Takze jestli to dobre chapu, tak bez androidu (iOS) si neskrtnu? Postup je vytvorit si MojeID, pak zabezpecit se 2. faktorem, coz je bud appka nebo, bezpecnostni hw klic. Ovsem pokud ten hw klic nemam, tak to musi byt appka na androidu (iOS).
Fuj. Mobilu neverim, nevim proc bych mel uzavrenemu systemu ke kteremu nemam ani spravcovske heslo sverovat svoji bezpecnost.
To prave chapete spatne. HW tokeny s MojeID funguji nezavisle na Androidu/iOS, aplikace je pouze jeden z moznych prostredku - nikoliv jediny, natoz pak povinny. Aneb nepotrebujete zadnou aplikaci, jen ten privesek na klice. Kdyz neverite svemu mobilu, tak si tam tu aplikaci instalovat nemusite. Pouzivejte s MojeID jen HW token... a chcete-li byt paranoidni, tak klidne z nejakeho live-distra v prohlizeci.
No a jak to mam teda udelat? Tady:
https://overeno.mojeid.cz/cs/
je napsany postup jak na to. Krok c. 2 je: "Zabezpečíte účet druhým faktorem:
aplikací MojeID Klíč nebo bezpečnostním tokenem."
Z te vety mi vyplyva, ze pokud jeste ten token nemam (ten teprve dostanu, jak je napsano ve zpravicce), tak musim pouzit aplikaci MojeID. A co jsem nasel, aplikace je jen pro android nebo iOS.
Ajo fakt:
"Váš počítač s OS Windows 10 a výš (Windows Hello) nebo mobilní zařízení s OS Android v. 7 a vyšším."
Takze ten navod na strance akce je jen polovicaty. Jasne, clovek si ma precist i stranku MojeID, a buhvico jeste.
No ale nejak bych od CZ.NIC cekal trochu vic nez jen podporu uzavrenych systemu. Mel jsem za to ze v linuxu apod. jedou vic. Kdyz treba delaji Datovku i pro linux.
To nevim, protoze se v tehle oblasti vubec nevyznam. Ostatne proto jsem se na zacatku ptal.
Proste se jen divim, ze v tehle zabave s linuxem neuspeju.
Jinak predpokladam ze to od tebe byla jen recnicka otazka. Jenze ony ty recnicke otazky fakt nepomahaji. Stejne jako Dannyho prvni reakce na muj prvni prispevek, ktery byl sice dlouhy, ale vubec nepomohl a nic nevysvetlil.
Já nevím, jestli něco takového v Linuxu je. Docela by mne to překvapilo, protože si moc nedovedu představit, jak to udělat bezpečně – musel by to být nějaký podobný hack, jako u Secure Bootu. Jenže Secure Boot si řešíme jenom my ajťáci mezi sebou, použití Windows Hello pro MojeID je něco, na co někdo musí dát kulaté razítko a zaručit se, že je to bezpečné.
Takže opačně – pokud si někdo stěžuje, že MojeID nepodporuje Linux, čekal bych, že má ověřeno, že Linux takovou technologii podporuje.
AFAIK se dá v instalaci Linuxu pomocí TPM2 a nástroje fido2-token vytvořit FIDO2 klíč, který se dá potom používat k autentizaci. Nikdy jsem to nezkoušel, ale vím, že lidi z našeho identity managementu na tom pracovali, aby pak bylo možné zajistit, že se uživatel přihlašuje jen ze schváleného počítače.
Jak se to popere s certifikacemi, netuším. Počítám, že na úroveň "vysoká" to nemá šanci, ale možná té základní by to mohlo vyhovět.
Na úroveň vysoká nedosáhne ani Windows Hello. Obávám se, že bez nějaké záruky to nedosáhne ani na úroveň značná. A úroveň nízká splní i jméno a heslo… Každopádně když jsem to psal, říkal jsem si, že by možná RedHat mohl v budoucnosti udělat něco, co na tu úroveň značná dosáhne (tj. bude to stejně důvěryhodné, jako Windows Hello), ale myslím si, že by to stejně bylo jen něco v RHELu – v OSS variantách a klonech by možná by mohla být implementace, ale neměla by to razítko.