Vlákno názorů k článku Do datových schránek se nově můžete přihlásit mobilním klíčem. Jak to funguje? od Fred Brooker - Google Authenticator by měl být k dispozici jako...

Google Authenticator by měl být k dispozici jako 2FA, nikde není použit přece jako 1FA auth - to je nepochopení konceptu!
Kombinace ID schránky + heslo + 2FA je bezpečná, Google Auth se NIKDY nepoužívá pro přihlášení BEZ HESLA.

Dále by mě zajímalo, jak funguje práce s DS na mobilu s použitím mobilního klíče? Je jasné, že QR nejde nasnímat, takže co pak? Umí použít DS WebShare API (které je k dispozici asi 3 roky) nebo jak dopraví generovanou informaci do mobilního klíče?!

Dotaz č. 2: lze toto přihlášení použít přímo v Portálu občana (PO), do kterého se člověk přihlašuje pomocí DS, nebo je nejprve nutné se přihlásit do DS a pak tou do PO? PO totiž vykazuje chybu oprávnění, pokud se do něj člověk přihlásí pomocí DS, ale funguje správně, pokud je přihlášen pomocí bodu Národní identity (eidentita.cz).

Celá digitalizace české správy je zmatená a bez cíle, tak mi to přijde po 10 letech, co to s povzdechem sleduju...

Vpravo nahoře Nastavení, pak Možnosti přihlášení a úplně dole Přihlášení bezp. kódem. Ovšem jak jsem právě zjistil, Přihlašování bezpečnostním kódem nebude v budoucnu podporováno! Doporučujeme přechod na přihlašování pomocí Mobilního klíče. Tak z toho radost nemám.

A jak se to tam nastavi? Zadnou takovou moznost tam nevidim...

Datové schránky přihlášení pomocí OATH (tedy třeba pomocí Google Authenticatoru) podporují jako druhý faktor už dávno. Tohle je ještě něco jiného.

Dik za super odpoved.

Jednorázová hesla, která podporuje Google Authenticator, fungují offline, není tam potřeba žádná komunikace – zařízení generující heslo musí mít uloženo klíč, a podle typu ověření potřebuje buď čítač ověření nebo přesný čas. Např. ještě před érou chytrých telefonů měla takhle eBanka řešené zabezpečení účtů, měl jste k účtu něco, co vypadalo jako klasická kapesní kalkulačka, a to počítalo příslušné kódy – a připojení k internetu to samozřejmě nemělo.

V tomhle případě by ale Google Authenticator použít nešlo, protože přihlášení funguje trochu jinak – princip je podobný, jako třeba mobilní platby s MasterPass. Z obrazovky v okamžiku potvrzování naskenujete QR kód (to Google Authenticator neumí, tam se používá buď ten čítač nebo aktuální čas) a aplikace pak přes internet odešle odpověď (takže nikam žádný kód neopisujete – to opět Google Authenticator neumí).

Google Authenticator se používá jako druhý faktor, takže ověřovací klíče mohou být krátké – typicky je to šest číslic. V datových schránkách ten kód funguje jako jediný faktor pro přihlášení, takže rozhodně nemůže být takhle krátký – na šest číslic je snadné útočit hrubou silou. Při použití času pro synchronizaci je sice interval platnosti obvykle půl minuty, ale kvůli možnosti nepřesného času na zařízení se testuje i několik sousedních časů. Na vyzkoušení milionu kombinací je minuta a půl dost času. Navíc je ani nemusím zkoušet všechny, nemusím se přece trefit hned za minutu a půl, můžu zkoušet třeba 1 % možných kódů celý den.

Skoro souhlas.
Tohle ovšem je nezbytné (snad to není přehnané slovo) pro fungování státní infrastruktury, mělo by to tedy být schopné funkce v ostrovním režimu pro případ omezení nebo přerušení linek do zahraničí.

Nerozumím tomu, proč všichni vytvářejí speciální aplikace pro své weby a nevyužívají Google authentizator (nebo podobnou věc na iOS). Třeba i seznam má vlastní aplikaci...