Autentizační protokol OpenID Connect, který mohou již dva roky používat poskytovatelé služeb implementující přihlášení přes mojeID, přináší nejen celkové zjednodušení implementace, ale také vyšší úroveň zabezpečení. Starší protokol OpenID 2.0 využíval pro ověření návratové adresy tzv. XRDS dokument, který poskytovatel na svých stránkách zveřejňuje a návratovou adresu do něj vyplní. Poskytovatel identity (např. mojeID) si pak před přesměrováním uživatele na návratovou adresu tento dokument stáhne a ověří její správnost. Vlastní protokol ale toto ověření nevynucuje. Nevynucuje ani HTTPS spojení při stahování zmíněného dokumentu ani zabezpečení DNSSEC, a tedy nechává bezpečnost na libovůli poskytovatele služby. OpenID Connect na to jde úplně obráceně. Programátoři, kteří implementují do systémů poskytovatelů služeb přihlášení přes mojeID pomocí tohoto nového protokolu, se v tomto blogpostu dozví, jakou změnu jsme pro ně připravili.
Přísnější hesla v mojeID
Od začátku provozu služby mojeID zobrazujeme sílu hesla, které uživatel zadává při zakládání účtu (nebo při změně hesla). Dosud jsme umožňovali uložit i slabé heslo, pokud to tak uživatel chtěl. To se teď ale mění a slabá hesla již nepůjde u účtu mojeID zadat. Bezpečnost našich služeb je pro nás klíčová a tak jsme se, po konzultaci s našimi bezpečnostními experty, rozhodli od 12. prosince zpřísnit politiku hesel pro službu mojeID. Služba, která má již bezmála 600 000 registrovaných účtů a denně se pomocí ní přihlásí běžně i více než 5 000 uživatelů k desítkám internetových aplikací tak bude ještě bezpečnější.
Online validace mojeID pomocí datové schránky fyzické osoby
Validace mojeID účtu znamená fyzické ověření totožnosti uživatele, které provádíme buď přímo u nás v CZ.NIC nebo zprostředkovaně na validačních místech a na místech, kde probíhá notářské ověření. V průběhu loňského roku jsme začali také akceptovat žádost o validaci doručenou datovou schránkou se zapnutou identifikací odesílatele. Tento způsob se ukázal ve srovnání s ostatními metodami velice populární a tak jsme se rozhodli jít ještě dál a umožnit držitelům datových schránek plnou online validaci tak, aby se pro její dokončení stačilo přihlásit do systému datových schránek a potvrdit předání údajů.
Jak by eIDAS mohl pomoci českým firmám na Slovensku?
Již za pár dní budou všem podnikatelům na Slovensku aktivovány elektronické schránky, představující obdobu našich datových schránek. Byť inspirace českým systémem se nezapře, minimálně jeden podstatný rozdíl zde je.
První stát učinil krok pro vzájemné uznávání svých eID prostředků dle eIDAS
Dlouho se čekalo, která země učiní jako první krok pro vzájemné uznávání eID a jako první oznámí v souladu s čl. 7 eIDAS popis svého národního systému elektronické identifikace. Na první oznámení čekala Evropská komise 234 dnů od nabytí účinnosti eIDAS s tím, že oním pionýrem nakonec není favorizované Estonsko ani Rakousko, ale Německo.
Mezinárodní rok a půl ochrany osobních údajů
Osobní údaje, jakožto součást našeho soukromí, tedy oblasti, do které nikdo nesmí zasáhnout bez našeho souhlasu či zákonného důvodu, požívají právní ochrany. Není to žádným tajemstvím, zákon na ochranu osobních údajů už nás provází řadu let. Soukromí je vzácným statkem, tím vzácnějším, čím více náš život prostupují a usnadňují jej nejrůznější výdobytky moderní doby, které tak rádi užíváme k práci i k zábavě. Při přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování dat (tzv. Úmluva č. 108), ke kterému došlo již před 36 lety ve Štrasburku, snad jen skutečné vizionáře napadlo, jak moc automatizované to zpracování dat v relativně blízké budoucnosti bude, a i ti jsou možná nyní překvapeni.
Služba mojeID jako inspirace pro další evropské doménové registry
Jednou z důležitých vlastností služby mojeID, kterou jsme v CZ.NIC spustili před sedmi lety, je její propojení s doménovým registračním systémem. Několikastupňové ověřování poskytnutých údajů tak slouží jako jedna z metod, jak zvýšit správnost údajů o kontaktech vedených v registru .CZ domén. Jako bonus pak takto ověřené kontakty mohou používat mechanismus jednotného přihlášení pomocí autentizačních protokolů na webech, které takovou možnost nabízejí. Celkem logicky jsou mezi těmito weby také portály některých našich registrátorů, přičemž dva z nich patří v poslední době dokonce mezi top 10 služeb z hlediska počtu přihlášení. Koncept propojení doménového registru a digitální identity (eID) byl dlouhou dobu předmětem mnoha otázek od zahraničních doménových registrů a tématem mnoha prezentací na zahraničních konferencích. Nyní se zdá, že se i další zahraniční registry rozhodly tento koncept zrealizovat.
Používáme přihlašování pomocí OTP nebo aplikace Autentikátor
Pro přihlašování k účtu MojeID můžete pro zvýšení zabezpečení využít metodu OTP (One Time Password – jednorázové heslo) nebo aplikaci Autentikátor.
Služba mojeID získala certifikaci protokolu OpenID Connect
O protokolu OpenID Connect jsme na blogu již psali. Jedná se o nejnovější protokol pro jednotnou autentizaci z dílny organizace OpenID Foundation a tento protokol je možné použít pro implementaci přihlášení přes naší službu mojeID v libovolných internetových službách. Jednou z novinek spojenou se vznikem nového protokolu je i program certifikace implementací tohoto protokolu. Cílem certifikace je ještě více podpořit interoperabilitu služeb na Internetu, které se rozhodnou tento protokol používat. Jako první nastartovala organizace OpenID Foundation program certifikace autentizačních serverů. Do tohoto programu jsme se zapojili i my se službou mojeID a jsem rád, že můžu oznámit, že mojeID certifikaci získalo.
Novinky v mojeID
Co se vývoje mojeID týče, samozřejmě se snažíme naslouchat jak uživatelům, tak provozovatelům internetových služeb. Na jaře jsme do profilu mojeID přidali číslo ISIC karty a ověření studenta. Nyní před prázdninami se profil rozšířil o kolonky pro číslo bankovního účtu, veřejný PGP klíč a další populární sociální služby – Vimeo a Flickr.