Vlákno názorů ke zprávičce MojeID rozdává 3000 tokenů a losuje 20 tabletů od nocturne.op.15 - Jako MFA nelze použít MS Authenticator ani nic...

Jako MFA nelze použít MS Authenticator ani nic jiného, co už člověk má. Takže další aplikace? Díky, nechci. Ani za token ne.

Další aplikaci nepotřebujete, pokud máte právě ten token. Případně lze dnes jako další token použít vestavěný U2F v Androidu, iOS nebo třeba ve Windows.

Podpora opisovacího OTP dříve v MojeID byla, ale v roce 2022 byla zrušena, psali jsme o tom. Neodpovídá totiž současný bezpečnostním standardům a NIA ji odmítá certifikovat pro přihlášení ke službám státu.

Jako proste obecne MFA aplikaci pouzijete. Ale na vysokou uroven overeni vuci statni sprave ten (fyzicky) token potrebujete vzdycky, aplikace na to nestaci...

Jasne, moc egov sluzeb statu to dnes nepotrebuje. Ale asi casem budou pribejvat. A ano, muzete misto toho tokenu lovit ctecku a obcanku s cipem, jen to je na spoustu use-case min pohodlne.

Tak nevím, já token nemám a normálně podávám přiznání a obsluhuju všechny služby na portálu občana. Neví náhodou token potřeba jen pro ten nejvyšší stupen? Já mám značná a pohoda.

Ano, token je potřeba až pro úroveň záruky vysoká, což je ten nejvyšší stupeň.

Pro přihlášení ke službám státu je potřeba splnit nějaké bezpečností standardy, a ty nejde splnit s univerzálním TOTP, kde nevíte vůbec nic o tom, jak se zachází s klíčem.

hlavně nemáš pod kontrolou cestu, kudy putuje TOTP, není to odolné proti MitM, není jasné pro jakou akci se TOTP používá atd.

Jako MFA nelze použít MS Authenticator ani nic jiného, co už člověk má.

Já naopak nesnáším, když nějaký web doporučuje nebo dokonce vynucuje 2FA, ale jako jedinou možnost nabízí TOTP (a samozřejmě ani nenapíše, že je to standardní TOTP, ale schovává to za název konkrétní "apky"). S FIDO2 tokenem je autentizace mnohem jednodušší a navíc stejný token můžu pooužívat i pro ssh, takže nevidím důvod, proč to vnímat jako nějaké příkoří. Naopak, TOTP je v praxi daleko otravnější a zdržuje mnohem víc.

A že je potřeba pořídit si "drahý" token? Ten GoTrust, který si z nějakého důvodu tak moc oblíbili u MojeID, stojí na alze 699 Kč, FIDO2 only Yubikey (tj. model bez podpory openPGP) pořídím na yubikey.cz za 774 Kč (na Alze stojí o něco víc, ale zase ho budu mít za pár hodin za rohem v Alzaboxu). Za podobnou cenu pořídím 256GB flashdisk nebo rozumnou kancelářskou myš. Opravdu má smysl řešit takovou "závratnou" částku?

GoTrust IdemKey si u MojeID oblíbili, protože to byl ve své době jediný token, který měl certifikaci L2 a tudíž byl použitelný právě pro vysokou úroveň ověření. Bylo možné samozřejmě použít i jiný token, ale tam proběhlo jen přihlášení na úroveň značná.

To je sice hezké, ale nějak nemůžu zapomenout, že při mé patálii s debugováním toho, proč mi jejich systém odmítá registrovat můj Yubikey, mi support MojeID ze zoufalství navrhl, že mi pošlou zadarmo ten GoTrust. Radost jsem z toho moc neměl, protože důvodem, proč jsem si ten Yubikey pořídil, bylo (kromě bazírování příslušných systémů na certifikaci) právě to, abych nepotřeboval jeden token na openpgp a druhý na FIDO2 (což v té době Nitrokey nenabízel). A stejně to skončilo něčím v duchu Jo, aha, vy vlastně máte Linux, tak to radši ne, tam jsou s tím GoTrust problémy.

Pokud by to někoho zajímalo: problém s Yubikey spočíval v tom, že kontrola, jestli má token certifikaci, se dělá porovnáním jakéhosi UUID s oficiálním seznamem certifikovaných tokenů od FIDO Alliance. To UUID je ale různé pro FIDO2 a pro U2F - a Yubico na ten seznam z nějakého důvodu pro tuhle verzi tokenu a firmware dalo jen UUID pro FIDO2. A jako na potvoru chromium, pokud token podporoval FIDO2 i U2F, přednostně použilo U2F (i když by to člověk logicky čekal naopak), takže token byl webem MojeID vyhodnocen jako neregistrovaný. Jako workaround, aby nebylo nutné čekat, než Yubico doplní i UUID pro U2F, stačilo tokenu zakázat U2F, tím se vynutilo FIDO2 a token/firmware byl najednou certifikovaný. (Pak jsem ale musel U2F zase povolit, protože některé aplikace bohužel fungují jen s U2F.)

Ta dualita atestací U2F a FIDO2 je bohužel peklo a vyřeší se asi až časem kdy U2F úplně zanikne. Pokud vás to zajímá, tak situace je ještě komplikovanější a chování Chrome se liší podle toho jestli máte nastavený PIN nebo ne. Nicméně vývojáři Google to berou jako feature a nikoliv jako bug a ani společný tlak CZ.NIC a Yubico zatím nevedl k opravě.
https://issues.chromium.org/issues/324027363

Co ale popisujete neni chyba na strane MojeID, ale na strane prohlizecu. Ve Firefoxu to jeden cas nefungovalo vubec - krom jineho ve finale i proto, ze se neumel zeptat na PIN. A bavime se tady o dost low-level vecech, co se i blbe debuguji i z pozice te podpory. A podivejte se, kdy ten bug byl otevreny... a kdy vyreseny.

Mimochodem Yubikey5 a certifikace... s "FIPS" verzi na uroven vysoka dosahnete, s obycejnym (aka ne-FIPSovym) nikoliv. Pritom uvnitr to pohani Infineon SLE78. Proste ho Yubico na FIDO L2 certifikovat nenechal - zatimco obycejnejsi/lev­nejsi SecurityKey tu certifikaci ma...

No ale MojeID je tady v obecne rovine proste vazano nejakymi podminkami akreditace od MVCR. Je to mozna opruz, ale tohle fakt nevznika v CZNICu, ale na nasich slavnych uradech...