Názory k článku Bankovní identita je dobrý sluha. Existují ale i důvody, proč ji nechtít

Přidám další důvod proč NE:

Stalo se mi, že jsem naletěl na inzerát na sbazaru. Říkal jsem si, že platba na bankovní účet je bezpečná, protože daný účet v české bance (Equa) si mohl někdo otevřít jen s průkazem totožnosti. A pak mi vyšetřoval PČR vysvětlil, jak se to má:

Běžný účet pro FO je možné u řady bank v CR založit přes Internet - vyplníte údaje, doplníte scan občanského průkazu a pak musíte BUĎ zajít do banky podepsat smlouvu NEBO si nechat smlouvu doručit kurýrem - a to i na jinou adresu než stálé bydliště.

a v tom je ten zakopaný pes. Kurýr při doručení smlouvy určitě nebude chtít a ani nesmí vidět váš občanský průkaz, takže smlouvy může podepsat naprosto kdokoliv kdekoliv a ten první scan občanky přes Internet? No tak k němu se podle kriminalisty dostanou daní jedinci snadno - cílí na zoufalé jedince, kteří se nechají nalákat na nejrůznější pochybné půjčky na internetu a v daných případech je prý pravidlem, že posílají scany svých dokladů někomu na druhé straně.

takže onen "zprostředkovatel půjčky" má jak všechny údaje dané osoby, tak i doklad totožnosti a banka mu otevře účet ANIZ BY HO V ZIVOTE VIDELA díky kurýrnímu doručení smlouvy.

a TOTO má být záruka bankovní identity?? NIKDY"! - dokud se nezakáže zákonem otevírání bankovních účtů bez fyzické přítomnosti a ověření dvěma doklady na pobočce.

Osobně vidím selhání na straně státu. Cíl byla bankovní identita a zbytek se nějak neřešil.

Stát
1. měl a má umožnit lidem konfiguraci oprávněných prostředků pro přihlášení
2. měl nastavit nějaké mantinely/podmínky pro banky, např.
- pouze OPT-IN
- kompletní blokace bankovní identity apod.

Problém je pokud se někdo dostane k údajům z bankovnictví, ale podobně by si někdo mohl zkusit založit účet u jiné banky na zcizené doklady.

Bohužel jen další systém, který zmate běžné lidi a umožní vykukům nabýt možnost vydávat se pohodlně za někoho jiného. To bude zas půjček na bílé koně, odebraného zboží z eshopů, nakoupeného krypta a podvodů na bazarech.

Kurýr při doručení smlouvy musí vidět váš občanský průkaz, dokonce z něj musí některé údaje opsat. V tom problém není. Problém je v tom, že kurýr někde na ulici těžko ověří, že je občanský průkaz pravý. Zejména když zápasí se samotnou procedurou podpisu smlouvy, takže určitě nebude chtít adresáta otravovat ještě nějakým zkoumáním občanky. Navíc by byl sám proti sobě – kurýr je placený za to, kolik zásilek doručí. Jakékoli pochybnosti o pravosti občanky ho jen zdržují.

Tak ve skutečnosti to už vím detailně. Bezpečnost sítí/aplikací a šifrování je moje práce. To jak to celé dopadne si připomeneme, tak za dva až tři roky. Těch aha momentů bude celkem dost.
Neustále se u mých klientů setkávám s neuvěřitelnými postupy, které provedli a díky nim přišli o peníze nebo došli jiné k reálné škodě. Co si tak pročítám, tak toto opravdu usnadní práci těm co se neštítí používat postupy, které tady nebudu raději zmiňovat. Na Váš pocit, že se pletu, máte samozřejmě právo.

právě z toho důvodu vůbec nechápu jak mohlo projít tohle řešení bankovní identity, kdy se aktivuje naprosto všem. Z mého pohledu to je bezpečnostní riziko jak hrom.

Opt-out bankám obecně nejde a je to příšerné. Chtěl jsem třeba zařídit, abych neměl v internetbankingu „předschválené půjčky jedním kliknutím“ - neplánuji si půjčovat (a kdybych někdy musel, tak zajdu na pobočku), a tohle akorát způsobí, že když to někdo vyhackuje, tak kromě vyluxování zůstatku na účtu mi ještě udělá statisícové dluhy. A… nejde to. (mbank)

Dovolím si vám odcitovat: "Od ledna 2021 vám jsou k dispozici on-line služby státní správy. V průběhu roku 2021 se začnou připojovat i soukromé subjekty, tedy poskytovatelé služeb, pojišťovny, zdravotnická zařízení, školy a e-shopy."
Zdroj: https://www.csas.cz/cs/o-nas/bezpecnost-ochrana-dat/bankovni-identita

a poprosím vás aby jste zanechal snahy o dehonestaci oponenta v diskuzi. Je mi to za vás trapné.

Díky za výborný článek.

Motivací, proč to jde nyní až příliš snadno, určitě bylo, aby to šlo aktivovat "na pár kliknutí". A opravdu to funguje, viz tento příspěvek https://www.facebook.com/pavel.profugus/posts/1770544836441136
Z pár komentářů pod tím je vidět, že veřejnost o tom zatím netuší nic a je (příjemně) překvapena.

Zdá se, že řešení ja jasné, mělo by to jít v NIA vypínat/zapínat a zdá se, že už je to v plánu. Možná i kvůli tomuto článku nebo už z dřívějších diskusí zde.

Ověření oprávněnosti URL by se zlepšilo, kdyby všechny státní weby byly pod gov.cz a tedy i používaly odpovídající SSL certifikát.

Zeptám se tedy takto:
- slouží "bankovní identita" k ověření totožnosti v online prostředí?

- bude "bankovní identita" sloužit v komerčním prostředí pro sjednání smlouvy k ověření totožnosti?

- bude "bankovní identita" v budoucnu sloužit jako "nástroj pro elektronické podepisování" ?

Já jsem se v dostupných dokumentech jednotlivých bank dočetl, že na všechny tři mé otázky lze odpovědět: "Ano", a mít pravdu.

V každém případě porovnání "bankovní identity" nesnese z pohledu zákonných dopadů na občana srovnání s integrací prosté autentifikace typu FB,Moje-id, apod.
V dnešní společnosti stačí drobná nepozornost a máte na leta zajištěné problémy běhání po soudech.
Bankovní prostředí z pohledu IT dvou velkých bank znám z relativně nedávné minulosti. To co předvedla Moneta s tím plain heslem zašifrovaným (zřejmě) symetrickou šifrou je takové typické a nepřekvapilo mne. Takže jsem se ani nedivil, když ze záložní AMEX karty mého klienta, kterou měl uloženou v trezoru. V originální neotevřené obálce z banky byly odečteny dvě celkem velké transakce za útratu na jihu Evropy. Z neaktivované karty, ze které nebylo 'naštěstí' setřeno ochranné políčko s kódem sloužícím pro aktivaci na tel. lince. Jak se to asi mohlo stát, že byla zneužita neaktivovaná služba a došlo k odečtu peněz z účtu?
Stát a organizace nad občany aktivují miliony možností, jak je může uvést v nějaký pro ně problematický děj. Vzhledem k celkové úrovni implementace IT na státní úrovni (byť zde přeneseně do komerčního prostředí) si nedělám iluze, že se z národní identity časem stane cíl stále se zlepšujícího se phishingu lokalizovaného pro ČR. Viz velmi kvalitní phishing co se týče konverze, provedený na držitele domén na konci minulého roku.

Co se týče existence NIA a SONIA, tak vidím minimálně problematickou komunikaci o tom jaký je mezi nimi technologický vztah a jaké jsou jejich možnosti z pohledu právních úkonů. Platí že SONIA == BankID? Jakým způsobem a v jakých situacích SONIA komunikuje s NIA?
Zjevně jste rozhodně výrazně lépe informován než já. Přečetl jsem asi deset různých článků. Přečetl jsem si výstupy z nové právní úpravy ZoB a ZoAML a je pravděpodobné, že jsem to správně nepochopil. Web https://bankovni-identita.cz/ obsahuje hodně informací, které mi lecos vysvětlili. Přesto pokud máte chuť, tak mne prosím opravte.

Já jsem dostal informace takové, jaké jsem napsal výše. Tak či onak "kurýrní doručení" je neakceptovatelná slabina.

Tak nějak nechápu, proč by měli lidé litovat uživatelé "windows 10" - dle vámi popsaného příkladu. Abych to vysvětlil o trochu lépe, problém není v systému / OS, ale že uživatelé jsou zejména násilnými kroky těchto výrobců / poskytovatelů software donuceni k lenivosti a nic nekontrolují a o nic se nestarají.

TOTO začalo s érou mobilních komunikátorů / mobile apps typu Viber, WhatsApp, kdy každý co měsíc vám nuceně skrze push technologii donutí novou verzi a nemáte žádnou možnost, jak to odmítnout. Bud si ji necháte nainstalovat nebo se vám aplikace na telefonu nespustí.. totální vydírání, protože pro starší verze do určíteho "kolene" není nutné, abyste museli app upgradovat. Toto nikdo naprosto neřeší..

no.. ale to je jen jedna z mnoha výtek.. pokud patříte mezi ty - bez-mozky, co plati z pohodlnosti všude telefonem a nikoliv DEBETNI či kreditní kartou, tak si za podobné jednání ze stran těchto oligopolů můžete sami a nějaká bankovní identita vás fakt nemusí vůbec trápit - vy jste už dávno rezignovali na selský rozum a zdravé uvažování, že by bylo vhodné mít přístup k bankovnímu účtu oddělený od všeho, co se dá.. když máte nutnost platit všude mobilem, tak si pak nestěžujte, že něco nefunguje a nežádejte v nejhorším možném scénáří nějaké refundance či reklamace ze strany banky.. ono vytáhnout plastovou kartu z peněženky není zase tak složité oproti přiložení nějakého mobilu k terminálu.

a už jen TOTO - totálně labilní a namátkový příklad naprosto jasně ilustruje chování převážné části populace.. jak chcete někoho chránit, když ti lidi jsou tak LINI, NESCHOPNI.. a NEZNALI rmožných hypotetických rizik, že všude budou platit mobilem.. ?? .. ale když o prachy přijdou, tak budou řávat první a poslední..

20. 1. 2021, 02:12 editováno autorem komentáře

Tak jsem zkusil vypnout pouziti bankovni identity CSAS pro treti strany pres George web a jde to snadno.
Blbý je, že uplne stejně to jde i zapnout!
To je zlej sen, ne opt-out.

1) Spořitelna pořád ověřuje účty SMSkou. Asi jim nikdo neřekl, že MSFT do všech Windows 10 nainstaloval "Your Phone", který přenáší SMSky štandopéde do PCčka.
2) Bankovní identita v George se dá vypnout, ale obratem zase zapnout - ne to opravdu není opt-out ani náhodou. Pro reaktivaci musí zavést návštěvu na pobočce, jinak je to k ničemu.
3) U státní správy musí být možné udělat out-out, tj. zvolit, jaké prostředky identifikace chci používat vůči státu a reaktivace nikdy online, jen na úřadě. Je to standardní bezpečnostní postup - blokaci platební karty taky uděláte snadno.

To je tak, když bezpečnost vezmou do ruky poučení laici - v horším případě úředníci a poslanci. Je to mnohem složitější, než si dokážou představit a i ty největší firmy, co na to mají peníze, personál i zkušenosti to čas od času seknou blbě.

Doufejme, že to "vypne/zapne" neznamená jen ovládání existujících identifikačních prostředků, ale i zablokování těch, co ještě neexistují (tzn. zablokování přidání/zřízení nového).

Pojistky se musí vyvíjet zároveň se systémem, ne po něm.

nic si z toho nedělejte, pan Jirsák se dlouhodobobě rádoby "nad věcí" vyjadřuje ke všemu, protože je expert na všechno. I na případné odcizení identity - a proto neváhá do svého avatara si nahrát svůj obrázek :)

mBance se doporučuji vyhnout obloukem. Jejich přístup k ověřování totožnosti mi předvedli loni na podzim. Proběhla mezi námi zmatečná komunikace při převodu kreditního úvěru z KB do mBank a já předpokládal, že vše udělají oni (tak mne informovala paní v kiosku co prováděla převod) Nakonec to dopadlo tak, že mi naúčtovali 650kč pokutu za to, že mám nesplacený kredit u KB. Takže když jsem otevřel reklamaci. Tak že prý na KB kreditce (kterou jsem nezrušil, protože jsem myslel, že to při přesunu udělají oni) mám dluh 0,- a že ho mám splatit a do mBank to nahlásit. Takže jsem jel do KB zrušit kreditku a ty papíry dle požadavku mBank (a proto ten příběh aby byl kontext): podepsat tužkou a oscanované poslat na jejich mail. Tu pokutu mi stejně nezrušili. Tak jsem tam zrušil všechny účty a snad už žádnou pokutu nepošlou.

V průběhu tohoto roku nasadíme službu, kdy uživatel dostane možnost si své prostředky „vypínat“ nebo „zapínat“.

https://twitter.com/eIdentitaCz/status/1351506713199980545

Lepší pozdě než nikdy.

> LUXUS, image

Jenže to je právě naopak, když si luxus a image musí zaplatit banka (nebo jakákoli jiná společnost), tak o to musí obrat své klienty. U bank jsou to různé „supervýhodné“ investiční fondy a neustálé vnucování půjček a kreditek, ale podobný jev je vidět třeba i u mobilních operátorů. Vezměte si třeba takový Odorik, který prý má zaprděný kamrlík někde (v životě jsem tam nebyl, nebylo proč, zaregistrovat se umím po internetu), a už v době, kdy se strašně řešilo, jak je „velká trojka“ šíleně drahá a má roaming za 50 Kč/min, nabízel hovory do celého světa za desetníky. Ale T-Mobile z něčeho ty provozovny zaplatit musel. Jediné, kdy je to naopak, jsou případy, kdy „jejich luxus“ přímo používá i zákazník (hotely, lázně, restaurace). Ale do banky fakt za luxusem nechodím.

> důvěryhodnost, stabilitu.. stěží někoho nalákáte na to, že jste "super stabilní" na to, že máte 2x 1 m2

Tak to je pouze psychologická hra. Naopak, stabilita se dá opět narušit tím, že se peníze utratí na pobočky a pak se zkrachuje.

> takže klienti ani nemají žádné soukromí

Upřímně, já jsem zatím nenašel důvod, proč vlastně do banky chodit - byl jsem tam dvakrát, když strašně potřebovali abych jim ukázal občanku a podepsal papír (možná by to šlo vyřešit i vzdáleně, ale bylo hezky a pobočka je kousek, tak jsem to neřešil a šel jsem tam), a to bych mohl udělat i v tom stánku v obchoďáku.

Zas tak hrozné to není. BankID zákon (a další regulace) vyžaduje fyzické ověření klienta pracovníkem banky, bez toho není možné se vůči NIA ztotožnit. A využívat jakékoliv další identitní služby.

Zneužití online onboardingu za účelem podvodu ale funguje, také jsem získal nepříjemnou zkušenost s podvodníkem.

Jinak ale samotný článek popisuje velmi dobrou pointu, není to bezpečné.
Na druhou stranu, státní IT infrastruktura je naprosto neuvěřitelná, viz. publikace o tom, jak očkovací rezervační systém odesíliá v URL rodná čísla, čísla pojištěnce atp., včetně šmírování advertisting systémy. Pak tu máme i pochybný systém parkování MPLA (způsob ukládání platebních údajů a jejich zabezpečení), elektronické dálniční známky...

Myslím, že problémem nebude jen propojení bank a státu, větší obavu mám z propojení bezpečných regulovaných bank s infrastrukturou státu, která je děravá, ignoruje pravidla a best practices. Online státní správa by měla být tím nejbezpečnějším, co je. Takto jsem v pokušení přepnout do "offline" režimu a dokud to jen trochu půjde, volit tradiční postupy bez možnosti vše propojit s mojí skutečnou identitou (a jedním úspěšným útokem ohrozit všechno).

V případě ČSOB sice není ČSOB Identita zřízena automatizovaně, ale pro zřízení stačí přístup do internetového bankovnictví. Pokud by útočník pronikl do internetového bankovnictví oběti, může jí identitu zřídit. Oběť se o zřízení identity nedozví, protože jí nepřijde žádné upozornění na kontaktní údaje, které má evidované ve svém internetovém bankovnictví.

Zvlastni tvrzeni. Kdyz jsem si ji vcera zrizoval prisly mi 2 emaily na moje kontaktni udaje a musel jsem potvrzovat v mobilnim klici.
Mozna snad, ze by mohl prijit dopis, pokud by potencialni utocnik zvladl zmenit email a nejak si privlastnit mobil s klicem.

Článek je ale o propojení Bankovní identity na NIA. E-shopy budou moci používat SONIA, což je čistě soukromoprávní vztah mezi e-shopem a bankou. E-shop už dnes takový vztah může mít s kýmkoli jiným – s telekomunikačním operátorem, s Googlem, Facebookem či Twitterem, s MojeID. Jak si udělá e-shop autentizaci uživatelů je prostě čistě na něm. Jediná změna je v tom, že banky – jako velmi regulované odvětví – mají zakázáno podnikat takřka v čemkoli jiném. No a teď se mezi povolené výjimky přidalo i poskytování elektronické identity.

Ale pokud vám vadí, že se do e-shopu vedle účtu z Facebooku a MojeID budete moci přihlásit i přes banku, napište, jak by to podle vás mělo být. Že by se do e-shopu bylo možné přihlašovat jenom jménem a heslem a nijak jinak?

Nesnažím se dehonestovat oponenta v diskusi. Pouze jsem poukázal na to, že nevíte, o čem píšete. Což se zatím stále potvrzuje.

Dnes není problém mít účet vyhrazený jen a pouze na provoz a k tomu spárovaný telefon nebo hodinky, je to pohodlné.
Zbytek peněz pak samozřejmě máte jinde.

Uf, vůbec mne nenapadlo, že by to vypínání šlo implementovat i takhle, aby bylo k ničemu. Doufejme, že to opravdu bude znamenat možnost zvolit si, které prostředky mají být u mého účtu povolené. Ostatně tak to bylo dosud, před bankovní identitou – když jsem chtěl přidat nový prostředek, musel jsem to potvrdit nějakým existujícím prostředkem nebo přes CzechPoint.

tohle bude asi lehce "off topic", ale já osobně bych se měl na pozoru před bankou, která má potřebu své "služby" nabízet ne v butiku (skleněné oddělené buňce) ale v nějakém stupidním kiosku uprostřed promenády.. pokud hrdost té banky dokáže až tak hluboce klesnou, že považuje za přijatelné, aby se nabízela jak nějaká "c---ra" na každém rohu.. tak prosím - ale beze mě.. a Mbank je tím naprosto vyhlášená.. Mít pobočku v OC je dobrý nápas - ale ne jako tuctový laciný kiosek uprostřed promenády.. to je tak nestkuečně LACINE..

To vychází z mé zkušenosti, když jsem to zkoušel (v době ověřovacího provozu). Nedorazil mi ani e-mail ani SMS. Kolega to zkoušel se stejnými výsledky.
Ale nemám jejich mobilní klíč.

19. 1. 2021, 13:28 editováno autorem komentáře

Že vůbec netušíte, o co jde, víme už z minulé diskuse – nemusíte to tu opakovat.

Já vím o tom, že hesla si ukládá MONETA Money Bank: https://twitter.com/0xabadea/status/1349062839261163524

Víte to detailně. Aha. Takže vy spotřebitelské půjčky, e-shopy, nákup kryptoměn a nákup v bazaru řešíte se státní správou. Jasně, chápu. Spotřebitelskou půjčku vám dá finanční úřad, elektroniku kupujete přes e-shop Ministerstva průmyslu, kryptoměny nakupujete na Ministerstvu financí a bazarové věci nakupujete na krajském úřadě.

Ano, mám velmi silný pocit, že si buď pletete veřejnou správu a komerční sektor, nebo vůbec netušíte, o čem je v článku řeč.

Fajn, aspoň něco.
Jen bych se rád dožil toho, že stát jednou něco v IT promyslí a udělá pořádně.

Tuto "nevídanou drzost" zavedl eIDAS a řídí se Zákonem o elektronické identifikaci (250/2017 Sb.) Pokud váš zubař projde zákonnou identifikací, můžete ho skutečně využívat jako poskytovatele identity.
Můj názor je, že pokud bychom ponechali zřizování elektronické identity výhradně na státu, dožijí se ho možná naši vnukové. Své cca dvě dekády monopolu stát už měl a jak je využil, posuďte sám.

Protože dobrovolný opt-in onboarding nenažene celou populaci do jednoho systému e-governance. To, že je to provedené naprosto prasácky a nebezpečně, už zřizovatele bohužel tolik nezajímá.

Osobně vnímám tři strategie, jak je možné získat vysoká čísla uživatelů:

1) first to market. To už dnes nejde, FB/Google a ostatní ovládají celý online prostor a Google/FB/Apple vlastní naprostou většinu platforem, které následně uzavřeli.

2) distruptor. Předběhnu legislativu, zničím zavedené hráče a naberu uživatele dříve, než mě stihnou regulovat. Uber, AirBNB.

3) regulatorní implementace. BankID. Akorát se tu snaží o použití některých distruptivních strategií (auto-opt-in) a rychlého vstupu s novou technologií na trh, s implementací na straně bank i státu, což ani jedné instituci tradičně moc nešlo.

Všimněte si, že jsem vůbec nepsal o mé fotce. Psal jsem o tom, co předpokládám u ostatních. No a když předpokládáte, že lžu, pak je moje odpověď na vaši otázku zbytečná, řekl bych – protože stejně nebudete vědět, jestli je pravdivá nebo zda zase lžu.

K těm vašim právním domněnkám – při použití fotky cizí osoby by to bylo porušení práv pouze v případě, kdyby to bylo bez souhlasu dotyčné osoby. Fotky lidí ale dnes můžete koupit za pár drobných na fotobankách.

A pak existuje takový hezký web https://thispersondoesnotexist.com, který generuje přesně tenhle typ fotek umělou inteligencí. Takže to nejsou žádní skuteční lidé. Občas to sice vygeneruje nějakou zrůdičku, ale na avatara o rozměrech 40×40 pixelů je jich použitelných dost. Není zač.

Jinak je kouzelné, že to, jakou mám kredibilitu v diskusích na základě profilových informací a obrázku, řeší někdo, kdo vystupuje jako jeden z mnoha uživatelů „bez přezdívky“.

Vždycky jsem si myslel, že přihlašovací údaje jsou v bance v bezpečí - je to její zájem.
Přesto jsem viděl dopis, ve kterém jistá banka informovala klienta (který si zde otevřel účet s internetovým bankovnictvím, kde si hned změnil heslo), že mu byl zřízen účet a internetové bankovnictví s heslem - TÍM KTERÉ SI KLIENT NASTAVIL, a že si má (znovu) heslo změnit.
Naštěstí zde zatím "bankovní identitu" nezapínají...

A - koukám, že to asi vidělo víc lidí.
Předpokládám, že jde o stejnou banku - ten článek a diskusi jsem nečetl, přeskočil. Ten dopis přišel včera...

Jenže když si má banka pořizovat honosné kamenné pobočky, tak na to musí nějak vydělat. A vydělá samozřejmě na svých klientech.

slouží "bankovní identita" k ověření totožnosti v online prostředí?
Je to jeden z prostředků k ověření totožnosti v online prostředí vůči veřejným institucím.

bude "bankovní identita" sloužit v komerčním prostředí pro sjednání smlouvy k ověření totožnosti?
Ověření totožnosti je záležitost veřejného sektoru, ne soukromého. V soukromém sektoru se provádí prakticky jen kvůli prokázání vůči veřejnému sektoru. Ověření totožnosti pro čtvrtou stranu (třeba e-shop – že by měl třeba pro případ soudního sporu důkaz, že jste objednal vy) nedává smysl, protože by bylo potřeba důvěřovat i té čtvrté straně (e-shopu).

bude "bankovní identita" v budoucnu sloužit jako "nástroj pro elektronické podepisování" ?
Identita a podepisování jsou dvě odlišné věci. Bohužel to spousta lidí nerozlišuje, takže je v ČR snaha na spoustě míst nahrazovat podepisování autentizací (třeba Datové schránky…). Zatím jsou to ale stále ojedinělé případy řešené speciálním zákonem („v tomto případě je možné podpis nahradit autentizací“). Tahle tendence je to nejnebezpečnější v současném českém e-governmentu – a nijak to nezávisí ba bankovní identitě.

V každém případě porovnání "bankovní identity" nesnese z pohledu zákonných dopadů na občana srovnání s integrací prosté autentifikace typu FB,Moje-id, apod.
Právě že z pohledu e-shopu apod. je to to samé. E-shop se rozhodne, zda konkrétní implementaci přihlašování (třeba FB nebo bankovní identita) bude důvěřovat a jak moc. Je možné, že bankovní identitě bude e-shop důvěřovat víc. Že třeba dovolí takové identitě objednat s odloženým splacením bez dalšího ověřování. Ale to je pořád věc a riziko toho e-shopu. Zákonné dopady na občana nejsou žádné.

V dnešní společnosti stačí drobná nepozornost a máte na leta zajištěné problémy běhání po soudech.
Jenže v tomto případě je riziko na straně toho, kdo té identitě důvěřuje, ne na straně občana. Pokud má e-shop v databázi, že jste si něco objednal vy (a zadal jste registrační údaje do formuláře), nebo že jste si to objednal prostřednictvím bankovní identity, je to z hlediska státu (třeba soudů) pořád to samé – je to totiž pořád jen záznam v databázi toho e-shopu, který si tam mohl e-shop vložit sám, ať jde o vaši registraci přes formulář, přihlášení přes Facebook nebo přihlášení přes bankovní identitu.

 To co předvedla Moneta s tím plain heslem zašifrovaným (zřejmě) symetrickou šifrou
Na to jste přišel jak?

Stát a organizace nad občany aktivují miliony možností, jak je může uvést v nějaký pro ně problematický děj. Vzhledem k celkové úrovni implementace IT na státní úrovni (byť zde přeneseně do komerčního prostředí) si nedělám iluze, že se z národní identity časem stane cíl stále se zlepšujícího se phishingu lokalizovaného pro ČR. Viz velmi kvalitní phishing co se týče konverze, provedený na držitele domén na konci minulého roku.
No, konečně se blížíte něčemu, s čím bych mohl souhlasit. Podle mne se autentizace má používat jen pro věci, které mají krátkou časovou platnost a nelze tam napáchat moc škody. Jakékoli podstatné věci by se měly řešit elektronickým podpisem. Elektronický podpis lze kdykoli dodatečně ověřit, autentizaci ne. Akorát že tohle vůbec nesouvisí s bankovní identitou – to je jenom jeden z moha nástrojů autentizace.

Platí že SONIA == BankID?
Teoreticky ne, ale nevím, jestli dnes může identitu do SONIA poskytovat i někdo jiný, než banky.

Jakým způsobem a v jakých situacích SONIA komunikuje s NIA?
Žádným, ty identity jsou oddělené. SONIA má jenom ze základních registrů aktualizované údaje.

"honosná KAMENNA" pobočka opravdu není nějaká "prosklená koje" ve zdi OC.. a banky prodávají hlavně LUXUS, důvěryhodnost, stabilitu.. (image).. stěží někoho nalákáte na to, že jste "super stabilní" na to, že máte 2x 1 m2 uprostřed nejrušnější pasáže (takže klienti ani nemají žádné soukromí) a každý večer musíte z pultíku uklízet mrňavou MFP tiskárnu do spodních dvířek, které se dají zamkmout - proč? .. to se ptám sám sebe také.. ale je to vidět všude.. očividně asi se bu´d v OC krade nebo dané banky jsou totálně paranoidní.

tak či onak, ASI se na podobném konceptu dá vydělat.. podobně, jako když bude v tipsportu sázet na kurty 1.08 .. ale nějaký zásadní přínos či úspěch tyto kvazi odporné "ostrůvky" fakt nemají.. možná to ale marketing dané banky má velmi dobře podchycené a věcí to samé (tj. že nové klienty na ty pultíky nenalákají) .. ALE jako placený product placement /(reklama) je to levnější, než si nechat pověsit někde v centru obří billboard.

co moneta.. ta je tak pokroková, že jako JEDINA banka v CR na svých bankomatech vám po vložení karty automaticky nabídně "chcete si vybrat jako posledně 20.000 Kč?"

- opravdu BEZVADNY ZLEPSOVAK! kde je nějaké soukromí daného držitele karty? Co když mu někdo kouká přes rameno? je to fakt docela velkým písmem.. už jsem před více jak rokem podal stížnost a reklamaci GE Money aka MONETA bance, že toto je zcela nepřijatelné (viz důvody výše) - nulová odpověd. CNB.. nulová reakce..

takže ano.. máte-li někdy nutkání BYT NEJSTE klientem Monety si vybrat v nejbližším bankomatu dané banky větší obnos, tak buďte připraveni na to, že i za více JAK DVA ROKY vám po vložení stejné karty do jejich bankomatu bude automaticky nabízet "chcete si vybrat jako posledně ? - danou částku" - až pak máte možnost zvolit NE.. a zadat si jinou částku.

Že se vyjadřuju ke všemu se dá snadno vyvrátit. Že jsem expert na všechno je vaše spekulace. Nevím, jak jste k tomu přišel. Každopádně můj názor to není.

O případném odcizení identity toho asi vím aspoň o málo víc, než vy. Například proto, že u avatara automaticky nepředpokládám, že je to skutečně obrázek dotyčného. Mimochodem, identita je založená na jedinečnosti, kterou nikdo jiný nedokáže napodobit. Takže pokud by někdo používal identitu založenou na fotografiích, vaše fotografie by byla tajná a pak se jí někdo prokázal, bude to mnohem silnější důkaz vaší identity, než když je ta fotka veřejně dostupná a může si ji stáhnout každý.

tak to si dovolím z vašeho příspěvku vypíchnout tuto část:

Například proto, že u avatara automaticky nepředpokládám, že je to skutečně obrázek dotyčného.

zkuste mi - nám (ostatním) vysvětlit, POKUD TOTO není vaše reálná fotka - proč ji vůbec v profilu používate?

napadá mě pouze následující:

a) fotka není vaše a použil jste ji, aby váš profil byl tzv. "více důvěryhodný" - nicméně použití CIZI fotky je poškozování práv dané osoby a trestné dle zákonů ČR

b) je to vaše fotky, lžete z nějakého důvodu a kdo ví proč.. ale ani tak vám to nepřipadá na popularitě.

TAKZE.. JE TO VASE FOTO - nebo není? -- paklíže není, pak porušujete zákony ČR a mám za to, že v takovém případě se s vámi vypořádá i Lupa.cz.

POKUD JE - tak jste se usvědčil z lhaní, že to vaše foto není a tedy vaše "kredibilita" v názorech je značně diskutabilní.

Ale mají v plánu bankovní identitu zavést v prvním kvartálu 2021, takže za chvíli. A nebylo to založení účtu, ale převod z jiné banky, kterou pohltili. Nicméně se to díky tomu proflláklo, bavili jsme se o tom u článku o BI v ČSOB.

Seznam bank co BI plánují zavést, a rámcově kdy, je na bankovni-identita.cz/banky-a-reseni/

Můžu se zeptat, jaká konkrétní rizika vidíte při platbě telefonem u platformy iOS?

Zřízení datové schránky po přihlášení přes eIdentita.cz bude fungovat od úrovně "značná" výše.

Můzu poprosit o info k tomu MPLA? Celkem by mě zajímalo, jaká rizika jsou tam spojená s uložením platební karty. Děkuji

Jestli mě něco fakt nezajímá, tak jak vypadá pobočka banky. To je asi jako řešit, jestli má prodejce hrnců dostatečně značkové sako.

Nemá cenu proti panu Jirsákovi protestovat. Zbytečně na tom ztratíte mládí. Musí vám stačit lajky, těch máte u svých, dle mého rozumných, příspěvků, dost.

Jestli to chápu správně, tak pokud se státní správou budu e-komunikovat přes eIdentitu.cz zřízenou klasickou cestou osobně přes Czechpoint, tak se za mě vůči státní správě nikdo přes bankovní identitu – jiný identifikátor vydávat nemůže, ikdyby se mi naboural do e-bankovnictví, kde nejde bankovní identita vypnout, resp. jde zas snadno zapnout. Je tomu tak?

Bohužel to chápete špatně. NIA ID zřízená (redp. aktivovaná) přes CzechPOINT a bankovní identita jsou zcela rovnocenné prostředky. Můžete používat oba najednou (a k tomu další způsoby).

Aha, díky za vyvedení z omylu, v tom případě ale není cesty, jak se jí vyhnout / zablokovat, v takové situace je pak snad výhodnější jí alespoň aktivně využívat a průběžně kontrolovat.

...není–liž pravda?

Pokud máte jiný prostředek (eObčanak, MojeID, NIA ID, ...), tak ji aktivně používat nemusíte. Aktivním používáním bezpečnost nezvýšíte. Spíš je dobré jednou za čas projet a zkontrolovat seznam přihlášení v eidentita.cz, to je zatím jediná cesta, jak zjistit, že byla zneužita (pak je možná jednodušší ji nepoužívat, protože v seznamu přihlášení uvidíte, zda byla použita nebo ne a nebude se vám to plést v Vašimi přihlášeními).

Pokud ale jiný prostředek nemáte (a nechcete jej) a akceptujete riziko případných vyšších škod, tak ji klidně používejte. .Já chci to riziko raději rozložit, což bohuižel zatím nemohu.