Bezpečnostní USB klíče: Rozumné řešení elektronického ověření

Ověření totožnosti uživatele je podstatným prvkem při využívání digitálních služeb, ať už se jedná o služby poskytované státem v rámci jeho elektronického servisu nebo služby soukromoprávních subjektů. Při ověřování je potřeba dbát na nutné bezpečnostní zásady, aby se předcházelo zneužití elektronické identity pro nekalé účely.

Národní identitní autorita (NIA), která prostřednictvím svého federativního systému zajišťuje pro orgány veřejné správy ověřování a předávání přihlašovací identity podle principu jednotného přihlašování, umožňuje více způsobů a úrovní připojení. Vedle nepříliš pohodlného využití elektronického občanského průkazu je možné použít Mobilní klíč eGovernmentu, což je mobilní aplikace s funkcí ověřování od Ministerstva vnitra. Mnohem pohodlnějším a univerzálnějším prostředkem jsou ale USB klíče, neboli bezpečnostní tokeny.

Ty během přihlašování fungují jako dodatečný ochranný prvek, takže po zadání svých přihlašovacích údajů jste vyzváni ještě ke vložení klíče. Jen samotné vložení ale nestačí, klíče mají totiž dotyková tlačítka. Nutnost fyzicky se klíče dotknout poskytuje ochranu před škodlivými programy na vašem zařízení. Přihlašovací klíč je možné přes rozhraní NFC používat také s mobilními telefony. Podobně jako při párování platební karty.

Doporučeným řešením je mít alespoň dva tokeny (jeden u sebe a druhý uložený na bezpečném místě). Obnovení účtu s již aktivovaným tokenem může být v případě jeho ztráty velmi náročné. K přihlašovacím tokenům je vhodné přistupovat stejně jako ke klíčům od domova. To je ale díky fyzické podstatě FIDO2 USB klíčů jednoduché, protože je stejně jako v případě skutečných klíčů můžete mít stále u sebe.

Pokud již nyní využíváte dvoufaktorové přihlašování s pomocí svého mobilního telefonu, tak se možná ptáte, v čem jsou takové klíče lepší. Telefon má však kratší životnost, budí větší pozornost, častěji dochází k jeho zcizení a aktualizace operačního systému poskytují kontrolu nad zařízením jeho výrobci. Oddělený klíč je proto z hlediska osobní bezpečnosti o něco lepším řešením.

Použití přihlašovacího klíče přidává další vrstvu, která vás chrání proti zneužití vašich údajů. Jedná se o velmi užitečné opatření, kterým se dá bránit i vůči sofistikovanějším útokům zahrnující třeba podvodné získávání přístupových hesel nebo instalace škodlivého software přeposílající ověřovací SMS útočníkovi. Token tak slouží ke zcela bezpečnému přihlášení k online službám, například:

• mojeid.cz
  • pro přístup ke službám egovernmentu: Portál občana, Portál Pražana, datové schránky
  • Alza.cz
  • czc.cz
• Google
• Facebook
• Microsoft

Uvnitř Pirátské strany je možné používat přihlašovací klíč k ověření identity člena a dalšímu přístupu ke stranickým systémům včetně uzavřených diskuzí, hlasování a dalším. Vzhledem k vysoké míře bezpečnosti a snadnému použití se dá očekávat, že podobná možnost přihlašování se brzy stane běžným nástrojem, jako se to stalo dříve u vícefaktorového přihlašování pomocí SMS kódu. Vhodnými a prověřenými tokeny jsou například:

• GoTrust Idem Key (600 Kč)
  • Podporuje navíc RSA do 2048 bitů a eliptické křivky.
• YubiKey (1500 Kč)
  • Podporuje navíc RSA do 4096 bitů a eliptické křivky.
  • Podporuje uložení GPG klíče (pro šifrování souborů) a TOTP (až 30 časových kódů).

Jednorázová investice v řádu několika stovek až tisíc korun (podle zvolené funkcionality a množství) se vám tak vyplatí na výrazném zvýšení ochrany vaší digitální identity.