Bankovní identita, eObčanka, datové schránky, eIdentita

[redhaven]

Obecný dotaz: Banky mají dle všeho online přístup, napojení na registr platných kartových občanských průkazů (ověření dle čísla OP) ?

[astrapa]

Banky mají získat přístup do registrů (nebo už získaly?), viz třeba starší zpráva https://advokatnidenik.cz/2019/08/26/zp ... -k-udajum/

[redhaven]

Zcela evidentně dle mé zkušenosti mají banky online přístup pro ověření OP dle jeho čísla minimálně.

[Jhypo]

Banky mají nějaký přístup do registrů, při změně bydliště a nové OP mi jich hned několik psalo, jak mám naklusat na pobočku.

[S474N]

astrapa: motas vic veci dohromady Ja treba doporucuji "cerny" YubiKey, protoze ma nejenom zakladni FIDO2/WebAuthn (tak jako levny modry YK), ale taky ma moznost jejich OTP (ktere je super v tom, ze si vezmu libovolny telefon s NFC a nainstalovanou aplikaci a po prilozeni klicenky mi ukaze moje OTP), ale ma hlavne podporu pro Challenge-response.

Samozrejme v ramci WebAuthn muzes jeden klic pouzivat treba na 20 ruznych sluzeb, nicmene ti reknu, proc je dobre pouzivat drazsi cerny. Do nej si totiz muzes naprogramovat svuj klic, ktery potom muzes prave pouzivat v ramci Ch-R. Typicky use case je ten, ze mas treba vsechny hesla v KeePassXC, ktery mas zasifrovany (pro toto pouziva tvoje heslo, ktere mu zadas a on ho predhodi v ramci Ch-R klici, ktery mu vrati odpoved a teprve touto odpovedi on sifruje/odsifrovava). Je to naprosto neprolomitelne, protoze svuj klic si zadavas sam (a v pripade ztraty/rozbiti si muzes vlozenim stejneho klice jej pouzivat nadale). KPXC je z meho pohledu nejgenialnejsi spravce hesel, protoze mimo toto umi sam o sobe OTP kody, takze neni duvod je mit kdekoliv jinde. Prihlasim se heslem do programu, potvrdim dotknutim YK a jsem uvnitr a tam si muzu generovat OTP kody k cemukoliv.

Naproti tomu WebAuthn duplikovat nijak nelze. Proste klic, ktery priradis dane sluzbe, tak tim se dovnitr dostanes, jinym ne. Proto se doporucuje mit klice nejmene dva.

Ta problematika je docela slozita a neprehledna, sam se uz chystam na sepsani nejakeho clanku prave se zakladnim use-case a navodem k pouziti, protoze v mem okoli se na to lide dokola ptaji.

[astrapa]

Který z nich myslíš, jsou všechny černé https://www.yubico.com/cz/store/#yubikey-5-series

Uvažuji o koupi "YubiKey 5C NFC", tedy s USB-C, můžu ho strčit i do mobilu (resp. mobil má NFC, ale kdyby náhodou nefungovalo bezkontaktní ověření).

Jinak prý existuje HW token i se čtečkou prstů, ten jsem ale nemohl najít.

Prosímtě napiš nějaký blbuvzdorný článek a ukaž tam na příkladech, jak ten token napojit třeba zrovna na mojeID nebo Dropbox/Facebook, aby to bylo jasné.

-- 13. 1. 2021 11:54 --

Prosímtě a co se teda do té klíčenky nahrává? Myslel jsem nějaký certifikát toho každého serveru. Když jí propojím s více službami (moje ID, Dropbox, Facebook, Google, atd.), jak jednotlivé služby poznají, že tahle klíčenka je "jejich"?

-- 13. 1. 2021 11:56 --

A ještě by mě zajímalo, jestli jde používat víc klíčenek, když jednu ztratím, abych měl v šuplíku záložní. Chápu, že při ztrátě je dobré z důvodu bezpečnosti zrušit u každé služby autentifikaci a nastavit novou, ale abych se do těch služeb dostal, tak při ztrátě klíčenky potřebuji nějakou náhradní, ne?

-- 13. 1. 2021 12:04 --

Tak čtečka prstů je toto https://pages.yubico.com/yubikey-bio-updates.html
ale ještě asi není v prodeji.

[S474N]

astrapa: nejsou, "zakladni" SecurityKeye (ty, ktere treba rozdaval v kampani NIC.cz) jsou modre.

YK se cteckou byl zatim jen predstaven, ale nejak v nem nevidim zadnou vyhodu. Naopak vidim znacnou nevyhodu (prave proto, ze muj use case zohlednuje i mou pripadnou ujmu na zdravi ci zivote), takze ho nikdo dale nebude moci pouzit. Naproti tomu obycejny je sam o sobe chranen velmi dobre, klic pro Ch-R z nej nedostanes a bez pristupovych hesel k jednotlivym sluzbam/programum je stejne k nicemu.

K tem navodum - budu zpracovavat neco trosicku jineho, na kapku vyssim levelu. Jak si zabezpecit bezne veci je volne na netu, treba mojeID ma pekny videonavod:
https://www.youtube.com/watch?v=p9HpNvHWdfQ

Na Facebook mi YouTube hned vyjel tohle video:
https://www.youtube.com/watch?v=YMs53JKVLiw

A takto muzes pokracovat sam.

Vic klicenek je prave naopak zadouci pouzivat, prave z duvodu ztraty (a pripadne pro pozustale,...). Jen samozrejme pokud se bavime o WebAuthn, tak musis mit vsechny klicenky pridane k dane sluzbe. Bohuzel nekteri provozovatele stale nabizi pouze moznost pridani jedne klicenky. Na druhou stranu zase maji ruzne zachranne fraze, atd.

[LXIDCX]

Obecný dotaz: Banky mají dle všeho online přístup, napojení na registr platných kartových občanských průkazů (ověření dle čísla OP) ?

Banky mají nějaký přístup do registrů, při změně bydliště a nové OP mi jich hned několik psalo, jak mám naklusat na pobočku.

Banky mají přístup pouze k databázi neplatných průkazů totožnosti, stejně jako každý uživatel internetu https://aplikace.mvcr.cz/neplatne-doklady/ a pravidelně si stahují ty soubory a přenáší do svých databází. Proto vám pak napíšou, že u vás evidují starý a chtějí číslo nového.

[hgfdsa]

Správně. Ale některé banky to ani neřeší.

[Stileth]

U mojeID bezi od zari kampan kde vybranym uzivatelum nabizi HW klic zdarma.
Byl jsem jeden z nich a zaslali tento: https://www.gotrustid.com/idem-key

Dobrý den,

vybrali jsme vás jako jednoho z prvních uživatelů v ČR, kteří dostanou možnost využívat výhod přihlášení ke službám veřejné správy přes mojeID.

V případě zájmu navíc bezplatně obdržíte USB/NFC bezpečnostní klíč v hodnotě 500 Kč, který je pro přihlašování ke službám veřejné správy potřeba.

[ROlda78]

MojeID mě pěkne nakrklo, jsem si udělal další stupeň ověřeni přes otisk v Android. telefonu a na CheckPointu si nechal oveřit identitu (validace). Výsledek je, že můžu na mobilu plně používat např. portál občana, ale v pc nic. Tedy doslova 0, nepřihlásím se ani třeba k Idnes (přes MojeID). Prý je to vlastnost! Prostě buď pc (Win. Hello) nebo mobil (Biometrie).

[Stileth]

To mi moc nedava smysl, ale veci tohoto typu resim zasadne na PC s velkym monitorem, takze jsem na tohle omezeni nenarazil.

[S474N]

ROlda78: co je to za nesmysl? MojeID je snad sluzba, ktera funguje napric vsemi platformami. Pokud si na nejakem zarizeni zvysil (diky nemu) svuj level overeni (typicky otisk prstu treba na Windows 10 nebo pridal HW token), tak je logicke, ze do sluzeb v souvislosti s touto potrebnou urovni se z jineho zarizeni nedostanes. Na druhou stranu jsem si ovsem jist, ze to nebude zrovna diskuse na iDnes, do ktere se muzes prihlasit i se zakladnim typem mojeID.

[ROlda78]

Dne St 04.lis.2020 14:05:37, rolda@gmail.com napsal(a):
Dobrý den, nastavil jsem si dvoufaktorové přihlášení (2. faktor přes Android).
Ale teď se nemohu přihlásit v počítači, jen v mobilu. Jak se teď přihlásit k mojeID.cz v počítači?
Děkuji, ROlda
===============================================
Dne st 4. 11. 2020 15:01 uživatel Daniel K...... via RT
<podpora@mojeid.cz> napsal:
Dobrý den,
děkujeme za kontaktování naší podpory.

Bohužel systémový klíč je v současné době možný jen z jednoho
zařízení a to počítáč s Windows 10 nebo mobilní zařízení Android v.7 a vyšší.

Vytvořením systémového klíče na telefonu jste získal přístup k
veřejné správě, ale pouze přes toto zařízení.
http://www.mojeID.cz - vaše bezpečná webová identita
===============================================
Dne St 04.lis.2020 15:05:25, rolda@gmail.com napsal(a):
Dobrý den,
mám tomu rozumět tak, že přihlašování přes mojeID teď nemohu v
počítači používat?!?!
Díky, ROlda
===============================================
Dobrý den,
ano, je to tak.
K získání přístupu na počítači je třeba zrušit klíč na telefonu.

S pozdravem
--
Daniel K......
specialista zákaznické podpory
CZ.NIC, z. s. p. o.

[S474N]

ROlda78: vzdyt to je presne to, co jsem ti tu psal i ja

Respektive ty sis to jeste "vylepsil" tim, ze sis nastavil 2FA i primo pro samotne mojeID (a ne jen treba pro NIA/eIdentita). Tak je potom logicke, ze se z jineho zarizeni nemuzes prihlasit, pokud to nemas jak potvrdit.

Pokud to myslis se zabezpecenim vazne, tak si kup YubiKey, o kterem jsme se bavili vyse a mas jistotu, ze se prihlasis z libovolneho zarizeni s USB nebo NFC.