Enotni uporabniški račun za vso elektronsko poslovanje z državnimi organi
Spoštovani!
V zadnjem času nam je kot državljanom omogočenega čezdalje več elektronskega poslovanja z državnimi organi, kar je pohvalno, saj so tako postopki hitrejši in udobnejši za obe strani.
Pri temu porastu pa opažam sledeče - mnogo različnih portalov (FURS, IJPP, predlagam.vladi.si, ZZZS, ...) zahteva registracijo novih uporabnikov, tudi kadar se uporabnik identificira s kvalificiranim digitalnim potrdilom Sigen-ca, ki ga izda država. Zato predlagam vladi, da z zakonom ali podzakonskim aktom predpiše poenoteno registracijo uporabnikov, tako da uporabnik, ki se registrira pri enem organu, ne potrebuje opravljati ponovne registracije. V praksi trenutno namreč posameznik za vsako storitev potrebuje novo uporabniško ime in geslo, po vpeljani spremembi pa bi zadoščalo zgolj eno.
Če prav razumem predlog, bi imeli nek "single sign on" (enkratna prijava za več sistemov) in to na "komot".
To se da že danes, ko se shranjujejo gesla in uporabniška imena v brskalnike, vse skupaj pa lahko zaščitite z "master pasword". Potem samo še klikate V redu, tudi pri izbiri certifikata. "Komot" je, o varnosti se pa da debatirat. Zato ni potrebe, da bi država to urejala (je pa res, da bi lahko npr. poenotila vsaj podpisne komponente).
Hkrati se vedno več uporablja tudi dvostopenjska avtentikacija, ko dobite še SMS na telefon in pretipkavate številke. Kdor torej hoče varno, ima lahko varno, kdor hoče na "komot" ima to lahko že sedaj.
Po mojem ....
Kar se varnosti tiče, bi bilo to slabo. Namreč v kolikor bi kdorkoli prišel do vaših podatkov, bi tako lahko pridobil vse hkrati. Sedaj se lahko posamezno identiteto preverja pri več organih posebej.
Zadeva bi morda bila sprejemljiva zgolj z zelo zaščitenim in kompleksnim sistemom preverjanja, kar pa uporabnikom, niti uslužbencem verjetno spet ne bi bilo po godu. Tretja zadeva pa je etičnost uslužbencem, ki bi imeli dostop do podatkov...namreč posamenik, ki dela v javni upravi bi tako prišel do vseh vaših podatkov hkrati, kar bi tudi sicer zelo povečalo možnost zlorabe.
Ob uporabi digitalnega certifikata ti pomisleki v večjem delu odpadejo.
Prijava v eDavke recimo poteka le z digitalnim certifikatom, brez gesel. Kaj je z vidika varnosti bolj vprašljivo od javnih online servisov?
In do kakšnih podatkov lahko pride uslužbenec Fursa, če bi se z istim digitalnim potrdilom prijavljali tudi na ZZZS?
Dostop samo s certifikatom (brez gesla) je ena večjih neumnosti, kar so jih naredili dozdaj. Sistem v kombinaciji z geslom je dosti bolj varen, in bi ga morale imeti/podpirati vse strani.
Z dodanim geslom je bolj varno, ne bi pa ravno rekel "dosti bolj".
Velika večina ljudi ima gesla shranjena kar v brskalniku, ali pa zapisana v kakšni datoteki na računalniku.....konec koncev je to potrebno ravno zato, ker vsako spletno mesto zahteva geslo, uporaba istega gesla je definitivno nevarna, 82 različnih gesel pa si ne zapomni nihče. Še posebej ker ima veliko portalov dodatne zahteve pri geslih (velike črke, male črke, številke, posebni znaki, minimalno število znakov), ki varnosti gesla v bistvu ne povečajo, povečajo pa potrebo po tem, da je geslo nekje zapisano.
Tako da, če bo nekdo nekomu uspel ugrabiti digitalni certifikat.....bo zelo verjetno prišel tudi do njegovih gesel.
Digitalni certifikat je kot bancna kartica... z posedovanjem lahko kdorkoli naredi dosti skode. Zato imamo pa pin-e in gesla, da se pred tem zascitimo. To, da nekateri nosijo pin na listku v denarnici, zraven kartice, ni nikakrsen argument, da je varnost enaka z in brez gesla/pina.