Sdružení CZ.NIC nedávno spustilo u služby MojeID možnost přihlášení k portálům veřejné správy (více). Uživatelé služby MojeID se tak mohou přihlásit se svým účtem k různým službám státní správy bez nutnosti mít aktivní datovou schránku nebo eObčanku. Jedinou podmínkou je zabezpečení MojeID účtu FIDO certifikovaným tokenem.
Token zdarma
V rámci kampaně při spuštění rozdává CZ.NIC token GoTrust IdemKey aktivním nebo pozvaným uživatelům. Asi jsem nebyl na MojeID zas tolik aktivní a proto velké díky Radku Zajícovi za pozvánku, díky které můžu být v druhé (nebo třetí?) vlně. Po obdržení emailu s pozvánkou se stačilo proklikat odkazy z emailu, přihlásit se na MojeID, odsouhlasit podmínky kampaně a zanedlouho přišel potvrzující email o zaslání tokenu.
Z minulosti mám validovaný účet MojeID kvůli správě .cz domén, což v době před GDPR umožňovalo v registru domén skrýt některé kontaktní údaje (a taky jste dostali pěknou USB flashku :-)). Jako zabezpečení přihlášení k MojeID jsem dosud používal 2FA pomocí jednorázového kódu (TOTP), což státní správě nestačí a je potřeba vyšší forma ověření. Tou je právě tzv. bezpečnostní klíč. Buď HW token (např. výše zmíněný IdemKey, popř. nejnovější Yubikey), nebo jiné řešení splňující FIDO certifikaci L1, např. i softwarové klíče v aktuálních Windows 10 (služba Windows Hello) nebo Androidu od verze 7.
Token dorazil tak rychle, jak je v případě České pošty možné. Druhý pracovní den od odeslání jsem měl v emailu avízo o uložení zásilky na poště. Po půl hodině čekání ve frontě jsem si tak nesl domů obálku s neobyčejnou klíčenkou.
Nastavení
Zprovoznění samotného tokenu na počítači je otázka pár vteřin. Operační systém jej sám aktivuje (v Linuxu je nutno přidat pravidlo pro udev). Měl jsem strach z použití ve Windows 7, protože oficiální stránka hovoří o Windows 10, nicméně to se asi týká služby Windows Hello. Ve Firefoxu token fungoval na první dobrou. Po přihlášení na MojeID dosavadním způsobem je nutno klíč spárovat s účtem. Po spárování se výchozí 2. faktor nastaví na token, nicméně stále se lze přihlásit do MojeID za pomoci stávajících 2. faktorů. Pouze pokud se chcete přihlásit do portálu státní správy, je možnost náhradního druhého faktoru zakázána.
Nově nastavený klíč pak můžete použít k ověření při dalším přihlášení. Stačí zastrčit token do volného USB portu a na vyžádání se dotknout tlačítka na jeho těle. Dole lze přepnout na původní TOTP ověření (pokud máte nastaveno).
Po spárování tokenu je možno přistoupit k aktivaci přístupu ke státní správě. Pokud máte eObčanku, je to v pohodě a ověříte se pomocí ní. Pokud ne, tak jako já, musíte na CzechPoint. Systém vám vygeneruje žádost o zaslání informací z registru obyvatel do datové schránky CZ.NIC. Nejbližší CzechPoint mám poštu, takže mě zase čekala další obligátní půlhodina ve frontě. Paní mě překvapila tím, že se mě začala ptát (a kam to teda chcete poslat?), což jsem nečekal, ale společnými silami jsme tam našli adresu datovky CZ.NIC. Okamžitě po opuštění pošty mi dorazil email, že můžu na MojeID pokračovat.
Státní správa
Poté už jsem byl schopen se přihlásit na Portál občana a podívat se na stav bodového konta řidiče a hned poté na elektronický portál ČSSZ a vyžádat si sestavení informačního listu důchodového pojištění (abych zjistil, že mi tam chybí pár let školy). Při přihlášení je nutné vždy zvolit možnost e-identita.cz, a v dalším kroku již uvidíte v nabídce MojeID (tak jako zde je přihlášení přes NIA ID nebo eObčanku). Přihlášení tokenem je vyžadováno, nelze přepnout na TOTP.
Portál občana vám toho moc nenabídne. Kromě přehledu o platných osobních průkazech (a možnosti se nechat emailem notifikovat o konci jejich platnosti) už nabízí z těch zajímavých věcí jen možnost kouknout se na náhled karty řidiče. To portál České správy sociálního zabezpečení má služeb přehršel. Většina má formu žádostí a pro využití se ovšem bez datové schránky neobejdete. Některé služby (jako např. informační list důchodového pojištění) mají možnost náhledu na webu portálu.
Další ze zajímavých služeb je webová aplikace e-Receptu pro pacienty, kde se dostanete k přehledu všech na vaši osobu vydaných e-Receptů.
Mobil a NFC
Na mobilu token funguje obdobně. Vzhledem k tomu, že nemám redukci na USB-C, testoval jsem pouze NFC variantu. V Androidu bohužel máte jednu jedinou volbu a tou je prohlížeč Chrome. Ve Firefoxu jakási podpora byla, ale s novou verzí (Fenix) zmizela. Nepodařilo se mi dohledat, kdy by měla být zpět.
Proč token?
Oproti TOTP (Google Authenticator, Authy apod.) má HW token jednu nepopíratelnou výhodu. Nelze z něj na dálku ukrást seed (teda nemělo by to jít :-)), což u TOTP při troše neopatrnosti jde. Dále je celý mechanismus o chlup odolnější proti phishingu, protože jednorázový kód z vás může útočník nebo falešný web vylákat, token vždy komunikuje s příslušným webem přímo (přes Web Authentification API). Na rozdíl od TOTP ale neuděláte zálohu (jediným řešením je mít druhý token – ideálně zamknutý v trezoru).
Za mě můžu říct, že MojeID je momentálně ta nejpohodlnější cesta, jak se přihlásit k webům státní správy, pokud si nechcete z nějakého důvodu pořizovat jako fyzická osoba datovou schránku (a plnit povinnosti z toho vyplývající). Oproti eObčance nemusíte mít žádnou čtečku, veškeré příslušenství je součástí tokenu.
Nutno dodat, že některé služby státní správy nelze bez datové schránky použít.
Chcete svůj vlastní token? Řekněte si o pozvánku, nebo navštivte https://overeno.mojeid.cz. Token lze samozřejmě použít i se spoustou jiných služeb, Googlem počínaje, Githubem konče.
Komentáře