Dvoufaktorová autentizace v mojeID, tentokrát ještě jednodušeji

Pro uživatele, kteří dbají na zabezpečení svého účtu, je zbytečné doufaktorovou autentizaci představovat. Ale nebudeme si nic nalhávat, těch, co o ní vůbec neslyšeli je stále ještě dost. Přitom je to nejsilnější nástroj umožňující zabezpečit svůj účet proti jednoduchým formám phishingu, hádání hesel a dalším podobným útokům na obyčejná hesla. Principem tohoto mechanismu je v průběhu ověřování identity uživatele prokázat nejen znalost nějakého tajemství (typicky hesla k účtu), ale navíc prokázat vlastnictví nějakého zařízení (typicky mobilního telefonu). Nejběžnějším standardem pro tento typ dvoufaktorové autentizace je OTP (one time password) neboli mechanismus jednorázových hesel, které generuje aplikace například v mobilním telefonu. Tento mechanismus je v mojeID již několik let a nejběžnější aplikací, která se pro ní využívá, je populární Google Auhenticator. Drobnou nevýhodou, spojenou s tímto typem ochrany, je nutnost opisovat šestimístná čísla z mobilního telefonu a to dostatečně rychle, aby nevypršelo časové okno pro jeho použití. Vždy jsme si říkali, že dvoufaktorová autentizace by mohla být jednodušší. No a nyní vám takovou jednodušší dvoufaktorou autentizaci v mojeID můžeme konečně představit.

Offline přístup v mojeID

Jeden z nedostatků mojeID, na který čas od času upozorňovali poskytovatelé služeb, bylo omezení možnosti předání údajů o uživateli pouze na proces přihlášení tohoto uživatele k jejich službě. Hlavní výhoda mojeID, kterou je centrální správa údajů z jednoho místa, v takovém případě nemůže fungovat dokonale, jelikož některé služby nevyžadují, aby se uživatel přihlašoval k jejich službě příliš často. Pokud taková služba například pravidelně měsíčně fakturuje a uživatel si v mojeID změní fakturační adresu, služba se to bez přihlášení uživatele nedozví. Na tuto situaci nejspíš mysleli také architekti protokolu OpenID Connect, jelikož do jeho návrhu zahrnuli i možnost takzvaného offline přístupu. Tento offline přístup je nově dostupný také v mojeID.

MojeID mluví více jazyky, naučilo se SAML a OpenID Connect

Služba mojeID byla od svého vzniku v roce 2010 úzce spjata s autentizačním protokolem OpenID 2.0. Tento protokol byl pro nás v té době nejlepší volbou, protože kombinoval jednoduchost implementace a dostupnost knihoven pro různé programovací jazyky. OpenID 2.0 ale není jediný autentizační protokol. O některých dalších, jako například o protokolu SAML nebo OpenID Connect, jsem psal i na našem blogu. Zejména protokolu OpenID Connect, jehož standardizace byla dokončena na začátku loňského roku, věští analytikové slibnou budoucnost. No a dobrou zprávou je, že mojeID již není „jednojazyčné“, ale dokáže se domluvit s poskytovateli služeb i těmito dalšími protokoly.

Implementace DNSSEC v doméně CZ zvýšila úroveň zabezpečení

Technologie DNSSEC, vytvořená k zabezpečení protokolu DNS, byla do správy české domény zavedena v roce 2008. V té době byla Česká republika teprve pátou zemí na světě, v níž se k tomuto kroku správci odhodlali. V dnešní době je DNSSEC téměř standardem, a jak ukazuje statistika organizace ICANN, mezi doménami nejvyšší úrovně je poměr zabezpečených již na 84 %.

Chci také tu vaší kartičku!

Služba mojeID slouží k přihlašování na různých jiným službách na Internetu. Mezi uživateli naší služby najdeme jak ty aktivní, kteří přihlášení použijí několikrát denně, tak i ty pasivnější, kteří se přihlásí ke své oblíbené službě třeba jednou za několik měsíců. Je to způsobeno také  tím, že mnoho internetových služeb implementuje trvalé přihlášení a pokud se do nich přihlásíte jednou, můžete zůstat přihlášeni až do doby, než se vám rozbije počítač a budete ho muset přeinstalovat. Ponechme stranou bezpečnostní aspekty takového trvalého přihlášení, vždy je to osobní rozhodnutí uživatele a ten si musí být souvisejících rizik vědom. Z našeho pohledu to znamená, že to vlastní přihlášení do své oblíbené služby prostřednictvím mojeID uživatel provede velice zřídka. Často se tak na naši zákaznickou podporu obracejí uživatelé, kteří najednou zjistí, že by službu rádi použili, ale už si nepamatují své uživatelské jméno. Sdělování takových informací je samozřejmě ošidné a vyžaduje nějaké další způsoby ověření, abychom si byli jistí, že mluvíme se správným člověkem.

Nová možnost nastavení komunikace s držiteli v Doménovém prohlížeči

Minulý týden jsme vydali novou verzi Doménového prohlížeče. O této aplikaci pro držitele doménových jmen jsme psali již dříve v blogpostech o první a druhé verzi. Souhrnně řečeno v ní mohou držitelé domén najít přehledné informace o doménách, ke kterým mají nějaký vztah, ať už jako držitelé nebo administrativní či techničtí správci. Kromě toho mohou uživatelé provádět jejím prostřednictvím i některé změny a to například zablokování domén proti změnám nebo slučování duplicitních kontaktů.

Slučování kontaktů v Doménovém prohlížeči

V září loňského roku jsme vám představili novou webovou aplikaci nazvanou Doménový prohlížeč. Tato aplikace slouží držitelům a administrativním nebo technickým správcům domén pro zobrazení přehledu svých domén a dalších navázaných objektů v doménovém registru. Uživatel se po přihlášení do aplikace dozví například, kdy mu domény expirují nebo na jakého registrátora se obrátit pro řešení problémů s jeho doménami. Podrobněji jsem o možnostech prohlížeče psal v předchozím příspěvku. Pokud patříte k lidem, kteří mají rádi pořádek a vlastníte nějakou CZ doménu, jistě oceníte novou vlastnost této aplikace, kterou je slučování kontaktů.

Chyba v OAuth a OpenID? Ale kdepak…

O víkendu rozvlnila mediální rybník zpráva o zranitelnosti protokolů OAuth 2.0 a OpenID. Alespoň takto většina médií interpretovala nález studenta Singapurské univerzity Wang Jinga. Bohužel se tato interpretace objevila i v  článku na domácím serveru Lupa.cz a tak by stálo za to uvést ji na pravou míru. Faktu, že v protokolech samotných problém není, se obšírněji věnuje například John Bradley, jeden z architektů těchto protokolů. Ve svém blogu Bradley trochu ironicky komentuje touhu médií získat stejnou pozornost, jako v případě nedávno objevené skutečné bezpečnostní hrozby Heartbleed, o které jsme psali i na našem blogu.

FRED dobývá Balkán

Poté, co na začátku loňského roku spustila produkční provoz našeho doménového registračního systému FRED pro svoji vlastní národní doménu po několika letech příprav Albánie, se totéž zhruba před měsícem opakovalo u další balkánské země a to u sousední Makedonie. A vzhledem k tomu, že během loňského roku projevili vážný zájem o tento námi vyvinutý software také Srbové, dá se směle říct, že oblast Balkánu se stává pro FREDa druhým domovem. Nebylo by pěkné, kdyby se jednotícím prvkem těchto několika v minulosti tolikrát soupeřících národů stal český systém ;)?