, že akreditace, udělená ministerstvem vnitra, požaduje kombinaci účtu služby mojeID a „FIDO2 tokenu certifikovaného minimálně na úroveň L1 dle certifikačního programu FIDO Alliance“.

Popsat celou koncepci FIDO2 by vydalo na několik samostatných článků, a tak jen malé terminologické upozornění: oním „FIDO2 tokenem“ z akreditace je míněno to, co služba mojeID označuje jako „bezpečnostní klíč“, a specifikace FIDO2 jako tzv. autentikátor (authenticator). Co všechno to v praxi může být (resp. co všechno již má potřebnou certifikaci na FIDO2 na požadované úrovni, jako autentikátor), lze zjistit na těchto stránkách FIDO aliance. 

Autentikátorů (klíčů, tokenů), certifikovaných na úroveň 1 dle FIDO2, je dnes relativně hodně (zmíněné stránky vrací 84 různých položek). Naopak toho, co je již dnes certifikováno na vyšší úroveň (2, resp. L2), je velmi málo: jen 4 položky od jedné společnosti (TrustKey Solutions).

Windows Hello má certifikaci na FIDO2

FIDO2 certifikaci na úrovni 1 získal v roce 2019 Microsoft pro funkci Hello na svých Windows 10. To znamená, že (počínaje updatem z května 2019) jsou všechna zařízení s MS Windows, skrze tuto svou funkci (Hello), schopna fungovat jako FIDO2 autentikátor. A po „dotlačení“ od CZ.NIC může být Windows Hello na konkrétním počítači připojeno jako „bezpečnostní klíč“ s úrovní certifikace 1 i ke službě mojeID.

Samotná funkce Windows Hello přitom může fungovat více různými způsoby podle toho, co je dostupné na vašem počítači s MS Windows: obvykle je dostupná možnost přihlašovat se pomocí PINu. Pokud máte na svém počítači i vhodnou čtečku, může Hello nabízet i přihlašování otiskem prstu. A pokud máte také kameru splňující požadavky na rozpoznávání obličeje, umí pracovat i s tím.


Praktický příklad přihlašování (přes NIA) s využitím Windows Hello (a konkrétně PINu) jste mohli vidět v úvodu článku, na třetím obrázku v pořadí.

Také Android má certifikaci na FIDO2

Certifikaci FIDO2 na úrovni 1 má i operační systém Android (od verze 7.0 výše). Takže jako „bezpečnostní klíč“ s potřebnou certifikací může být k účtu u služby mojeID připojen každý mobilní telefon s tímto operačním systémem.

Pozor ale na to, že způsob fungování takovéhoto „mobilního“ bezpečnostního klíče je principiálně odlišný od způsobu fungování mobilních klíčů, které čím dál tím častěji používají banky (např. RB Klíč, KB klíč, George klíč a další), či třeba Mobilní klíč od MV ČR pro přihlašování k datovým schránkám. Tyto mobilní klíče totiž fungují „odděleným“ (detached) způsobem: uživatel průběžně pracuje na svém počítači (stolním počítači, notebooku apod.) a v určitém okamžiku si vyžádá provedení nějakého úkonu, pro který je nutné dodatečné ověření jeho projevu vůle (nemusí to být jen přihlášení, ale třeba i zadání platby apod.). Poskytovatel služby již ví, jaký mobilní telefon klient používá (muselo již dříve dojít k jeho „spárování“ s uživatelským účtem), a tak mu do tohoto mobilního telefonu (a v něm na příslušnou aplikaci, fungující jako mobilní klíč) pošle příslušnou výzvu. Pokud ji uživatel řádně potvrdí, může mobilní klíč i s mobilním telefonem zase odložit, protože ve své práci pokračuje na původním zařízení (stolním počítači, notebooku atd.).

To mobil s Androidem v roli bezpečnostního klíče u služby mojeID takovýmto způsobem nepracuje. Funguje jen pro autentizaci úkonů prováděných přímo na mobilním telefonu, v prostředí Androidu. Typicky: otevřete si na svém mobilu browser a chcete se z tohoto browseru přihlásit přes NIA k nějaké konkrétní službě eGovernmentu. Zvolíte variantu pomocí mojeID, přihlásíte se ke svému účtu u této služby (což představuje identifikaci a také autentizaci prvním faktorem) a pak ještě musíte přidat druhý faktor. Pokud jej tak máte nastavený, může to být otisk vašeho prstu na vašem mobilu. Nebo zadání vzoru či PINu. Případně rozpoznání obličeje. Zkrátka to, co Android na vašem mobilu či tabletu podporuje a co jste si již dříve připojili (jako bezpečnostní klíč) ke svému účtu u služby mojeID (a napojili na NIA). Představu ukazuje následující obrázek.


Pozor ale na to, že ne všechny mobilní browsery již podporují specifikace FIDO2. Z těch nejznámějších je podporuje Chrome (viz předchozí obrázek), naopak třeba mobilní Firefox ještě nikoli (viz další obrázek).


Přehled toho, které browsery, na kterých platformách a do jaké míry již podporují jednotlivé specifikace FIDO, najdete na těchto stránkách FIDO Alliance.

Hardwarové tokeny

Výše popsané možnosti (s Windows Hello a Androidem a obdobně i pro další operační systémy) mají jeden významný společný rys, na který jsme ostatně již narazili: jsou „platformově závislé“. Jinými slovy: jsou vázány na konkrétní zařízení (počítač, tablet, mobil), a nemůžete je tedy využít, pokud se potřebujete přihlásit z nějakého jiného zařízení.

Alternativou pak jsou již zmiňované samostatné tokeny s požadovanou certifikací FIDO2, které na potřebnou dobu připojíte ke svému zařízení. Například přes USB, přes Bluetooth či NFC, podle toho, co vaše zařízení a token podporují. Celkově přitom jde o praktičtější řešení, protože takovéto tokeny lze využít i k mnoha dalším účelům než jen k tomu, který si zde popisujeme (v souvislosti se službou mojeID pro přihlašování ke službám eGovernmentu). Mohou vám tedy pomoci výrazně zvýšit celkovou bezpečnost toho, co a jak děláte a kam se přihlašujete.

Příkladem oblíbených hardwarových tokenů s certifikací FIDO2 na úroveň 1 jsou tokeny Security Key od Yubico. Přes jejich oficiálního distributora v ČR přijdou na 543,29 Kč s DPH ve variantě jen s USB a 809,49 Kč ve variantě i s podporou NFC.

Samo sdružení CZ.NIC bude v rámci své nadcházející kampaně na podporu nových možností služby mojeID distribuovat nejaktivnějším uživatelům této služby token Idem Key od společnosti GoTrust (s podporou USB i NFC).

WT100 klub3


Pokud již nějaký vhodný token máte, může být postup jeho připojení k účtu služby mojeID principiálně jednoduchý. Pro prostředí Windows jej ukazuje následující obrázek: nově přidávaný token (klíč) musíte nejprve pojmenovat (libovolně), pak projít přes Windows Hello, klíč připojit (nebo přiložit) a nakonec (z důvodů bezpečnosti) stvrdit přidání novým přihlášením.


Postup přidání tokenu (klíče) na mobilním telefonu, v prostředí Androidu, je obdobný i pro přidání otisku prstu či PINu v roli bezpečnostního klíče. Jen pochopitelně neprochází přes Windows Hello, ale žádá přímo o určení toho, co má být přidáno – buď otisk prstu, kód PIN, nebo připojení hardwarového tokenu (přes USB, Bluetooth nebo NFC).