Mám si pořídit bezpečnostní klíč?

Ondra Kudlík   14. 12. 2020


Bezpečnostní klíč jste už možná někdy zahlédli. Jedná se většinou o zařízení velikosti USB flashky, které můžeme zasunout do USB portu nebo propojit s mobilem přes NFC. K čemu se  vlastně používá? A proč bychom ho měli chtít?


S bezpečnostními klíči se zatím moc nesetkáte. Sem tam se mihnou v seriálech nebo instagramových feedech a nejčastěji je nejspíš zahlédnete u „IT kamarádů“, kteří jsou nadšenci do bezpečnosti. V těch případech vám však mnohdy nedojde, že do počítače nestrkají USB flashku nebo podivně velký „čudlík“ na myš.

Bezpečnostní klíč vedle počítače

Upozornění: článek je určen primárně pro běžné uživatele. Často v něm zjednodušuji technické principy tak, aby vystihly jádro pudla, místo aby byly exaktní. Pokud by vás to náhodou uráželo, doporučuji článek rychle opustit.

Co to je bezpečnostní klíč

Co to tedy vlastně bezpečnostní klíč je? Malý počítač, jehož životním posláním je potvrzovat vaši identitu a usnadnit bezpečné použití elektronického podpisu či jiných certifikátů. Jednoduše vám umožní odemknout elektronické systémy aniž byste museli zadávat heslo nebo poslouží jako dodatečný krok zabezpečení vedle hesla/otisku prstu.

Aby to nebylo úplně jednoduché, bezpečnostní klíče mohou podporovat různé funkce – ne každý tedy zvládá vše, co potřebujeme. V článku se zaměřím na ty, které umí nový bezpečnostní standard FIDO2, který spojuje zabezpečené přihlášení bez hesla s jednoduchým použitím v prohlížečích.

K čemu přesně se používá, mám si jej pořídit?

Pokud se neživíte prací s počítači, nejlákavější využití je možnost elektronické komunikace se státem. Ušetříte tak hodiny cestováním mezi úřady a vyhnete se zbytečným frontám. Stojí to za to. Pojďme si uvést pár příkladů pro různé životní situace a role:

Občan

  • Interakce se státem 
    • Výpis bodového hodnocení řidiče, notifikace o platnosti dokladů.
    • Výpis z Rejstříku trestů.
    • Informace z katastru nemovitostí.
    • Přístup k eReceptu.
    • Informace o pracovní neschopnosti.
    • Přehled o důchodovém pojištění.
    • Zřízení vlastní datové schránky a přístup k ní.
  • Bezpečnější přihlašování na Google, Facebook, Dropbox, Microsoft, Github, Twitter a spoustu dalších.

Podnikatel

  • Interakce se státem 
    • Podání daňového přiznání.
    • Výpis z živnostenského rejstříku.
    • Vyřízení živnostenského oprávnění.
    • Komunikace se „Sociálkou“.
  • Bezpečné přihlašování k vzdáleným i vlastním systémům.
  • Bezpečnější používání elektronického podpisu.
  • Posílení bezpečnosti při přihlašování k pracovním počítačům.

Pro mě osobně je tohle všechno splněný sen. Na dálku jsem třeba vyřídil téměř všechno papírování kolem stavebního povolení. Jediný zádrhel se ukázal v povinnosti mít fyzickou dokumentaci s razítkem stavebního úřadu, ale i tu můžete poslat přes dopravce. A protože ještě nemám přehozené trvalé bydliště, velmi příjemná byla i vzdálená žádost o voličský průkaz.

Výhody a nevýhody

Bezpečnostní klíč funguje podobně jako klasický klíč od domu či auta. Nevýhodou je, že jej musíte nosit u sebe, výhodou ale naopak to, že se bez něj k vašim datům nikdo nedostane. Stejně jako u klasického klíče pak doporučuju pořídit zálohu, kdybyste ho náhodou ztratili.

Pokud jej srovnáme například s použitím mobilu pro ověření přihlášení, klíč má množství výhod:

  • nikdy mu nedojde baterka,
  • nepotřebuje přístup k síti,
  • nelze z něj vyčíst vaše data,
  • nelze jej napadat na dálku.

Použití detailněji

V následujících třech kapitolách se pojďme trošku podrobněji podívat na tři hlavní použití:

  1. přihlášení ke službám veřejné správy,
  2. využití při dvoufaktorové autentizaci,
  3. ukládání elektronických certifikátů.

1. Přihlášení ke službám veřejné správy

Info ikony služeb veřejné správy

Díky službě mojeID, o které si podrobně povíme v závěru článku, se ke službám veřejné správy nově přihlásíte i pomocí bezpečnostního klíče. Jde to třeba i s eObčankou, kterou sice máme (nebo mít budeme) všichni, ale kdo s sebou pravidelně nosí čtečku? Ta je v podstatě jednoúčelné zařízení, které pro správné fungování potřebuje nainstalovat další aplikace. Klíč oproti tomu funguje „sám“ díky přímé podpoře v prohlížečích. Stačí ho strčit do USB (nebo načíst přes NFC na telefonu).

Pojmy a dojmy v portálech státní správy

I když to k bezpečnostním klíčům vůbec nepatří, a tento blok můžete s klidem přeskočit, zde je malý bonus. Stručně vám shrnu pojmy, na které při on-line interakci se státní správou narazíte. Třeba z toho pak nebudete na začátku tak zmateni jako já.

Poskytovatelé on-line služeb

On-line služby jsou to, co my, obyčejní smrtelníci, chceme a kam se chceme dostat. Máme zde například Portál občana a dalších více než 90 on-line služeb, které umožňují komunikovat se státní správou, městy, obcemi a dokonce už i některými nestátními portály. Na ty se obecně nejčastěji odkazuje jako na Poskytovatele on-line služeb nebo on-line služby.

Identifikační prostředky

K prokázání vaší totožnosti při přístupu k on-line službám slouží různé identifikační prostředky. Jde například o již zmíněnou eObčanku, mojeID a další poskytovatele, kteří jsou akreditovaní a napojeni na NIA.

NIA - Národní bod pro identifikaci a autentizaci

O tom sice nepotřebujete moc vědět, ale poměrně často se s touto zkratkou někde setkáte. Zjednodušeně jde to nástroj, který používají poskytovatelé identifikačních prostředků k tomu, aby všechno fungovalo. Nejvíce matoucí jsou asi různé pojmy. Portál NIA se jmenuje eidentita.cz a běží pod sloganem Klíč k elektronickým službám. Název eidentita, natož klíč k elektronickým službám, ale většinou na ostatních službách či portálech nezahlédnete. Někdy je to také jen Národní bod, někdy Národní identitní autorita. Lepší vysvětlení rád uvítám v komentářích. Já už jsem si v hlavě NIA uložil vedle FBI.

2. Dvou (či multi) faktorová autentizace

V podstatě všichni velcí hráči (Google, Facebook, Dropbox, Microsoft, Github, Twitter a spoustu dalších) v dnešní době podporují používání bezpečnostních klíčů (s FIDO) jako druhý faktor při autentizaci.

facebook, google, twitter, dropbox a další podporující 2FA přes bezpečnostní klíč
K čemu to, když sebe u sebe máte mobil? Samozřejmě kvůli bezpečnosti. Druhý faktor má být opravdu druhým faktorem. Tedy vždy něčím dalším do našeho přihlašovacího mixu. Představte si, že se přes mobil přihlašujete na Google účet. Na tom samém telefonu pak musíte potvrdit, že s tím souhlasíte… zbytečné obtěžování a žádná bezpečnostní hodnota. O použití SMS jako druhého faktoru se raději rozepisovat nebudu, to už udělali jiní, mnohem povolanější. SMS jako druhý faktor prostě nebrat, ostatně už k tomu naštěstí donutili i banky. Nejbezpečnější je, když služba vaše telefonní číslo ani nezná.

3. Uložení certifikátů

Některé bezpečnostní klíče mají kromě podpory nového standardu FIDO2 i podporu elektronických certifikátů, tedy například elektronického podpisu. Všechny certifikáty tak budete mít po nahrání do klíče vždy u sebe.

Pro připomenutí: uložení elektronického podpisu v klíči je výhodné zejména proto, že vám jej nemůže nikdo ukrást. Ani na dálku, ani s pomocí škodlivé aplikace na počítači či mobilu, kam ho vkládáte.

Výhody pro vývojáře

Pokud jste vývojáři, nemusí vám být na první pohled zřejmé to, že např. GPG klíč je také elektronický certifikát a můžete jej do klíče přihodit a podepisovat své změny mnohem bezpečněji. Stejně tak lze klíč použít jako další faktor třeba při přihlašování přes SSH.

Ukázka zobrazení podepsaného commitu na Githubu

Co je to mojeID a k čemu to je

Pokud jsem vás na bezpečnostní klíč nalákal, a budete jej chtít použít pro přihlášení k on-line službám veřejné správy, potřebujete účet u mojeID.

Tlačítko Přihlásit přes mojeID

MojeID jste mohli zahlédnout jako přihlašovací možnost na některých e-shopech a portálech (Alza, CZC, CSFD, dTest a spoustu dalších). Jedná se o poskytovatele ověřené identity, který vám v ideálním světě umožní založit jeden účet a s ním se bezpečně přihlašovat na všechny ostatní služby. Asi znáte obdobnou funkci přihlášení přes Facebook nebo Google účet. Zde však nemusíte za pohodlné přihlášení platit osobními daty. Výhodou pro e-shopy je zase jistota, že je zákazník reálný a rapidně tak klesá např. riziko falešných dobírek.

Trošku vedlejší, ale nezanedbatelnou výhodu získávají majitelé .cz domén. Projekt mojeID totiž vytvořilo a provozuje sdružení CZ.NIC, správce české národní domény, a integrovalo ji do samotného registru domén. MojeID tak můžete použít místo běžného doménového kontaktu. K dispozici pak máte navíc Doménový prohlížeč, kde na jednom místě vidíte přehled všech domén, u kterých jste v libovolné roli uvedeni. Zároveň lze zablokovat změnu registrátora či jakoukoliv změnu na doméně – máte ji tak chráněnou i před případnou chybou či napadením u registrátora.

Náhled domény igloonet.cz v doménovém prohlížeči

Pro použití účtu při připojení k veřejné správě v CZ.NIC vytvořili přehledný návod, s kterým celý proces rychle zvládnete. Ve zkratce je ale potřeba udělat dva kroky:

Přidání bezpečnostního klíče do mojeID

Infografika k ověření přes mojeID

Klíč budeme přidávat do vlastního účtu. Pokud tedy žádný nemáte, nejdříve jej založte. Jakmile jste přihlášeni, stačí skočit na seznam bezpečnostních klíčů a přidat nový.

Tip: Pokud se tam budete chtít někdy později dostat ručně, cesta je trošku složitější. Nastavení -> Dvoufaktorové přihlášení -> Nastavit -> Bezpečnostní klíč -> Nastavit.

Zpřístupnění služeb veřejné správy - pozor formuláře

V záložce nastavení vašeho mojeID účtu v části Přístup ke službám veřejné správy klikněte na Získat přístup.

A teď přichází krok nejotravnější – ověření vaší totožnosti. Pokud máte např. eObčanku a čtečku k ní (nebo kamaráda, co vám ji na pár minut půjčí), jde to všechno on-line. Aktualizace: Od 17. prosince 2020 je možná další online metoda a tou je ověření přes nepodnikatelskou datovou schránku.

Pokud ale žádný jiný prostředek pro autentizaci nemáte, musíte zvolit volbu Navštívit pracoviště Czech POINT (snad vůbec naposledy). PDF s žádostí si vytiskněte (nebo jen hoďte do mobilu) a doneste na pobočku. Pozor, je to Czech POINT, takže si nezapomeňte občanku. Všechny pokyny jsou jasně vidět přímo v žádosti. Jak pro vás, tak pro pracovníka.

Jakmile je ověřeno, dorazí vám e-mail s výzvou k dokončení procesu. Stačí znovu skočit do nastavení a v části Přístup ke službám veřejné správy dáte dokončit.