Názory k článku Z průkopníka digitalizace je otloukánek. Stát šikanuje autentizační nástroj mojeID

Bylo by fajn, kdyby MojeID zkusilo trochu víc využít potenciál, který mají... Jenže oni už dlouho jedou na volnoběh, jako by ani neměli zájem produkt dál rozvíjet.

1. UX stránek s konfigurací je mizerné.
2. Stránka "osobní vizitka" by mohla být o tolik lepší...
3. Seznam serverů, kam jsem předal přes MojeID svoje údaje + jaké.

Většina z toho pak úplně chybí v mobilní aplikaci.

A vsadím se, že na straně akceptace bude taky plno výmolů...

Prostě nevyužitý potenciál.

Limitně se 0 rozhodně neblíží

Statistika evidence obyvatel, existuje:

• 124 různých kombinací „rodné příjmení, jméno a datum narození“, které jsou společné vždy pro tři osoby
• přes 25 000 osob, u kterých údaje „rodné příjmení, jméno a datum narození“ nejsou unikátní
• 644 osob, u kterých údaje „rodné příjmení, jméno, datum narození a místo narození“ nejsou unikátní
• 20 osob, u kterých údaje „aktuální příjmení, jméno, datum narození, místo narození a místo trvalého pobytu“ nejsou unikátní.

15. 11. 2023, 18:51 editováno autorem komentáře

Piráti mají MojeID rádi a ministr Ivan Bartoš celou věc řeší, viz Ivan Bartoš na Twitteru: MojeID je moje oblíbená varianta. Super práce mimo jiné kolegy z Českého digitálního týmu @ondrejfilip. Předal jsem výhradu do DIA..

Stát by měl ke všem přistupovat rovně a nediskriminačně. Tady se chová, jako kdyby například do úřadů nakupoval rohlíky jen od Penamu a United Bakeries s odůvodněním, že je kupuje nejvíc lidí a tedy je na ně nejvíc lidí zvyklých. Nebo jako když s tím či oním odůvodněním pořizuje jako kancelářský balík jen Microsoft Office, resp. je dokonce i jeho faktickým dealerem pro města a obce. To fakt v pořádku není.

Vadí mi, že pro skrytí některých údajů v registru CZ domén potřebuju účet u MojeID. Dříve to nebylo třeba (stačil validní ověřený kontakt), teď to bez toho nelze. Už jsem byl jen malý krůček k tomu si účet u MojeID zřídit, ale nakonec jsem si to rozmyslel a nechci.

Mě zase na nic.cz vadilo jak MojeID hrozně tlačil každému kdo měl doménu. Pokud ten systém používá řeknu 5% lidí tak to prostě do ostatních patří.

Zeptám se jde dneska pomocí bankovní identity validovat kontakt domény a dělat další operace s doménou ?

15. 11. 2023, 08:33 editováno autorem komentáře

No, po vetsinu casu se rozdavala klicenka od GoTrust, takze s Yubico jste ponekud vedle, Dzounsi :-) Ty Yubico se rozdavaly v dobe, kdy se GoTrust nedal nikde sehnat.

A CZNIC samozrejme hospodari se soukromymi prostredky, z pohledu zakona to neni zadna verejna instituce - a ten subjekt tu jine i plati dane - a pokud mate vuci hospodareni soukromopravniho subjektu vyhrady, muzete se stat jeho clenem a do rozpoctu kecat stejne, jako to dela dalsich 120 clenu teto organizace... :-)

No hlavne ze mame ten digitalni tym... :-) Tak s cim teda radi, kdyz se do produkce dostalo nove reseni, ktere zjevne ani nevideli a rozcarovani prichazi az po nasazeni do produkce...?

A to jim ta nova uzasna verze stejne poradne nefunguje... :-)

Spíše naopak, pokud je něco jednoznačné, musí to být tak někde definované a řádně jednoznačnost zajištěna. Z jakého zdroje spíše ty čerpáš, že to jednoznačené je?

Jednoznačnost přece není o nízké pravděpodobnosti konfliktu, ale o nulové.

On v tomhle případě je i problém opačný, co když někdo pak má více identifikátorů (změna příjmení je poměrně běžná), to pak totiž také není jednoznačený, není to jen o unikátnosti.

Nevím, no. Přijde mi to jako zbytečná hysterie. Kdyby tu možnost odstranili, tak neřeknu. Ale ta možnost tam stále je a kdo chce, tak ji najde a použije. Tohle je státni web a né soutěž, kdo kde bude a na jakém místě. Určitě to není ani definováno v žádné smlouvě.

• 4 osoby, které mají všechny údaje shodné. Tzn. existuje 4x Jan Novák narozen 1.1.1990
• 109 různých kombinací, které jsou společné vždy pro tři osoby. Tzn. existuje 109x trojice lidí, kteří mají shodné jméno, příjmení a datum narození
• 12 221 různých kombinací, které jsou společné vždy pro dvě osoby. Tzn. existuje 12 221x dvojice lidí, kteří mají shodné jméno, příjmení a datum narození

Je to vypozorováno. Duplicity v kombinaci jméno, příjmení a datum narození existují. Byla zaznamenána i duplicita ve jménu, příjmení, datu narození a adrese trvalého bydliště. (Řeč je o ČR.)

Jestli to nebude tim, ze uroven overovani kontaktnich udaju na strane registratoru domen neni valne urovne a jejich snaha kontrolovat to se limitne blizi nule, takze neni problem si zaregistrovat s domenou s jakykoliv nesmyslem v kontaktu. A ono tady holt jaksi neni jine cesty, jak zjistit ze k registratorum pisete ptakoviny, nez ty udaje nechat verejne - a doufat, ze si toho nekdo vsimne. Zatimco mojeID se dnes overi mj. oproti zakladnim registrum a i klasicky proces validace dava ne az tak malou sanci, ze nesmyslny kontakt do databaze neprojde.

15. 11. 2023, 10:39 editováno autorem komentáře

Nejde mi do hlavy proč stát pro své občany nemá zadarmo cerifikační autoritu a rovnou není nehrán certifikát v eobčance. Pak by se plošně vše strašně zjednodušilo.

Což by byla možná zajímavá myšlenka, v rámci cz.nic vyrobit CA se službou, která by automaticky ověřila uživatele na základě eobčanky a nahrála do ní kvalifikovaný certifikát, aby vznikl kvalifikovaný el. podpis.

Stejně dobře ≠ zadarmo.
IMHO očekávám podobný vývoj jako u SSL certifikátů. Jim vzkvétal byznys s EV a zelenými zámečky do chvíle, než prohlížeče řekly ne a než přišel Let's encrypt...

No, zrovna ke státu je (bylo?) přihlašování přes MojeID tou nejpohodlnější variantou - bankovní identity jsou všelijaké a nativní přihlašování čipovanou občankou: darmo mluvit.
Pevně doufám, že tím, co museli platit daňoví poplatníci, myslíte NIA rozhraní, nikoliv MojeID - to stotiž není erární, ale čistě soukromá iniciativa.

Přes jakou identitu byste to chtěl ověřovat? Pokud myslíte NIA, ta je určena jen pro orgány veřejné moci, kterým NIC.CZ při správě domény .cz rozhodně není.

Ona ta jednoznačnost je snad akorát u rodného čísla (už snad vyčeštěné..)!
Ani kombinace Jméno+Příjmení+Da­tum narození+Místo narození nemusí být jednoznačná. (Což byl málem můj případ, protože když jsem se narodil, byla s maminkou v nemocnici jmenovkyně, která si pro syna vybrala stejné jméno. Naštěstí si to rozmyslela. A to nejsem Novák! ;oD )

Co je na tom nepoužitelné? Správce hesel vyplní heslo, potvrdím přihlášení v mobilu a je to. Máte někde jednodušší přihlášení se stejnou úrovní zabezpečení?

Tak hlavne ze vase prispevky jsou smysluplne :-) Akorat, ze vubec.

V registru je vždy Jméno, Příjmení, Datum narození, nebo IČO. Stačilo by ověřit tyto informace přes identitu a nechat uživatele změnit údaje. V případě ale CZ-NIC je to všechno stále přes email. Nevím přijde mi že mají vlastní systém z devadesátek ale kritizují stát.

System z devadesatek jste si vycucal z prstu, Ten system se zacal pouzivat v roce 2007 a stale se aktivne vyviji. A jak se muzete presvedcit, pouziva se nejen v Cesku.

Jmeno, primeni a datum narozeni dohromady rozhodne jednoznacna identifikace neni. A jak uz jsem psal vyse - ty udaje vkladate pres rozhrani u sveho registrator, ten i dle pravidel pro registraci by mel kontrolovat spravnost - ale ono se na to, jak uz je v Cesku dobrym zvykem kasle. Jen blazen by dodrzoval smlouvy a pravidla, ze? :D

CZ.NIC orgánem veřejné moci sui generis je. Viz kategorizace jeho datové schránky h4axdn8...

Proto jsem psal „při správě domény .cz“. CZ.NIC je orgánem veřejné moci asi v situaci, kdy vystupuje jako provozovatel CSIRT.CZ.

Tak kupříkladu já: člověk se stejným jménem a příjmením (cca 3000 nositelů v ČR) narozený ve stejný den, ovšem nikoliv v Praze, nýbrž v Karlových Varech (já už si to nepamatuji zcela přesně, ale šlo o nějakou úřední listinu a když ji máma šla podle jména, příjmení a data narození vyzvednout, tak byla pro něj a ne pro mě …)

a jaký je rozdíl jestli půjdu na poštu a tam ověřím nějaký papír do CZ-NIC který to změní ? Jestli mohu získat heslo přes Czech Point tak proč ne přes bank ID ?

MojeID je totálně zpackaná technologie. Po technické stránce možná není špatná, ale její použití je tak strašně komplikované...

Bohužel patřím mezi ty, kdo byli na počátku fanoušci MojeID. Stačil týden používání téhle nepoužitelné zoufalosti, abych vystřízlivěl. Nikdy víc!!!

Tip: Pokud chcete prosadit nějakou novou technologii, musí to být proti současnosti zjednodušení. Když uděláte, třeba přihlašování, ještě složitější, než je teď, tak se vám na to všichni vyserou.

PS: Je mi opravdu líto daňových poplatníků, že tuhle blbost museli zaplatit.

17. 11. 2023, 15:38 editováno autorem komentáře

Při fyzickém ověření totožnosti na registračním místě nepotřebujete žádný software. Čtečka karet není běžnou součástí notebooků. Čip si v občance si můžete aktivovat rovnou při převzetí, ale dělají to tak jen lidé, kteří vědí, o co jde, a plánují ho využívat.

Z toho, ze vam to jednou trvalo trictvrte hodiny fakt nejde pausalizovat, ze to obecne trva tak dlouho. A ano, pred deseti lety byly CzechPoint ukony vic exoticke nez dneska a na nekterych mensich postach to umelo urednice potrapit - ono ani v tomhle smeru nejde uplne pausalizovat a byt otrokem minulosti jen proto, ze kdysi pred lety jsem jednou mel na poste s timhle problem.

Kolik zivotnich situaci je spojeno s nutnosti neco vyrizovat na urade v krajskem meste? :-) Moc jich nenajdete... ergo kladivko rychle dojdete k tomu, ze vetsina lidi vlastne do krajskeho mesta jezdit vubec nepotrebuje. Vetsina agend se soustredi do obci s rozsirenou pusobnosti, ktere obsluhuji mensi uzemi i nez byvaly okresy.

A z ceho myslite, ze zivim rodinu? :-) Ne vazeny, ta reseni samozrejme existuji. Slysel jste nekdy treba o SAML...? To se v korporatech pouziva docela casto :D A od roku 2015 na to mate i RFC... a jinak uz v IT praveku (uz v roce 1993) vznikl Kerberos, ktery ten vas "problem" taky resi. A i takovy NTcka umely domain trust model, stejne jako to umi treba Radius - hadejte, na cem funguje takovy eduroam... s tema stovkama tisic uctu vsech z akademicke sfery :-) Co tam mate za dalsi problem... vy anonymni drici...? :D

Z jakeho zdroje cerpate ze to neni jednoznacny identifikator? Me prijde ze v jeden okamzik je sance narozeni 2 lidi se stejnými udaji velmi mala, az se limitne blíží nule.

Myslím, že hlavní důvod je ten, že na straně státu v tomto převažuje představa, že stát nemá poskytovat služby, které může stejně dobře poskytovat i soukromý sektor.

Mě cca 500kč ročně za jeden automatický krok připadá docela dost.

Pokud CA musí držet síť poboček, na nich notáře, tak se to dá pochopit. To by ale v případě eobčanky nebylo potřeba.

Možná další důvod je, že to je 500Kč x občan x rok pro poštu za nic (pomineme-li ICA :-))

tam jsou rozpuštěný náklady, dodržet všechny technické a legislativní předpisy není zadarmo a cenotvorba není přece pouze podle přímých, ale i nepřímých nákladů.

Samozřejmě dokud má trh vysoké vstupní náklady, společnosti, které se tam usadí mají tendenci zvyšovat a zvyšovat cenu, zdravím naše operátory.

Stát to ovšem také nedělá zadarmo.

Ovšem pokud do toho započítáte hodnotu svého času, když na té poště strávíte hodinu, vychází to trochu jinak…

Nebo si pořídím certifikát od I.CA a také nemusím čekat na poště. Tak jsem to udělal po té, co jsem při pořízení prvního certifikátu strávil na poště skoro hodinu, pak jsem si ho neprodloužil – a když jsem si zařizoval certifikát znova, pořídil jsem si ho od I.CA, protože těch pár ušetřených korun mi nestojí za čas strávený tím, že úřednice na poště opisuje mou adresu třikrát do různých systémů.

Občanka s čipem nestačí. Abyste mohl čip používat, musíte ho mít aktivovaný, znát přístupové údaje, mít čtečku čipových karet a mít nainstalovanou potřebnou aplikaci. Než tohle všechno zařídíte, to už bude rychlejší i to čekání na poště, než úřednice přepíše vaše údaje do prvního, druhého a třetího systému.

U notebooků Dell je čtečka celkem běžná.

Nejenom u Dellu, mam v HP driv jsem mel v Lenovu nebo u Aceru. Neni to samozrejme v kazdem modelu, ale nejaka tezka exotika, kterou by umela jen jedna znacka, to neni.

No spis prave bylo. S mobilnim klicem eGovermentu je to opravdu jednodussi. Jen nascanujete QR kod na mobilu a kdyz mate telefon s biometrikou, potvrdite uz jen otiskem... Zatimco u mojeID musite vytukavat jmeno, heslo... a plus nejaky ten druhy faktor. Ty podminky jsou trosicku nerovny....

Správce hesel můžu mít všude po ruce. Rozhodně všude tam, kde můžu potvrdit výzvu na mobilu.

Zlepšovat se dá vždycky všechno, ale neřekl bych, že to zadání hesla navíc to činí nepoužitelným.

Mně toto přijde jednodušší naopak s MojeID: naťukám jméno, heslo, a potvrdím na tokenu - nepotřebuji k tomu mobil/tablet.
Skenovat QR kódy mi přijde násobně složitější, než prostě strčit token do USB a potvrdit. (Pominu můj marný boj s biometrikami, které mne zřejmě všechny považují za robota, a odmítají mne ověřovat.)

To jo, ale ten token musite mit po ruce :-) A muzete ho mit na klici, klici na vesaku v chodbe, chodbu v prizemi... ooops, ten mobil mi vlastne lezi hned vedle na stole :-) Ostatne k tomu statistika existuje - mobilni klic eGovermentu v poctu prihlaseni tam vede.

Z pohledu ajtaka zdanlive vyhodne reseni nemusi nutne kopirovat realitu - tedy to co za vyhodne povazuji koncovi uzivatele, to je ve vysledku relevantni metrika. Ostatne statistika hovori v tomto smeru vic nez jasne, na celkovem poctu prihlaseni se podili mojeID 3,8% - podobne jako "pry neprivetive" e-obcanky s 3,1% - zatimco mobilni klic eGov ma 27% podil.... i trapne jmeno+heslo bez dalsiho (aka NIA ID) ma 13%.

Danny: Realita je taková, že uživatelé jsou různí. To, co vyhovuje jednomu, nemusí vyhovovat jinému. Takže je dobře, že mají lidé na výběr a mohou si vybrat mezi BankID, MojeID, Mobilní klíč eGovernmentu. NIA ID by tedy na výběr mít nemuseli, ale to je jiná věc. Podíl závisí také na tom, co jak je propagováno.

SMS u MFA je nesmysl co by se pouzivat nemel, stejne jako sdileny "firemni" ucet mezi vice spravci a jedno cislo, kam ty SMS chodi. To uz fakt neni chyba konceptu MFA, ze vy mate zpraseny vas lokalni design :-)

V devadesatkach CZ.NIC vlastni system nemel, coz bylo mimo jine duvodem pro jeho kritiku a nasledne zmeny.

Nezkrachovaly. Ale rozhodně nemají na růžích ustláno a ceny komerčních certifikátů od nástupu LE zázračně spadly, někdy i na čtvrtinu.

Myslím, že náklady na pobočkovou síť jsou v tom minimální. Podstatné tam budu náklady na bezpečnost (hardware, procesy, audity).

Pokud mate "eObčanku s aktivovaným čipem a čtečku", tak by to melo jit online. Netusim, nakolik je to bezne ani jak dlouho takove online vyrizeni trva, ale nemusite cekat na poste.

https://www.postsignum.cz/certifikat_online.html

17. 11. 2023, 03:43 editováno autorem komentáře

Obcanky s cipem se standardne vydavaji od roku 2018 a meni se casto drive jak po deseti letech. Jen mezi roky 2018 a 2021 se vyrobilo pres 4 miliony ocipovanych obcanek, dalsi tak 1,3 milionu v roce 2022, stejne cislo bude za rok 2023 (cislo platne za predpokladu, ze by doklady vydane v roce 2012 vydrzely fakt sve maximum -tedy deset let). Presto stale poslouchame kecy o tom, jak chudaci lidi musi stat ve frontach :-) Knuuuu.... troufam si rict, ze to je dnes uz minoritni problem. Navic se muzete obejdnat na konkretni cas, ze? Vy fronto... ;-)

Lidi to mají v hlavách - ty fronty, to podřízení úřadům - bez ohledu na to, co a jak mají možnost dělat.

Navíc plno z nich podléhá konspiračním teoriím a vlastně nechtějí nic lepšího, s odkazem na jakési sledování ze strany státu (což mohutně sdílejí na Facebooku, jehož masivní sledování jim, zdá se, tolik nevadí).

Digitalizace státu a služeb státu je přitom přirozená, odráží technologický pokrok a samozřejmě se dá udělat - a IMO se dělá - tak, aby bylo soukromí občanů zachováno.

Danny: Zase vedle, jako vždy. Psal jsem někde o frontě? Nepsal. Tak co tu plácáte za nesmysly?

Nikdo vam nebrani si priplatit za I.CA, "jen" mi prijde trosku nepresne tvrdit, ze je nutne cekat hodinu na poste, pokud ma Danny pravdu s pocty cipovanych obcanek, tak existuje pomerne siroka skupina lidi, kteri cekat nemusi. A pokud se nemylim, tak obnoveni jde online i bez obcanky s cipem, jen to clovek nesmi nehcat expirovat.

U I.CA take potrebujete specialni SW na overeni totoznosti. Ctecka karet je bezna vybava notebooku. Aktivace cipu je samozrejme potencialni opruz, nikdy jsem to neabsolvoval, takze nevim, jak velky a fakt, ze netusim, zda si je lide aktivuji pri prevzeti (coz udajne lze), jinak by museli extra na urad, coz bude pravdepodobne pro mnohe horsi nez ta posta.

Ovsem bez aplikace to nezvladnete online a cestovani na pobocku I.CA asi vetsinou ztratite vic casu nez na poste, kterych je precejen o malinko vic a prumerne to na ni clovek bude mit mnohem bliz.

Psal jste o hodine na poste. Vyrizoval jsem za svuj zivot nekolik QCA a rozhodne to nebylo na hodinu. Takze zabity cas ve fronte je to jedine, co se logicky nabizi.

Uznavam, ze post z CzechPointem je mene nez post obecne, ale stale radove vice nez pobocek I.CA (cca 750 vs 40). Navic takove to spojim to s necim i v pripade, ze se vyskytujete v okoli pobocky I.CA, trosku komplikuje, ze pulka jejich pobocek je jen po predchozim objednani. Takze to neni uplne z kategorie, ted jedu kolem, tak skocim na I.CA.
Nepodporovat nekvalitni sluzby je legitimni, nemit rad postu rozhodne taky, ale kvuli tomu neni treba vymyslet nejake demagogie o cene ztraceneho casu. Pokud nebydlite na spravnem miste nebo na nej neustale nejezdite, tak se vam cestovani za I.CA nemuze financne vyplatit.

Nemyslím si, že by někdo jel náhodou kolem. Spíš bych to viděl na jedu do krajského města vyřídit něco na úřad, tak si při tom naplánuju i cestu na registrační autoritu. Ale ať si každý pořídí certifikát, od koho chce. Akorát moc nechápu, proč někdo nadává na služby České pošty, ale když má na výběr alternativu, tváří se, že alternativa neexistuje.

Podle sveho osobniho vzorce chovani dovozujete, ze tak to delaji vsichni :-) Ale ono tech tokenu muzete mit nekolik - soukromy, pracovni... a treba druhy soukromy ve starsi verzi a u ruznych uctu muzete mit sparovany ruzny token - obzvlaste zabavne je to u sluzeb ktere vas nechaji naparovat jen jeden, to pak premyslite nad tim, ktery kde zrovna mate naparovany... hned je to zabavnejsi :D

To je právě jedna z výhod MojeID, že si můžete zvolit způsob autentizace, který vám vyhovuje. Někdo zvolí mobilní aplikaci, někdo token, někdo má zaregistrované všechny možnosti…

Uzivatele ve vetsine pripadu zvoli to, co je z jejich pohledu na pouzivani nejjednodussi. Vznesene metriky typu ale jine metody jsou bezpecnejsi ma jen minimum uzivatelu. Smirte se s tim. Spousta lidi si ani MFA nezapne, dokud je to jenom volitelna soucast - prestoze spousta sluzeb tu volbu ma.

No a zrovna mobilni klic eGov zadnou extra propagaci nema, presto ma polovinu toho, co ma bankID, ktere se propaguje velmi intenzivne... :-) Naopak mojeID i v televizi propagovane bylo, presto je jeho podil nizky. Mimochodem NIA identit v mojeID mate pouhych 81614. A kdyz se podivate na pocet lidi, co ma skutecne FIDO2 token, tak tech lidi je asi jen 29 tisic. V lednu 2022 jich bylo 25 tisic lidi s tokenem pri celkovem poctu 40 tisic identit. Drobne roste akorad pocet lidi, co si nainstaluje appku - zatimco HW tokeny co do poctu dlouhodobe stagnuji a rozhodne krivka rustu nekoreluje s celkovym poctem nove vzniklych NIA identit. Jo, statistika nuda je... :D

18. 11. 2023, 10:51 editováno autorem komentáře

Trpite ponekud prebujelou fantazii - ja nikde nenapsal ze je spatne, ze se tech prostredku nabizi vic. Mozna byste si nemel tolik vymyslet a nasledne se snazit diskutovat s vyplody sve vlastni mysli ;-)

Mobilni klic eGov prisel cca dva mesice po tom, co se slo k NIA prihlasit pomoci mojeID s tokeny. A ten eGov klic funguje od zacatku plus minus stejne, netvrdil bych ze to bylo hure pouzitelne (to mozna platilo driv o klici ISDS, tam to bylo uzivatelsky kostrbatejsi).

Ono to nebude jen podle co jak je propagováno. Mobilní klíč eGovermentu měl dost velké zpoždění v rozumné použitelnosti. Bankovní identity ro začaly válcovat ve chvíli, kdy stát zpčísnil podmínky pro elektronickou komunikaci tak, že to začalo být pro klienty mešikovné - ale argument a budete se tím moct přihlásit i ke státním portálům prostě zabral.
MojeID používají jen ti, kterým to vyhovuje - moc jich nepřibývá, ani neubývá.
Bankovní identita je pro prostý lid prostě nejjednodušší a nejpochopitelnější řešení. A pokud se něco zle nezmění, tak to tak asi ještě dlouho bude.

Vic uzivatelskych zarizeni (jakoze vic mobilu, tabletu) muzete mit i v pripade eGov klice.

UX je objektivně mizerné.
Vizitka je věc názoru, ale když už tam je, má být pořádná a ne odfláklá.
Za třetí je paranoia, váš problém. MojeID tyto údaje nejspíš tak jako tak někde má, možná v logu, čert ví, ale má, protože, ehm, to oni ten přístup poskytují.

Problém je, že my si tu vykládáme o vizi produktu, ale to má dělat CZ.NIC.
A podle mě to nedělá.

Vidíte, a já měl pocit, že UX je vždy subjektivní. ;o)
Nicméně z toho termínu dostávám osypky, protože pokud na něj dojde u nás ve firmě, je výsledkem vždy naprostý paskvil, který následně zahltí helpdesk dotazy zmatených uživatelů. Zcela zjevně mají architekti a manageři úplně jinou představu, než uživatelé a klienti.

A můj psychiatr mne uklidnil, že si nemám všímat toho, že mne někdo sleduje - prý to je jenom Google... ;oD

"No hlavne ze mame ten"

Bylo potreba zajistit spoustu korytek pro neuspesne byvale poslance a dalsi kamaradicky. Praci by si totiz nevydelali ani na vodu.

"Spousta lidi si ani MFA nezapne"

Coz ma spoustu dobrych a jeste lepsich duvodu.

Dva priklady.

1) uplay. Se zapnutym multifactorem se po par tydnech neslo prihlasit, proste ... proto. Po asi 14 dnech dohadovani se se supportem ho vypli.

2) firemni ucet (kdekoli) ... uzasna vec, kdyz se nektery z X spravcu potrebuje prihlasit, a zjisti, ze ta pitoma sms prisla nekomu, kdo je nekde v... (idealne uz ve firme vubec nepracuje a sms chodi na jeho soukromy telefon).

Když člověk sedí u kompu, kde má nějaký password manager a volný usb port, tak Moje-ID dobré.

Ale když se chci přihlásit na mobilu k nějaké službě (třeba katastr), tak už je to děsný opruz. Z toho důvodu uvažuju, že nakonec u některé z bank si to jejich bank id i aktivuju.

"ze vy mate zpraseny vas lokalni design"

Pise clovek, tkery vzivote nikdy nikde nepracoval. Nevazeny, to neni o lokalnim prihlasovani, ale o prihlasovani se ke vsemoznym externim uctum externich sluzeb, kde v 99% ani neni technicky mozne mit vice uctu, a i kdyby bylo, tak by z tisicu uctu byly klidne taky stovky tisic. Uzasne ....

S certifikatem na tri roky se cenou i u posty dostanete pod ctyri stovky. Jinak samozrejme i v ve svete komercnich certifikatu "tradicni" CA nezbankrotovaly a dale funguji, letsencryptu navzdory....

MojeID si stěžuje, že jej stát odstavil na druhou kolej. Na druhou stranu z peněz všech daňových poplatníků sponzoruje Yubico a rozdává vybraným jejich klíč. Proč pouze jejich a kdo jim dal právo takhle plýtvat s veřejnými prostředky?

To objednani je fajn, skoda ze tam chybi objednani pro vyzvednuti baliku do ruky, to by asi clovek potreboval nejcasteji ;-)

PostSignum není na každé poště, jenom na větších, kde je CzechPoint. Cesta na registrační autoritu se dá spojit s něčím jiným. To, že úkon, který je maximálně na 15 minut, trvá tři čtvrtě hodiny, ovšem nijak nevyužijete. A navíc nerad podporuju nekvalitní služby, když mám na výběr lepší variantu.

Spravce hesel nemusite mit vsude po ruce. A vas argument stejne urovne bezneho uzivatele zajimat fakt nebude. I s bankid to byva o to heslo casto "jednodussi" (uzivatel ho resit nemusi). MojeID je bohuzel jedna z mala sluzeb, kde hesla stale opruzuji... jednodussi zpusoby existuji.

Já jsem si QCA vyřizoval na poště jednou, a trvalo to tři čtvrtě hodiny. To samotné vyřizování. Příště už jsem to na poště nezkoušel. Že to trvá dlouho je dané i tím, že na CzechPointech vyřizují spoustu různých agend, takže ty méně časté pracovníci prostě nemohou znát.

Je to otázka osobních preferencí, ale pokud se potřebuji přihlásit někam ke státu, tak já mám mnohem častěji po ruce ten token, než mobil - a nemusím se starat o jeho nabíjení nebo aktualizaci aplikace.
Navíc, pokud vím, tak MojeID má potvrzovací aplikaci do mobilu také (MojeID klíč).

Pokud sedím u počítače, je ten token opravdu hodně po ruce.
(Na rozdíl od toho mobilu, která je obvykle někde zapomenutý či vybitý.)

Ano, MojeID ma aplikaci - ale ta vas nezbavi nutnosti zadavat pri prihlaseni take jeste to heslo k uctu. Je to spis substitut za TOTP, ktere se zrusilo uplne (spolu s puvodnim autentikatorem), proste je ta appka jen klasicky druhy faktor pro prihlaseni, heslo je stale nutne. To i v pripade bankovni identity zalezi na bance - jsou takove, kde se bez hesla obejdete.
A aktualizace se resi automaticky, prece... :-) Takovy ty corner-case ala "chci mit vse pod kontrolou, takze ty automaticky aktualizace vypnu" rozhodne nekopiruji vzorce chovani beznych uzivatelu.

Nedovozuji, že tak činí všichni (či většina). Pro mě osobně to je prostě pohodlnější.
Ostatně: v práci soukromý mobil nemám (zaměstnavatel to nevidí rád - stejně jako když se soukromě hlásím někam na webu), ale na pracovní záležitosti se musíme přihlašovat firemní ověřovací aplikací na služebním iPhone. Je to jediná věc, kterou na tom telefonu provozuju; na telefonování mám přístroj, který se vejde do ruky. ;oD

18. 11. 2023, 11:25 editováno autorem komentáře

Danny: Uživatelé jsou různí. Že se vám to nelíbí je váš problém. Takže je v pořádku, že se různým uživatelům nabízejí různé možnosti. Ještě že se tu nebavíme o pohostinství – s vážnou tváří byste tu tvrdil, že nejvíc hostů si zvolí vepřo knedlo zelo, tak je zbytečné, aby restaurace nabízely cokoli jiného.

Danny: Máte pravdu, mám velkou fantazii, takže jsem si představoval, že vaše komentáře mají nějaký smysl. Uznávám, byla to chyba – když se podívám na to, co je ve vašich komentářích skutečně napsáno, žádný smysl nedávají.

Jakoze mojeID klic appku muzete pouzivat soubezne u vice uctu? :-) To omezeni jeden mobil = jeden klic zrovna tam je uplne stejne, jako kritizujete u eGov appky. V tomhle funguji obe stejne.

MojeID ověřuje fyzickou osobu – ta může mít jen jeden účet. Důkaz vlastnictví mobilu dokazuje, že jde o danou osobu – nelze tedy používat mobily sdílené více osobami. Takže použití mobilu pro více účtů nemá žádný způsob použití.

Právě o to asi jde: původní přihlašování (ISDS) bylo tak uživatelsky nepřívětivé, že spousta lidí ráda použila MojeID s tokenem - a zůstali u toho.
Pomineme-li bankovní identitu, je to totiž pro běžného smrtelníka jednodušší a pochopitelnější. Celé MojeID je postavené na tom, že se snaží být službou pro běžného smrtelníka. Dokonce i to vydání tokenu a ověření je udělané tak, že to zvládla moje žena na první pokus - a ta jinak tyhle technické věci radši ignoruje.
Navíc můžete mít více paralelních metod ověření (token/mobil).
Zato eGov klíč je prostě další mobilní apka - se všemi výhodami a nevýhodami toho přístupu. Včetně tichého předpokladu jeden občan = jeden mobil = jedno číslo = jeden klíč.

A proc to rikate v komentari pod tim, co pisu ja? Zase potrebujete diskutovat za kazdou cenu? :-) Racej si vsimnout, ze to kritizuje nekdo jiny.

Malinko jinak: jeden uživatel != jeden mobil.
Tady: můžete mít více klíčů (token + mobil, případně více mobilů, mobil + tablet, různé kombinace).
U MojeID to lze naprosto jednoznačně a jednoduše, ale třeba některé banky se svou identitou tvrdě vyžadují jen jedno přihlašovací zařízení. (Jak je to teď u eGov klíže, netuším.)

;o)
Jen nevím, proč to někam na začátek nenapíšou.

Ze muzete mit vic klicu se da vylustit z pluralu treba u textu o odpojovani... :D

Ono vubec obcas nekam neco napisou... ale pak se treba nechtene dozvite, ze s znacnou mojeid se hlasite stejne jako do banky a u vysoky z toho textu moudrej taky uplne nebudete :-)

Normální postup velkých vůči malým. O2 jde po malých Wifi poskytovatelích, banky v kartelu po MojeID.

Nemyslím, že tomu tak v tomto případě je.
Banky mají tu bankovní identitu často jen jako nutné zlo. Ne všechny přešly na kompatibilní řešení i interně, takže musí udržovat interface, aby tuhle službu poskytovaly, ale zároveň si nemohou dovolit s tím skončit - když na to lákaly klienty. Nicméně kdyby jim to stát nějakým zákonem zarazil, asi by si dost oddychly.
Je to služba, která bankám přímo nic nenese.
MojeID je proti nim jen malý poskytovatel, ale zato specialista v oboru. Popravdě, dost se divím, že některá z bank nepřišla s nápadem outsourceovat tuhle funkčnost k nim. (Nebo přišla, ale zařízla to v zárodku - či se nedohodli...)
Dokud nebude MojeID poskytovat bankovní služby, je pro banky nezajímavé. (Ostatně, jsou takové, které mají dost práce s vedlejšákem na prodej elektriky, takže nějaká identita...)

Banky maji sve systemy a ono je "prekopat" tak, ze vam tohle bude delat externi subjekt asi nebude uplne trivialni i co se pravni roviny tyce. A samozrejme i technicky - aneb donutit vsechny uzivatele mit mojeID? :-) Nebo provozovat nejaky "hybrid"? Jo, pokud vznikne nova banka, ma to celkem snadny... ale zmenit to v rozjetem vlaku fungujici banky asi tak trivialni nebude.

Ale jinak to mate zminene i zde v diskuzi - ono mojeID misty docela stagnuje. Docela dlouho tam v prihlasovacim formulari k MFA strasily volby k TOTP&spol - i kdyz uz nefungovaly. A jinak mojeID je sluzba sluzba CZNICu. A nemyslim si, ze by "dalsi sluzba" v podobe bankovnich sluzeb u clenu sdruzeni prosla, uz jen proto ze poskytovat bankovni sluzby je z pohledu regulace u nas dost specificka disciplina. Tady je spis prusvih to, ze legislativa spis hazi klacky pod nohy (a treba i v tom, jak funguje mob.klic egovernmentu versus to, jak funguje mojeid). Ale na druhou stranu muzeme u mojeID vytknout "promarnenou prilezitost" - proti bankid meli rok naskok. Presto se bavime o malem poskytovateli...

Banky musely ty systémy překopat tak jako tak. Mimochodem to právě bylo důvodem, proč tolik stály o "bankovní identitu".
Rozhodně nepředpokládám, že se CZ.NIC vrhne na bankovnictví! ;oD (Takže ty banky mohou zůstat v klidu.)

Nemyslím, že u mojeID jde o promarněnou příležitost - to se nedá odvozovat od počtu klientů. CZ.NIC není v tomto bodě žádná komerční společnost, která by se hnala za ziskem a maximálním počtem klientů. Takž ať si klidně má svých bezmála sto tisíc uživatelů, ale hlavně ať tu službu poskytuje dobře!

A ještě si dovolím drobný komentář k odkazovaném příspěvku:
ad 1.) Za mne je UX na MojeID mnohem lepší, než přemodernělá rozhraní některých bankovních identit, kde se a priori předpokládá, že je ovládáte z mobilu.
ad 2.) Vizitka by tam nemusel být vůbec, to je opravdu pozůstatek dob minulých. Ale nevadí mi.
ad 3.) Jestli něco opravdu nechci, tak aby si někdo - MojeID - sbíral data o tom, komu a kdy jsem jaké údaje poskytl! Dobře, že to tam není!

To bych zas minimalne o nekterych zucastnenych zase netvrdil, ze by si jinak nevydelali ani na vodu. Ale jak ten "organ" tedy v realu funguje je ale diskutabilni.

Jedna věc je, aby se daná aktivita vyplatila, tedy byla zisková, druhá věc je maximalizovat zisky (často za každou cenu).
To je právě ten rozdíl mezi komerční a nekomerční sférou.
Jsem hrozně rád, že CZ.NIC to MojeID provozuje a - pominu-li drobnosti - velmi dobře, mnohem lépe než banky své identity, dokonce IMHO i lépe, než stát erární Identitu.

Mobilová apka od MojeID nefunguje?

To, ze CZ.NIC nezaskatulkujete do komercni spolecnosti jeste neznamena, ze se neresi u jednotlivych projektu, nakolik se vyplati je delat a samozrejme je to tak trochu i o te komerci (placena podpora Birda, Knota... nebo i cely Turris). V souctu to rozhodne nehospodari jako stat - ktery je zvykly hospodarit ve strate :-) V pripade mojeID je ta participace na statnich identnitnich prostredcich fakticky druha miza a samozrejme cast penez se ziskava treba i z toho, ze se provozuje mezinarodni brana eIDAS - to je technicky vzato ryze komercni aktivita, kde i probehla soutez (za kterou stat - sprava registru plati). A samozrejme i to, jak se mojeID pouziva ve vysledku take ovlivni to, jestli clenove sdruzeni budou dale provoz sluzby i nadale podporovat. Protoze ve vysledku clenove sdruzeni (kterych je 120) vrcholove rozhoduji o tom, jaky projekt prezije a jaky ne :-)

1) V anketě chybí datová schránka.
2) Mojeid je správně v ostatních prostředcích ;)