Datové schránky, zase špatně

Verze pro tiskPDF verze

Dnes mi přišlo na e-mail oznámení týkající se nové zprávy v mé datové schránce. Nutno podotknout, že musím mít dvě datové schránky. Jednu jakožto má osoba a druhou jakožtá já-podnikající osoba. Neptejte se proč, nikdo to neví/nechápe. Když e-mail přišel, byl jsem nucen se přihlásit do obou účtů, protože v těle emailu se nepíše, zda zpráva patří vám nebo vám-podnikateli. A to byl jen začátek...

Jako vždy se jednalo právě o tu druhou schránku... V případě druhé schránky po mě už asi po desáté (z deseti přístupů) požadovali změnu hesla.

To je značně nepochopený smysl bezpečné obměny hesla, když si při každém přístupu musí uživatel měnit heslo... Minimálně 8 znaků dlouhé, obsahující různorodé znaky (přitom spousta z nich je zakázána a tudíž nepoužitelná). Věřte tomu, že zrovna tato hesla budou mít naštvaní uživatelé napsaná na papírku u počítače nebo v osobním diáři.

A změnit si ho musíte. Jinak se vám účet po dalších pěti přihlášeních uzamkne.

A co že mi to tak důležitého píšou?

Že se přechází (a teď dejte pozor) na šifrovací algoritmus SHA-2. Bože, jak se může o naši bezpečnost při styku se státními institucemi/orgány starat někdo, kdo napíše, že SHA-2 je šifrovací algoritmus??

Certifikát certifikační autority začal používat hashovací algoritmus SHA-2... Teď jsme tedy moderní a bezpeční...

A perlička na konec

PDF dokument, informující o této změně, je podepsán Ing. Jindřichem Kolářem z MVČR, ale certifikátem podepsaným I.CA, který není používaný v systému datových schránek (používá se PostSignum CA), a tím pádem je považován za nedůvěryhodný!!
Takže první věc, která na mě vybafla při otevření PDF, bylo upozornění, že v dokumentu je problém s ověřením podpisu :o)

S takovým přístupem se kvapně přibližujeme velkému problému. Již nyní se neoficiálně mluví o SQL Injections v systému datových schránek. Je tedy opravdu na místě začít se bát zneužití své identity.

Ne kvůli virům, malwaru, facebooku etc., ale kvůli datovým schránkám.

Přikládám odkaz na výše zmíněnou zprávu o "šifrovacím algoritmu", včetně PDF dokumentu.

http://www.datoveschranky.info/clanek/351/
Prechod_SHA_2.pdf

Volby prohlížení komentářů

Vyberte si, jak chcete zobrazovat komentáře a klikněte na „Uložit změny“.

Stejná zkušenost

Můžu potvrdit, mám stejnou zkušenost. Navíc už mám za sebou i zkušenost s resetem hesla. Podle mě jsem heslo nezapomněl (password manager hesla nezapomíná, že), ale podle datových schránek ano. Tak jsem si našel nejbližší pracoviště Czech Point, kde jsem se dověděl, že musím na nejbližší větší poštu. Na nejbližší větší poště zrovna probíhaly výplaty sociálních dávek, bohužel také u okýnka se štítkem Czech Point. Tak jsem vystál frontu a vyslechl si nadávky svých sociálně slabších spoluobčanů. Poté slečna za přepážkou poměrně svižně vyrobila žádost o změnu hesla. Podepsal jsem a když jsem si myslel, že už mám vše za sebou, oznámila mi s úsměvem, že mi příjde faktura na 200,- Kč. Musím uznat, že takový proces kolem resetu hesla musí každého útočníka zaručeně odradit.
Osobně považuju datové schránky za jeden z největších paskvilů, které se kdy státní správě podařilo vyrobit.

Zkušenost s vypršením hesla.

Používám doplněk do Outlooku od Microsoftu. Pokud přejdu to, že doplněk vyrobil AutoCont a že v podstatě za něj nechce nést zodpovědnost ani AutoCont ani Microsoft, tak je celkem použitelný. Teda to jsem si myslel až do dneška. Dnes ráno mi totiž tento doplněk zahlásil chyba ID schránky. Tuto hlášku ale zahlásil při hledání kontaktu na příjemce zprávy a tak jsem myslel, že se jedná o chybnou schránku příjemce. Bohužel jsem tím vyčerpal 5 možností přihlášení (za přihlášení se považuje i hledání příjemce) a tak i když jsem se snažil přihlásit přes webové rozhraní, tak mi to hlásilo chybné heslo. Tak mi teď nezbývá, než dojít na CheckPoint a zažádat o nové heslo. Problém je v tom, že jednatel firmy je nemocný a druhý je v Polsku. Pokud bych si sehnal plnou moc od jednatele, tak ji před vydáním nového hesla bude zkoumat ministerstvo vnitra a prý to trvá cca 2 měsíce. Takže jako firma nebudeme mít přístup do datové schránky dokud se jednatel nevrátí z nemocnice. A to jenom kvůli nějakému blbci, který vymyslel, že se heslo musí měnit po 90ti dnech a kvůli dalšímu expertovi z AutoContu, který tuto změnu nezanesl do doplňku.

Autor doplnku

Doplnek je zdarma a tak mam na vyvoj hodne omezeny rozpocet.
V nove verzi uz je ale alespon (manualni) test na termin platnosti hesla a moznost ho zmenit. Bohuzel rozhrani nijak nesignalizuje jestli je heslo spatne, nebo jiz vyprselo apod.