Proč mojeID
mojeID je služba, která dovoluje uživatelům zřídit si a centrálně spravovat svoji internetovou identitu. Uživatel, který používá mojeID je zároveň i existující člověk. Tato služba v sobě skýtá mnoho různých výhod, mezi něž patří například jedno heslo pro více služeb a tedy i rychlejší a především bezpečnější přihlašování.
2. února → přihlašování pouze přes mojeID
Druhým, bohužel velmi nepříjemným a nebezpečným podvodem byly phishingové útoky, jejichž cílem bylo odcizení účtu nejen na VJK, ale i třeba na facebooku či jiných webech. Takovéto jednání je nejen v rozporu s pravidly VJK, ale i morálních zásad a především pak se zákony ČR.
Zároveň jsme pomysleli na výhody, které mojeID nabízí a proto jsme sáhli po této možnosti jako po volbě nejmenšího zla. Aby mohlo být mojeID vůbec využíváno, je třeba ověřit nejen e-mail uživatele, ale také jeho telefonní číslo a případně pak i jeho adresu a totožnost (volitelně), navíc je systém přihlašování výrazně bezpečnější (heslo/certifikát/OTP), což případnému útočníkovi velmi zkomplikuje útok.
V případě nastavení ověření mojeID účtu pomocí OTP (jednorázové heslo získané z aplikace na mobilním telefonu majitele účtu) je pro potenciálního útočníka prakticky nemožné se na účet dostat.
Pro jednoznačné ověření účtu mojeID (aby systém poznal, že mojeID účet, přes který se zrovna někdo přihlašuje je spárován s konkrétním profilem na VJK) a omezení případných podvodů vyžadujeme pro porovnání jméno, e-mail, na který je vedeno mojeID a telefonní číslo.
Tyto údaje jsou hned po předání zahashovány (je z nich vytvořen řetězec nesmyslných znaků, který neobsahuje žádnou původní informaci) a dále pracujeme pouze s hashem. Žádný z těchto údajů není veřejně dostupný, ani neslouží k jiným účelům - viz prohlášení o ochraně osobních údajů.
Modelový příklad toho, co odešle uživatel a jak to my přijmeme:
Jaký bude postup zavádění?
10. - 31. ledna - obojí přihlašování, přes mojeID i staré pomocí hesla2. února → přihlašování pouze přes mojeID
Proč jsme mojeID zavedli a proč ho vyžadujeme?
mojeID jsme zavedli kvůli podvodům, kterých se uživatelé dopouštěli. Bylo to především multiúčtaření - čili zakládání více účtů jedním člověkem, což je silně v rozporu s našimi pravidly.Druhým, bohužel velmi nepříjemným a nebezpečným podvodem byly phishingové útoky, jejichž cílem bylo odcizení účtu nejen na VJK, ale i třeba na facebooku či jiných webech. Takovéto jednání je nejen v rozporu s pravidly VJK, ale i morálních zásad a především pak se zákony ČR.
Zároveň jsme pomysleli na výhody, které mojeID nabízí a proto jsme sáhli po této možnosti jako po volbě nejmenšího zla. Aby mohlo být mojeID vůbec využíváno, je třeba ověřit nejen e-mail uživatele, ale také jeho telefonní číslo a případně pak i jeho adresu a totožnost (volitelně), navíc je systém přihlašování výrazně bezpečnější (heslo/certifikát/OTP), což případnému útočníkovi velmi zkomplikuje útok.
V případě nastavení ověření mojeID účtu pomocí OTP (jednorázové heslo získané z aplikace na mobilním telefonu majitele účtu) je pro potenciálního útočníka prakticky nemožné se na účet dostat.
Proč vyžadujeme pro hru externí službu, která si žádá osobní údaje?
Kdyby uživatelé nepodváděli, nebylo by externí ověřování identity nutné, bohužel realita je jiná a tak musíme v tomto ohledu zasáhnout. Stav, kdy jsme ve strachu, ručně pouštěli k registraci jednotlivce, které jsme navíc mseli kontrolovat, byl dlouhodobě neudržitelný, velmi zdlouhavý a obtěžující pro obě strany. MojeID si žádá osobní údaje, nicméně to je princip této služby - ověření reálného člověka. Navíc díky tomu není potřeba mnohokrát vyplňovat všemožné údaje např. u e-shopů. My k těmto údajům navíc ani nemáme přístup, slouží nám pouze k ověření uživatele - viz níže.Pro jednoznačné ověření účtu mojeID (aby systém poznal, že mojeID účet, přes který se zrovna někdo přihlašuje je spárován s konkrétním profilem na VJK) a omezení případných podvodů vyžadujeme pro porovnání jméno, e-mail, na který je vedeno mojeID a telefonní číslo.
Tyto údaje jsou hned po předání zahashovány (je z nich vytvořen řetězec nesmyslných znaků, který neobsahuje žádnou původní informaci) a dále pracujeme pouze s hashem. Žádný z těchto údajů není veřejně dostupný, ani neslouží k jiným účelům - viz prohlášení o ochraně osobních údajů.
Modelový příklad toho, co odešle uživatel a jak to my přijmeme:
