Názory k článku Do datových schránek se nově můžete přihlásit mobilním klíčem. Jak to funguje?

Google Authenticator by měl být k dispozici jako 2FA, nikde není použit přece jako 1FA auth - to je nepochopení konceptu!
Kombinace ID schránky + heslo + 2FA je bezpečná, Google Auth se NIKDY nepoužívá pro přihlášení BEZ HESLA.

Dále by mě zajímalo, jak funguje práce s DS na mobilu s použitím mobilního klíče? Je jasné, že QR nejde nasnímat, takže co pak? Umí použít DS WebShare API (které je k dispozici asi 3 roky) nebo jak dopraví generovanou informaci do mobilního klíče?!

Dotaz č. 2: lze toto přihlášení použít přímo v Portálu občana (PO), do kterého se člověk přihlašuje pomocí DS, nebo je nejprve nutné se přihlásit do DS a pak tou do PO? PO totiž vykazuje chybu oprávnění, pokud se do něj člověk přihlásí pomocí DS, ale funguje správně, pokud je přihlášen pomocí bodu Národní identity (eidentita.cz).

Celá digitalizace české správy je zmatená a bez cíle, tak mi to přijde po 10 letech, co to s povzdechem sleduju...

Vpravo nahoře Nastavení, pak Možnosti přihlášení a úplně dole Přihlášení bezp. kódem. Ovšem jak jsem právě zjistil, Přihlašování bezpečnostním kódem nebude v budoucnu podporováno! Doporučujeme přechod na přihlašování pomocí Mobilního klíče. Tak z toho radost nemám.

Já tedy chápu námitku v článku o navýšení úrovně bezpečnosti z nízké na značnou a v zásadě s ní souhlasím, ale obávám se, že „řešení“, resp. omezení uvedené v článku nic neřeší. Pokud se nepletu (možná se něco změnilo, datovou schránku už mám dlouho), jsou všechny datové schránky na počátku autentizovány jen jménem a heslem. Ano, mohu si navýšit bezpečnost použitím dvoufaktorové autentizace (OATH), ale to je stejný případ jako ten popisovaný: přihlášením pomocí jména a hesla si aktivuji druhý faktor. Bezpečnostně tedy nic nezískávám. (Jediné, co by dávalo jakýs takýs bezpečnostní význam, by bylo dovolit další upgrade bezpečnosti až po třeba měsíci úspěšného používání druhého faktoru, ale přijde mi to poněkud překombinované.)

Tenhle problém prostě řeší všichni, zejména banky: pokud chcete opravdu bezpečně někoho autentizovat (abyste mu třeba mohli vydat bezpečnostní prvek s vyšší úrovní bezpečnosti), potřebujete ho dostat na pobočku, což nechce ani jedna strana. A přinejmenším do chvíle, kdy budou všichni mít eID občanky s čipem (u kterých je „pobočkou“ úřad, na který musíme ať chceme, nebo ne) a doma čtečku a bude to použitelné i pro třetí strany, to ani nijak moc dobře řešit nepůjde.

A jak se to tam nastavi? Zadnou takovou moznost tam nevidim...

Datové schránky přihlášení pomocí OATH (tedy třeba pomocí Google Authenticatoru) podporují jako druhý faktor už dávno. Tohle je ještě něco jiného.

https://gitlab.labs.nic.cz/datovka/datovka/issues/430

Dik za super odpoved.

Mobilní klíč je jedna z možností jak se přihlásit, ne jediná. Můžete si nechat pořád jen jméno / heslo nebo eObčanku.

Jednorázová hesla, která podporuje Google Authenticator, fungují offline, není tam potřeba žádná komunikace – zařízení generující heslo musí mít uloženo klíč, a podle typu ověření potřebuje buď čítač ověření nebo přesný čas. Např. ještě před érou chytrých telefonů měla takhle eBanka řešené zabezpečení účtů, měl jste k účtu něco, co vypadalo jako klasická kapesní kalkulačka, a to počítalo příslušné kódy – a připojení k internetu to samozřejmě nemělo.

V tomhle případě by ale Google Authenticator použít nešlo, protože přihlášení funguje trochu jinak – princip je podobný, jako třeba mobilní platby s MasterPass. Z obrazovky v okamžiku potvrzování naskenujete QR kód (to Google Authenticator neumí, tam se používá buď ten čítač nebo aktuální čas) a aplikace pak přes internet odešle odpověď (takže nikam žádný kód neopisujete – to opět Google Authenticator neumí).

Google Authenticator se používá jako druhý faktor, takže ověřovací klíče mohou být krátké – typicky je to šest číslic. V datových schránkách ten kód funguje jako jediný faktor pro přihlášení, takže rozhodně nemůže být takhle krátký – na šest číslic je snadné útočit hrubou silou. Při použití času pro synchronizaci je sice interval platnosti obvykle půl minuty, ale kvůli možnosti nepřesného času na zařízení se testuje i několik sousedních časů. Na vyzkoušení milionu kombinací je minuta a půl dost času. Navíc je ani nemusím zkoušet všechny, nemusím se přece trefit hned za minutu a půl, můžu zkoušet třeba 1 % možných kódů celý den.

Skoro souhlas.
Tohle ovšem je nezbytné (snad to není přehnané slovo) pro fungování státní infrastruktury, mělo by to tedy být schopné funkce v ostrovním režimu pro případ omezení nebo přerušení linek do zahraničí.

Aha. Předpokladem ovšem je, že aplikace bude ještě k dispozici pro instalaci. Což tehdy nebyla a s alternativními to také nešlo.

Obnovením ze zálohy. Je to v článku napsané

Copak nastavení a běžný provoz, to nic není. Ale co v případě ztráty nebo i jen reinstalace mobilu? Jak se pak obnovuje přístup do DS? Už jsem to kdysi zažil, a bez návštěvy Czech POINTu se to neobešlo.

Nerozumím tomu, proč všichni vytvářejí speciální aplikace pro své weby a nevyužívají Google authentizator (nebo podobnou věc na iOS). Třeba i seznam má vlastní aplikaci...

Datovka od CZ.NIC pro Android bohužel tuto formu přihlášení nepodporuje, je pak nutné používat jen web.
Neplánuje se její přidání?