Názory k článku
Z eObčanky je pomocí viru teoreticky možné ukrást identitu, zjistily bezpečnostní firmy

V článku na blogu Auxilium Cyber Security https://blog.auxiliumcybersec.com/?p=2656 mě zarazilo, že NUKIB o tom byl informován v rámci Responsible disclosure v srpnu 2019 a vývojářům aplikace eObčanka Identifikace (MONET+ pro MV ČR) tvalo více než třičtvrtě roku, než implementovali alespoň jednu z prvních oprav.
Na to, jak je to kritický systém, mi to přijde nedostatečné a postup dost pomalý.

Jinými slovy - zjistilo se, že pokud SW na počítači, na kterém provádíte citlivé operace, má pod kontrolou útočník, jste v háji. Zcela upřímně - proti útoku, kdy oběť spouští útočníkův kód (ať už k tomu dojde jakkoli) není na úrovni SW žádná ochrana. Můžete jen házet útočníkovi pod nohy vetší či menší klacíky. Jen ale tu více tu méně zvyšujete míru pracnosti.

Kritický - ano, ale.
Zajímalo by mě, kolik bylo vydáno těch nových občanek, kolik jejich držitelů si aktivovalo to stádo PINů a kolik z nich to vůbec někdy použilo.
Jediné použití zatím je Portál občana a musím říct, že instalovat si software na podporu eObčanky, vytáhnout někde čtečku čipových karet a ještě vylovit občanku, tak to se raději přihlásím přes datovou schránku, přes jméno/heslo/sms nebo teď ještě mám možnost mojeID+klíč: všechno je mnohem pohodlnější.

No jo, z "jiné IP adresy" ovšem může být zcela legitimní, když to jde přes CGNAT - jednotlivá spojení z uživatelova počítače mohou mít různou zdrojovou IP adresu.

Jediné použití zatím je Portál občana
Nikoli, dá se to použít všude tam, kde je přihlášení přes NIA.

přes datovou schránku
Tak se přihlásíte jenom tam, kde je tenhle hack podporován. Preferované řešení do budoucna je právě NIA.

jméno/heslo/sms
Tím ale dosáhnete jen na nízkou úroveň záruky. eObčanka má vysokou úroveň záruky.

všechno je mnohem pohodlnější
To už tak bývá, že bezpečnější metody bývají méně pohodlné.

"Jediné použití zatím je Portál občana
Nikoli, dá se to použít všude tam, kde je přihlášení přes NIA."

Jo, nepřesně jsem se vyjádřil.
Asi všechno, kam se lze přihlásit přes NIA, je na Portálu občana.
Je zajímavé, že heslo/jméno/sms:
1) stačilo na spárování mojeID s NIA (úroveň značná)
2) stačí skoro na všechno (na Portálu občana), ale něco (získání řady výpisů) vyžaduje mít datovou schránku, a to FO nepodnikající.

Ten můj závěr směřoval k tomu, že použití eObčanky je značně nekomfortní, vyžaduje prerekvizity (mít nainstalovaný software, nebo mít oprávnění instalovat software, mít čtečku čipových karet) -> možná se taky někde (v cizím prostředí) vůbec nepřihlásíte.
Cesta přes mojeID+token je daleko jednodušší, stačí znát (jméno+heslo) a mít (token). Žádné prerekvizity (instalovaný software a čtečka).

Zajímalo by mě, kolik bylo vydáno těch nových občanek, kolik jejich držitelů si aktivovalo to stádo PINů a kolik z nich to vůbec někdy použilo.

Následující čísla jsou mé odhady, protože MV ČR nikde přehledně neprezentuje tyto údaje. Ale občas se nějakými čísly pochlubí v tiskovkách nebo na konferencích, takže když si to dáte dohromady, tak to vypadá asi takto:
- měsíčně se vydá v průměrně cca 95 tisíc eObčanek, tj. od 1.7.2018 již bylo vydáno cca 2,6 milionů eOP
- elektronické služby si nechá aktivovat při výměně/přidělení eOP asi 13 % občanů
- vlastní přihlášení eOP přes NIA na Portál občana (a nastaví si ty všechny PIN, PUK, QPIN, IOK, DOK) zkusí alespoň jednou cca 12 % uživatelů

Takže abych odpověděl na vaši otázku - přes 300 tisíc občanů již eObčanku vyzkoušelo na Portálu občana, příp. na jiných službách.

P.S.: Pokud někdo máte jiná nebo aktuální čísla, klidně je zde do diskuze přidejte (i když jste insider). ;-)

No já nevím, ale jak web, tak i aplikace eObčanka mi zobrazují ID transakce, které samozřejmě kontroluji. Tj. vím, že aplikace pracuje s tím samým co prohlížeč.
Mohlo by to být jistě i trochu lidštější, ale možnost kontroly uživatel rozhodně má.
A podporuji názor LRA - pokud mám zavirovaný počítač, tak si nemůžu být jistý vůbec ničím. A to ani FIDO tokenem, USB komunikaci můžu taky snadno přesměrovat jinam, heslo ukrást a tím i celé přihlášení. Nebo prostě unesu session prohlížeče. Možností je spousta.

P.S.: Samozřejmě MiTB mi může modifikovat to co vidím v prohlížeči - tak se vracíme k tomu, že bezpečné prostředí na PC je základ tak jako tak.

Já jsem to třeba absolvoval, neměl jsem datovku. Teď už ji mám, vyřídil jsem si ji přes portál občana. Ale podle reakce paní, když jsem řekl, že to chci, nás asi opravdu moc není.

Prerekvizity jsou vždy (např. musíte mít token a prohlížeč, který ho podporuje; nebo mobilní operační systém, který podporuje FIDO2 přes otisk prstu).

Na eIDASu je právě dobré to, že definuje jen standardy, ale uživatelům pak nechává možnost výběru. Takže když vám vyhovuje oObčanka, můžete se přihlašovat eObčankou. Když MojeID, tak se budete přihlašovat přes MojeID. A když vám bude vyhovovat nějaké zahraniční řešení, použijete to.

Proč to řešíte takto dementně? Na základě zákona o svobodném přístupu k informacím si napište na MVČR - buď datovkou nebo doporučeným dopisem, že byste rád znal tyto počty (jsou to anonymní údaje), nebude vás to stát více než poslání toho dopisu a do měsíce budete mít přesná data.

Ta změna, kterou si všimli na jaře 2020, ovšm není v aplikaci eObčanka, ale jen na webu, kde se nově mwId také zobrazuje.
Dle https://info.eidentita.cz/Download/ je aktuální verze SW eObčanka pro některé platformy 3.1.2 z 27. 9. 2019, ale pro MS Windows je 3.1.1.19123 z 27. 3. 2019.