Hlavní navigace

Vlákno názorů k článku Ke službám eGovernmentu se už přihlásíte i pomocí svého účtu u služby MojeID od Filip Jirsák - Trochu jsem se ztratil v tom procesu přihlašování...

  • Článek je starý, nové názory již nelze přidávat.
  • 17. 9. 2020 17:56

    Filip Jirsák

    Trochu jsem se ztratil v tom procesu přihlašování a úrovních bezpečnosti. Výchozí stav – MojeID účet s dvoufaktorovou autentizací (OTP), není napojen na NIA. Napojení na NIA vyžaduje bezpečnostní klíč. Ten nemám u sebe, takže jsem zvolil variantu s Androidem – přihlásil jsem se k MojeID přes mobil a přidal jsem bezpečnostní klíč (otisk prstu). Pro spárování s NIA se ale musím přihlásit k NIA, volím eObčanku – a tou se zase nepřihlásím na mobilu (mám jen USB čtečku). Takže zpět na počítači, tam jsem přihlášen do MojeID jen přes OTP, jdu do propojení s NIA a po přihlášení eObčankou do NIA se účty propojily. V tu chvíli jsem byl ale do MojeID přihlášen jenom přes heslo+OTP, ne přes bezpečnostní klíč. Podle mne jsem v tu chvíli nesplňoval požadavek druhého faktoru pro NIA. A dál se můžu přes MojeID přihlásit do Portálu občana nebo k eIdentita.cz z počítače, kde nemám bezpečnostní klíč, ale jen OTP (a to ani nezadávám, protože na tomto počítači mám v MojeID zapnuté trvalé přihlášení).

  • 17. 9. 2020 19:25

    Jaromír Talíř

    S tím schvalovacím procesem u komentářů je to trochu jako meziplanetární komunikace. :) Možná by Lupa mohla po přihlášení validovaným účtem mojeID nastavit důveryhodný status automaticky.

    Máte pravdu, obecně nejde zabránit situaci, kdy někdo chce darovat totožnost někomu jinému. To můžete zařídit jednoduše třeba tak, že někomu půjčíte eOP a řeknete mu PIN, nebo v rámci procesu napojení na NIA se přihlásite svými přihlašovacím údaji NIA ID, když budete spolu sedět spolu u jednoho počítače. Toto je stejný případ a asi není nijak specifický pro mojeID.

  • 17. 9. 2020 18:03

    Jaromír Talíř

    Je třeba si uvědomit že NIA má také svůj SingleSignOn a tím že jste ověřil totožnost přes NIA (eOP) tak jste z pohledu NIA přihlášený a dokud se z NIA neodhlásíte tak se můžete přistupovat na služby napojené na NIA. To ale není přihlášení přes mojeID. Přes mojeID se přihlásíte pouze na tom tom Androidu.

  • 17. 9. 2020 21:26

    David Slížek

    Dobrý den, validace přes MojeId bohužel nezajišťuje, že dotyčný bude diskutovat slušně a k věci. Pokud ale budete do diskuse přínosně přispívat delší dobu, časem vám premoderaci vypneme.

  • 17. 9. 2020 18:11

    Filip Jirsák

    Došlo k automatickému odhlášení, a teď už se na Portál občana na počítači přes MojeID znovu nepřihlásím, protože je vyžadován bezpečnostní klíč, který mám na mobilu. Já si myslím, že nemělo jít ani to spárování a první přihlášení. Není to bug?

  • 17. 9. 2020 19:00

    Filip Jirsák

    Ano, to mi mezitím došlo, že jsem v tu chvíli byl stále přihlášený k NIA přes eObčanku. Ale to spárování MojeID s NIA při nižší úrovni zabezpečení mi stále připadá divné. Na jednu stranu jsem si jen díky tomu mohl rozšířit přihlašování k NIA i na mobil. Na druhou stranu, umožnit spárování s nižší úrovní zabezpečení znamená, že si teoreticky může spárovat MojeID účet někdo jiný.

  • 17. 9. 2020 22:01

    Jaromír Talíř

    Díky za vysvětlení. Je otázka, jestli to do budoucna zajišťuje několik schválených komentářů na začátku, ale chápu, že to tak máte aktuálně nastavené.

  • 17. 9. 2020 22:09

    Filip Jirsák

    Nejde o darování. Jde o to, že běžné MojeID přihlášení (třeba jméno, heslo, OTP) není považováno za dostatečné pro přihlášení k NIA – tj. předpokládá se, že by se tak mohl přihlásit někdo jiný. Z pohledu NIA je to vlastně stejné, jako kdybych nepřihlášený na webu vyplnil svůj MojeID identifikátor, pak bych byl přesměrován do NIA a tím by se ten identifikátor s NIA spároval. Chápu, že při tom párování s NIA je bezpečnostně důležité to přihlášení k NIA, ne k MojeID. Ale vždycky jsem nervózní, když je celé řešení na nějaké úrovni zabezpečení, a najednou je tam jeden prvek, který má tu úroveň nižší. Vazba MojeIDNIA je zajištěna víc, než vazba NIAMojeID. Bojím se, že si to někdo v budoucnosti neuvědomí a bude předpokládat, že ta vazba je oběma směry stejně bezpečná.

    Ale samozřejmě nemám žádný příklad, kdy by se to dnes dalo nějak zneužít. Potřebné certifikace určitě nejsou jen tak pro parádu. Je to jen divný pocit, z nečekaného chování. To, že můžu přenést důvěru na jiné zařízení, aniž bych musel mít jedno zařízení poskytující oba způsoby autentizace, je užitečná vlastnost. Ale byl bych klidnější, kdybych obě strany autentizoval stejně silně.

  • 17. 9. 2020 22:53

    Jaromír Talíř

    Asi jsem se ztratil v srovnávání vazeb NIA-mojeID a mojeID-NIA.

    Fakt je, že propojení je dvoukrokové - prokázání vlastnictví autentizačního prostředku a ověření totožnosti. Výsledkem je ztotožněný vlastník autentizačního prostředku. Váš komentář chápu tak, že zvažujete možnost, že druhý krok provede někdo jiný ("...že si teoreticky může spárovat MojeID účet někdo jiný"). Moje odpověď je, že pokud by to udělal někdo jiný, tak tím daruje vlastníkovi autentizačního prostředku svoji totožnost, čemuž obecně nelze zabránit, viz. popisované příklady.

  • 18. 9. 2020 10:26

    Filip Jirsák

    Problém je v tom, že ty dva kroky v tom propojení jsou propojené jen přes „slabší“ MojeID účet. Prokážu vlastnictví autentizačního prostředku slaběji zabezpečenému MojeID účtu, a pak ten slaběji zabezpečený MojeID účet na základě ověření totožnosti propojím s NIA. Jak píšete, když budu (logicky) očekávat, že někdo svou NIA identitu nedaroval jinému držiteli autentizačního prostředku, můžu se spolehnout na to, že když se někdo přihlásí přes MojeID + autentizační prostředek, je to ta správná NIA identita. Takže by člověk očekával, že to platí i opačně – že když se tímhle způsobem přihlásím, mám stejně silně zaručeno, že je to ta správná MojeID identita. Jenže tohle zaručené není. Nejvíc matoucí na tom je asi to, že propojit na NIA jde jenom MojeID účet, který má přiřazený autentizační prostředek, ale v okamžiku připojování se to vlastnictví autentizačního prostředku neověřuje.

    Problémový případ tedy není ten, kdy bych svou NIA identitu spojil s autentizačním prostředkem někoho jiného. Problém bych viděl v tom, když si někdo k cizímu MojeID účtu připojí svůj autentizační prostředek a celé to následně propojí s NIA identitou.

    A ještě k tomu „darování“ identity. Např. v PKI musí být každá žádost o certifikát podepsána privátním klíčem příslušným k veřejnému klíči, pro který se o certifikát žádá. Technicky to není potřeba a dá se to vyřešit přesně tou vaší odpovědí – pokud někdo požádá o svůj certifikát k privátnímu klíči, který vlastní někdo jiný, prakticky daruje svou identitu vlastníkovi privátního klíče. Je to jeho chyba. Ano, je. A právě proto, aby se pravděpodobnost téhle chyby snížila, musí být každá žádost o certifikát podepsaná.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).