Názory k článku
CZ.NIC spouští projekt napojení služby mojeID na NIA

Potvrzuji, funguje (už asi týden).
Jen mi to v MojeID přepsalo jméno a příjmení na JMÉNO a PŘÍJMENÍ.

Ano, to nevypadá hezky, bohužel, takto nám to chodí o NIA. Pokusíme se s tím něco udělat.

Nepříjemné je, že se to bude šířit dál např. i do eshopu, kam se přihlašuji přes MojeID a pak mi třeba přijde zásilka na JMÉNO PŘÍJMENÍ

Používáme porovnání bez ohledu na velikost písmen. Pokud jsou při takovém porovnání jména shodná, je původní jméno považováno za ověřené v ROBu a dál se používá to původní jméno. ROB přebírá data z ISEO (IS evidence obyvatel), kde jsou jména takhle, teprve mladší ročníky mají jména zapsaná správně.

Nevím jak slovenský štát, ale ten český žádné služby neposkytuje...

Vážně? Podívejte se, jak vypadá stát, který služby neposkytuje - takovým se říká defunct state - třeba Sýrie nebo Libanon, v Africe jich je taky dost.
Že ty služby jsou zřetelně horší, než třeba v Německu, je jiná věc. Ale zase najdete dost států, kde jsou ty služby horší, než u nás.

Bylo by moc pěkné, kdyby to naopak byly banky, které by umožňily přihlášení do svých systémů prostřednictvím mojeID. Ne nutně jako jediný způsob přihlašování, ale jako alternativu. Bylo by to rozhodně pohodlnější než nutnost starat se o autentizační aplikaci od každé banky zvlášť a bylo by to určitě i bezpečnější než současná praxe posílání kopií osobních dokladů a provisioningu pomocí SMS zpráv.

A je MojeID ochotno převzít na sebe plnou trestní a finanční zodpovědnost za škody v případě, že se přes MojeID k účtu přihlásí neoprávněný uživatel a účet vybílí?

To je samozřejmě dobrá otázka. Odpověď má podle mě dvě roviny:

1. Pokud se neoprávněný uživatel přihlásí pomocí správného hesla a zneužití druhého faktoru, asi se může mojeID odpovědnosti zříci, stejně jako se banky zříkají odpovědnosti za transakce kartou autorizované zadáním PIN.
2. Pokud se neoprávněný uživatel přihlásí zneužitím nějaké chyby v mojeID, pak to nepochybně bude odpovědnost provozovatele mojeID. Tuhle záruku by myslím dokázali poskytnout.

Nepochopil. Nejde o to, aby se MojeID odpovědnosti zřeklo, ale aby ji naopak přijalo. Bez toho, samozřejmě, si žádná banka nelajsne mu jakkoli důvěřovat.

Navíc zodpovědnost za zneužití není v bankovní oblasti zdaleka tak jednoduchá a řeší ji (celoevropské) regulace, například známá PSD2. Takže to není jen otázka důvěry banky, ale i regulatorního rámce. Pokud by přenesení zodpovědnosti na MojeID nebylo s ním v souladu, tak to samozřejmě žádá banka neudělá.

Banky mají nejen povinnost dvoufaktorové autorizace (zjednodušeně řečeno), ale musí zneužití aktivně předcházet monitoringem chování uživatelů, informováním o hrozbách (to jsou ty maily z banku "pozor, šíří se scam zaměřený na nás") atp. Tedy MojeID by muselo toto aktivně dělat a je otázka, zda vůbec má data na to, aby to provádělo.

Mam uz mojeID uz radu let vc. overeni OP. To ze s tim ted jde jit na statni spravu za me super.

Bude možné využívat služby státu s MojeID a se systémovým bezpečnostním klíčem na nějakém iOS zařízením? Proč je to omezené jen na Android a Windows Hello?

Také by mne zajímalo proč je podporované pouze Windows Hello a Androidí klíč a není žádná možnost použít nějakou již existující linuxovou funkcionalitu. Tedy alespoň jsem žádné řešení kromě externího HW klče nenašel.

Nejsem odborník na HW bezpečnost ale co takový TPM čip?

15. 12. 2020, 20:20 editováno autorem komentáře