V roce 2021 jsem si v článku o Bankovní identitě a jejích možných rizicích povzdech, že v Identitě občana chybí proaktivní opatření, jak znemožnit přihlášení novým přihlašovacím prostředkem, aby si např. uživatel mohl, po přihlášení prostředkem s úrovní záruky (LoA, Level of Assurance) „vysoká“, zakázat aktivaci/připojení nových přihlašovacích prostředků. Tehdy Identita občana na síti X zareagovala, že v průběhu roku uživatel dostane možnost si své prostředky „vypínat“ nebo „zapínat“:
Co se dozvíte v článku
Služba byla implementována v říjnu loňského roku a kvalifikovaní správci systému elektronické identifikace měli stanoveno přechodné období, do kterého museli tuto novou funkčnost implementovat a v současné době již všichni zamykání podporují. Pojďme se podrobně podívat na to, jak funguje.
Přihlašovací prostředky
Seznam všech přihlašovacích prostředků, které máte aktivovány a můžete je využít pro přihlášení prostřednictvím Identity občana, naleznete v Portálu Identity občana v sekci Přihlašovací prostředky:
Pokud jste ještě nikdy tuto sekci nenavštívili, určitě doporučuji se do ní podívat. Nezřídka se setkávám s tím, že je někdo překvapen, jaké všechny prostředky má aktivované a neví o tom (nebo na to zapomněl). Většinou jde o situaci, kdy má bankovní účty u několika různých bank, některé z nich již nepoužívá, a jeho banky patří mezi ty, které automaticky přihlašovací prostředek aktivovaly, aniž by si to klient vyžádal.
Přihlašovacích prostředků můžete mít souběžně několik, jak státních (elektronický občanský průkaz (pozor, neplést s eDoklady v mobilu), NIA ID, Mobilní klíč eGovernmentu), tak vydávaných soukromoprávními poskytovateli (mojeID, I.CA, bankovní identity). V některých případech můžete mít i více prostředků stejného typu, např. Mobilní klíč eGovernmentu můžete nainstalovat do více mobilních telefonů a každou instalací vznikne nový prostředek nebo u mojeID můžete používat více FIDO tokenů a každý je veden jako samostatný prostředek.
Zamykání
Aby bylo možné prostředky uzamykat, je nutné mít v sekci Moje údaje vyplněn a ověřen alespoň jeden notifikační údaj (kontakt):
Důvod si vysvětlíme za chvíli.
Vlastní zamykání (i odemykání, změna nebo zjištění stavu uzamčení) se provádí v již zmíněné sekci Přihlašovací prostředky. Zamknout lze kterýkoli prostředek, bez ohledu na to, jakým prostředkem jste přihlášeni. Můžete např. pomocí prostředku s úrovní záruky (LoA, Level of Assurance) „Značná“ (prostřední úroveň) uzamknout prostředek úrovně „Vysoká“ (nejvyšší úroveň). Lze uzamknout i prostředek, kterým jste aktuálně přihlášeni. Pokud chcete prostředek uzamknout, stačí na něj kliknout a zobrazí se jeho detail:
Po kliknutí na tlačítko „Zamknout“ se zobrazí dialog s možnostmi uzamčení:
Lze zvolit datum do kterého má být prostředek uzamčen, nebo uzamčení na maximální dobu, která je 100 let. Datum začátku uzamčení se volit nedá. Kliknutím na tlačítko „Okamžitě uzamknout“ se uzamčení provede, což je signalizováno ikonou červeného zámečku jak v detailu prostředku, tak v seznamu všech prostředků:
Současně je na kontaktní údaje zaslána notifikace o provedení uzamčení:
Je škoda, že se notifikace týkající zamykání (i odemykání) nezasílají do Mobilní klíče eGovernmentu, do kterého se mohou zasílat např. notifikace při provedení přihlášení.
Pokud zamykáte prostředek, kterým jste aktuálně přihlášeni, tak uzamčení způsobí okamžité automatické odhlášení, na což jste upozorněni:
Při zamykání je důležité mít na paměti, že uzamčení se projeví pouze při přihlašování prostřednictvím Identity občana, tzn. na státní weby/aplikace. Pokud si v Identitě občana např. uzamknete vaši bankovní identitu, tak se pomocí ní nepřihlásíte např. do Portálu občana, ale přihlášení k soukromoprávním službám bude nadále fungovat. Dále platí, že se jedná skutečně pouze o dočasné uzamčení a nikoli o trvalé zneplatnění/zablokování prostředku.
Odemykání
Odemykání prostředku se, obdobně jako zamykání, provádí v zobrazeném detailu (nenechte se zmást nadpisem „Zamknutí přihlašovacího prostředku“):
Na rozdíl od zamykání lze odemknout pouze prostředek se stejnou nebo nižší s úrovní záruky, takže např. uzamčenou eObčanku (LoA „Vysoká“) si pomocí Mobilního klíče eGovernmentu (LoA „Značná“) neodemknete. Po kliknutí na tlačítko „Odemknout“ se zobrazí dialog pro potvrzení zaslání ověřovacího kódu:
Zde se dostáváme k tomu, proč je třeba mít v sekci Moje údaje vyplněn a ověřen alespoň jeden notifikační kontakt – ověřovací kód se zasílá na ně:
Je vhodné mít zadané a ověřené kontakty oba (e-mail i SMS) a udržovat je aktuální. Pokud byste měli zadaný pouze jeden kontakt a ten už neplatil, uzamčený prostředek neodemknete, protože kód je vyžadován vždy, i pokud odemykáte prostředek s nižší úrovní záruk, než jste aktuálně přihlášení.
Pozn.: na konci textu si ukážeme, že v případě některých prostředků lze i tuto situaci „vyřešit“.
Obdržený kód je platný 15 minut a na jeho zadání jsou 3 pokusy. Po 3 neúspěšných pokusech za poslední 3 hodiny je odemknutí prostředku na 3 hodiny zablokováno a budete odhlášeni.
Po úspěšném odemknutí prostředku jsou na kontaktní údaje zaslány notifikace:
Změna doby uzamčení a hromadné zamykání/odemykání
Dobu uzamčení prostředku lze upravit pomocí tlačítka „Změnit“:
Dobu lze prodloužit i zkrátit. Změnu je nutné potvrdit pomocí ověřovacího kódu, obdobně jako při odemykání prostředku.
Pomocí nabídky „Hromadné akce“ lze provádět hromadné zamknutí nebo odemknutí prostředků:
Po výběru typu akce se zobrazí zatržítka pro výběr prostředků, u kterých má být akce provedena a v případě zamknutí volba doby zamknutí a v případě odemknutí tlačítko pro zadání ověřovacího kódu:
Pravidla jsou obdobná jako v případě zamykání a odemykání jednotlivého prostředku.
Odemykání zamčeného prostředku pomocí „sebe sama“
V případě, že se pokoušíte přihlásit uzamčeným prostředkem, zobrazí se následující informace:
Identita občana tedy implementovala i možnost odemknout uzamčený prostředek, kterým se zrovna pokoušíte přihlásit. Pokud nyní kliknete na tlačítko „Chci prostředek odemknout“, vyžádá si nejprve nové přihlášení:
Ověřovací přihlášení je prováděno do speciální aplikace „Odemknutí prostředku“. Po jeho provedení následuje už dříve popsané zaslání a zadání ověřovacího kódu a odemčení prostředku:
Pro zadávání kódu opět platí stejná pravidla – po 3 neplatných pokusech během 3 hodin následuje blokace na následující 3 hodiny.
Závěr
Na závěr si nejprve shrňme hlavní vlastnosti zamykání:
- zamyká se vždy konkrétní prostředek,
- pro odemknutí je třeba znát kód zaslaný na notifikační kontakty,
- uzamčený prostředek lze odemknout i pomocí sebe sama.
Aby bylo zamykání bezpečnější, je vhodné mít nastavené notifikační kontakty tak, aby zprávy na ně zasílané nebyly dostupné ze zařízení, ze kterého je používán prostředek, který se má uzamknout, jinak by si ho útočník při kompromitaci zařízení odemkl. Ve většině případů tomu tak zřejmě nebude, protože málokdo si pro tyto účely vyhradí speciální mobilní číslo a e-mail a to i z důvodu, že na tyto kontakty mohou být zasílány i jiné notifikace. Je to ale volba uživatele a tato možnost zde je.
Pozn.: nelze použít např. mobil nebo e-mail rodinného příslušníka, obojí musí být dle podmínek výhradně ve vašem vlastnictví.
K čemu uzamykání přihlašovacích prostředků využít? Mě osobně se smysluplné scénáře hledají obtížně. Možná odjezd na dovolenou, na kterou sebou neberu FIDO token a pro jistotu přihlašování přes něj zamknu. Naopak scénáře, které bych já velmi uvítal (uzamčení přidávání nových prostředků, pokud nesplňují stanovou úroveň záruk (LoA) nebo zamčení přidávání prostředků od vyjmenovaných poskytovatelů), řešení neumí.
Pokud byste se uzamknutím chtěli např. ochránit před nevyžádaným zřízením bankovní identity nebo před tím, aby někdo vaši identitu vůči státu při její kompromitaci převzal, tak byste si ji paradoxně museli první zřídit a následně uzamknout, a to ideálně u všech bank, které ji nabízejí. Mohla by to být cesta. Sice značně kostrbatá, ale alespoň nějaká.
Vyzkoušel jsem ale ještě jednu věc. Věc, která je svatým grálem uživatelských podpor na celém světě. Věc, kterou uslyšíte jako první radu a která vyřeší 98 % všech IT problémů a která zní:
„A zkusil jste to vypnout a zapnout“?
Provedl jsem uzamčení (bod 1 na obrázku níže) své ČSOB bankovní identity (ČSOB eID). Následně jsem se přihlásil do internetového bankovnictví, kde jsem jedním kliknutím službu ČSOB eID vypnul (2) a dalším kliknutím ji opět zapnul (3). Asi tušíte, co se stalo a co plyne z první odrážky uvedené v závěru a § 16 odst. 1 písmena h) zákona 250/2017 o elektronické identifikaci. Uzamčený přihlašovací prostředek byl zneplatněn a z Identity občana odstraněn a nahradil ho nový, který již uzamčen nebyl a následně se pomocí něj šlo přihlásit (4).
Pozn.: v případě mojeID by útočník výše uvedený scénář takto jednoduše provést nemohl, protože pro každé povolení přihlašování přes Identitu občana vyžaduje nové ověření totožnosti (bod „Ztotožnění osoby“ v (3) je něco jiného).
Takže ani možnost, že byste si zřídili bankovní identitu a pak ji v Identitě občana uzamkli, toho moc neřeší a stejně jako v roce 2021 mohu jen konstatovat, že bankovní identita je bez pochyb dobrá věc pro ty, kdo ji chtějí. Pro ty, kdo ji nechtějí, ani implementace zamykání nepřinesla možnost, jak se jí bezpečně zbavit. Možná se dočkáme někdy příště.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU