Vlákno názorů k článku Pravidla pro tvorbu hesla: jaká hesla nejčastěji zkoušejí útočníci? od singerko - Mne by sa pacila globalna autorita ktora by...

Mne by sa pacila globalna autorita ktora by managovala moje heslo na statnej alebo europskej urovni Tento jeden bod by bol zabezpeceny a pouzival rozsirene moznosti (napr oath token, prihlasovanie pomocu privatneho kluca na obcianskom preukaze, notifikacie o prihlaseni napriklad mailom). Kazdy web, sluzba by sa overoval voci tomuto zdroju. Nevidim dovod, preco napriklad banka, nejaky web na internete, alebo kryproburza mala mat o mne akekolvek osobne informacie. Jednym smahom by sa splachlo aj cele KYC (kde treba kade tade posielat dokonca fotku obcianskeho).

Pristup k udajom v danom centralnom bode by mala napriklad policia. Nemyslim si, ze napriklad aj taka banka potrebuje vediet moje meno, alebo datum narodenia. Upne im staci dany token + doplnkove informacie podla sluzby (napriklad rok narodenia pre hypoteky).

Mam dobre skunenosti s MojeID, len by som si to predstavoval na globalnejsej urovni... Napriklad aj na natlak EU (lepsie ako vynutene potvrdzovanie cookies, alebo povinne KYC ktorych udaje nie su pod kontrolou).

2. 12. 2023, 10:43 editováno autorem komentáře

Tohle silně narazí na požadavky zákona - třeba ta banka potřebuje ověřovat klienty ze zákona daleko silněji než třeba root.cz. Navíc by to vytvořilo monopol na přihlašování (zdravím trojjediný monopol mobilních operátorů, CHAPS a podobně). Nehledě k tomu, že by taková autorita poskytla spoustu "zajímavých" informací, ať už komukoliv, kdo se nabourá dovnitř, nebo přímo státu/policii (ani jeden nepotřebuje by default vědět, že na internetu chodím třeba sem na roota).

Samozrejme, ze tato centralna sluzba by mala dostupne vsetky udaje o pouzivatelovi, ale kedze by bola zastresovana statom (alebo EU), ten uz o kazdej osobe aj tak vsetko vie. Nebolo by potrebne aby tato centralna sluzba vedela, kam vsade clovek chodi. Mala by overeny moj verejny kluc. Pri vytvarani konta napriklad na root-e by sa overilo, ze ten kluc patri k mojmu sukromnemu, cim by sa overilo, ze naozaj ide o daneho (overeneho) pouzivatela - aj ked by dany web nemusel poznat totoznost. Nasledne sa na danu sluzbu mozem prihlasovat pouzivamim mojeho privatneho kluca. Ona centralna sluzba by sa o tom nemusela dozvediet.

> ale kedze by bola zastresovana statom (alebo EU), ten uz o kazdej osobe aj tak vsetko vie

To je (redakce promine) hovadina, a navíc dost nebezpečná. Opravdu chybí už jenom "nevinní se nemají čeho bát".

> Nebolo by potrebne aby tato centralna sluzba vedela, kam vsade clovek chodi

Ta centrála se to dozví nejpozději ve chvíli, kdy si koncová služba u ní nechá ověřit klíč.

> aj ked by dany web nemusel poznat totoznost

Ta koncová služba by mě přihlásila mým soukromým klíčem, ale nedokáže podle odpovídajícího veřejného klíče ztotožnit přihlášení k mé osobě? K čemu ta centrála teda vlastně je?

Nikto nehovori, ze by nemohli fungovat aj aktualne klasicke sposoby prihlasenia. Kludne by to slo aj lokalnym kontom ..slo by o doplnok. Nieco ako teraz MojeID alebo google. Pouzival by to kto by chcel. Napriklad ja by som mal na niektorych weboch zaujem.
Centrala by bola uzitocna vzdy pri prvom prihlaseni, alebo pri zmene kluca. Web by ma overil voci tomuto zdoju a kludne by si mohol stiahnut moj verejny kluc a pokial by som pouzival rovnaky privatny, nemusi sa dany web uz centralu opierat. Ak mi predsa posle token a ja ho zasifrujem privatnym klucom, on si ho vie odsifrovat verejnym... cim ma potvrdene ze ide o mna. Ak by som zmenil kluc, znova by doslo k overeniu voci centrale.
Uloha centralneho stroja by bola o tom, aby overovala pouzivatela sposobom KYC. Cize vie, ze tento kluc patri urcite mne. Ci uz by to bolo sposobom ako je aktualne KYC alebo inym je jedno. Naviac by bola vyhoda, ze nemusi ani drzat doplnkove informacie, stacilo by, ze by mala overene danove cislo, alebo nejaky iny identifikator (cislo obcianskeho + datum platnosti). Nieco vdaka comu ta vie statna sprava dopatrat v pripade problemov. O tom predsa v pripade KYC ide, nie?. Nejde o to aby ta poznala dana stranka, nejde o to aby ta poznal ten kto ta overuje. Ide o to, ze ak nieco sposobis, aby si bol dopatratelny.
Za mna by bolo lepsie jedno centralne zastresne riesenie, ako posielanie obcianskeho kade komu po internete.

"globalna autorita"?
Tak to uz viem o com budu dalsie retazove maily od prituznej. Chcu nas ovladat, globalna autorita bude o vas vediet vsetko, mozu vas odpojit kedy sa im zachce, cenzura je tu.

Kdyz prosatras analy (nejen)tohoto webu, tak zjistis, ze presne toto prosazoval NIC, v podobne internetove ovcanky a pokousel se to protlacit do legislativy jako povinost = bez toho by ses nedostal nikam.

Argumentace byla samozrejme na tema ze bud si to zavedem sami nebo nam to vnuti. A pochopitelne take "i kdyby to melo zachranit jediny zivot" ...

Pokud NIC znamená CZ.NIC a ta vaše tajemná internetová občanka je mojeID, pak vězte, že to je služba, která předběhla svou dobu. Stát se teď složitě snaží implementovat eIdentitu, kterou CZ.NIC na své náklady provozuje už deset let. Ovšem na rozdíl od ostatních (čtěte BankID) to CZ.NIC dělá od začátku otevřeně, aby ověřenou identitu mohl použít kdokoliv. To třeba s bankovní identitou nejde.

A to jste si precetl na nejakem dezinformacnim webiku, nebo odkud cerpate? :-) Ja jen ze do utrob NICu uz docela dlouho vidim a nevzpominam si, ze by nejaka takova aktivita spojena se snahou z toho udelat zakonnou povinnost probehla. Muzete alespon odkazat na konkretni clanek tady na rootu, kde se o tom pise? Nebo tu jen sirite sve FUDy? :-)