Další aplikaci nepotřebujete, pokud máte právě ten token. Případně lze dnes jako další token použít vestavěný U2F v Androidu, iOS nebo třeba ve Windows.
Podpora opisovacího OTP dříve v MojeID byla, ale v roce 2022 byla zrušena, psali jsme o tom. Neodpovídá totiž současný bezpečnostním standardům a NIA ji odmítá certifikovat pro přihlášení ke službám státu.
Jako proste obecne MFA aplikaci pouzijete. Ale na vysokou uroven overeni vuci statni sprave ten (fyzicky) token potrebujete vzdycky, aplikace na to nestaci...
Jasne, moc egov sluzeb statu to dnes nepotrebuje. Ale asi casem budou pribejvat. A ano, muzete misto toho tokenu lovit ctecku a obcanku s cipem, jen to je na spoustu use-case min pohodlne.
Jako MFA nelze použít MS Authenticator ani nic jiného, co už člověk má.
Já naopak nesnáším, když nějaký web doporučuje nebo dokonce vynucuje 2FA, ale jako jedinou možnost nabízí TOTP (a samozřejmě ani nenapíše, že je to standardní TOTP, ale schovává to za název konkrétní "apky"). S FIDO2 tokenem je autentizace mnohem jednodušší a navíc stejný token můžu pooužívat i pro ssh, takže nevidím důvod, proč to vnímat jako nějaké příkoří. Naopak, TOTP je v praxi daleko otravnější a zdržuje mnohem víc.
A že je potřeba pořídit si "drahý" token? Ten GoTrust, který si z nějakého důvodu tak moc oblíbili u MojeID, stojí na alze 699 Kč, FIDO2 only Yubikey (tj. model bez podpory openPGP) pořídím na yubikey.cz za 774 Kč (na Alze stojí o něco víc, ale zase ho budu mít za pár hodin za rohem v Alzaboxu). Za podobnou cenu pořídím 256GB flashdisk nebo rozumnou kancelářskou myš. Opravdu má smysl řešit takovou "závratnou" částku?
To je sice hezké, ale nějak nemůžu zapomenout, že při mé patálii s debugováním toho, proč mi jejich systém odmítá registrovat můj Yubikey, mi support MojeID ze zoufalství navrhl, že mi pošlou zadarmo ten GoTrust. Radost jsem z toho moc neměl, protože důvodem, proč jsem si ten Yubikey pořídil, bylo (kromě bazírování příslušných systémů na certifikaci) právě to, abych nepotřeboval jeden token na openpgp a druhý na FIDO2 (což v té době Nitrokey nenabízel). A stejně to skončilo něčím v duchu Jo, aha, vy vlastně máte Linux, tak to radši ne, tam jsou s tím GoTrust problémy.
Pokud by to někoho zajímalo: problém s Yubikey spočíval v tom, že kontrola, jestli má token certifikaci, se dělá porovnáním jakéhosi UUID s oficiálním seznamem certifikovaných tokenů od FIDO Alliance. To UUID je ale různé pro FIDO2 a pro U2F - a Yubico na ten seznam z nějakého důvodu pro tuhle verzi tokenu a firmware dalo jen UUID pro FIDO2. A jako na potvoru chromium, pokud token podporoval FIDO2 i U2F, přednostně použilo U2F (i když by to člověk logicky čekal naopak), takže token byl webem MojeID vyhodnocen jako neregistrovaný. Jako workaround, aby nebylo nutné čekat, než Yubico doplní i UUID pro U2F, stačilo tokenu zakázat U2F, tím se vynutilo FIDO2 a token/firmware byl najednou certifikovaný. (Pak jsem ale musel U2F zase povolit, protože některé aplikace bohužel fungují jen s U2F.)
Ta dualita atestací U2F a FIDO2 je bohužel peklo a vyřeší se asi až časem kdy U2F úplně zanikne. Pokud vás to zajímá, tak situace je ještě komplikovanější a chování Chrome se liší podle toho jestli máte nastavený PIN nebo ne. Nicméně vývojáři Google to berou jako feature a nikoliv jako bug a ani společný tlak CZ.NIC a Yubico zatím nevedl k opravě.
https://issues.chromium.org/issues/324027363
Co ale popisujete neni chyba na strane MojeID, ale na strane prohlizecu. Ve Firefoxu to jeden cas nefungovalo vubec - krom jineho ve finale i proto, ze se neumel zeptat na PIN. A bavime se tady o dost low-level vecech, co se i blbe debuguji i z pozice te podpory. A podivejte se, kdy ten bug byl otevreny... a kdy vyreseny.
Mimochodem Yubikey5 a certifikace... s "FIPS" verzi na uroven vysoka dosahnete, s obycejnym (aka ne-FIPSovym) nikoliv. Pritom uvnitr to pohani Infineon SLE78. Proste ho Yubico na FIDO L2 certifikovat nenechal - zatimco obycejnejsi/levnejsi SecurityKey tu certifikaci ma...
No ale MojeID je tady v obecne rovine proste vazano nejakymi podminkami akreditace od MVCR. Je to mozna opruz, ale tohle fakt nevznika v CZNICu, ale na nasich slavnych uradech...
Co ale popisujete neni chyba na strane MojeID, ale na strane prohlizecu.
Netvrdil jsem, že to byla chyba na straně MojeID, spíš to beru jako takovou nešťastnou shodu několika okolností. Tím, že jsem nakonec po mnoha roundtripech se supportem MojeID našel vysvětlení, a tím i funkční workaround, jsem to nakonec pustil z hlavy. Ale je trochu alarmující, že k vyřešení problému s dost možná nejběžnějším tokenem bylo potřeba množství úsilí, vytrvalosti a znalostí, které lze očekávat jen od velmi malého zlomku uživatelů.
Ve Firefoxu to jeden cas nefungovalo vubec - krom jineho ve finale i proto, ze se neumel zeptat na PIN.
No, ona to bohužel pořád není žádná sláva. Verze 115esr už se sice na PIN zeptat uměla, ale byla tam chyba, kdy se ten pop-up pro zadání PINu musel odeslat kliknutím na tlačítko, protože když se jen stiskla klávesa Enter, vyhodilo to nějakou krytpickou chybu. Teď se do Leapu dostala 128esr a... jediný rozdíl je v tom, že místo chyby se při použití Enter ten pop-up suše zobrazí znovu. :-( V chromiu sice Enter funguje tak, jak by člověk čekal, ale zase většinou trvá neuvěřitelně dlouho, než se ten pop-up vůbec zobrazí.