- Oroszok csomagolják ki a még be nem mutatott iPad Pro M5-öt
- Íme, a Moto X70 Air, vagyis Motorola Edge 70 minden oldalról
- Akciófigyelő: Komoly kedvezményekkel és ajándékokkal startol a Xiaomi 15T széria
- Bemutatta az Apple a Powerbeats Fit fülhallgatót
- Amikor a fókusz egy stapatelefon óraképernyőjén van
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Android alkalmazások - szoftver kibeszélő topik
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Samsung Galaxy S23 Ultra - non plus ultra
- Hivatalos a OnePlus 13 startdátuma
- Akciófigyelő: Komoly kedvezményekkel és ajándékokkal startol a Xiaomi 15T széria
- iPhone topik
- Végre egy tényleg jó Duotts bringa! - E29 teszt
- Mobilhasználat külföldön
- OnePlus 7T Pro - árban is a csúcson
Aktív témák
-
hajbazer
újonc
Javaslom, hogy a Google RCS-influenszerkedése által terjesztett idealizmusok helyett próbáld meg először megérteni a kétfaktoros autentikáció mibenlétét, ahelyett, hogy a nemtitkosított=nembiztonságos™ közhelyet erőlteted.
Egyfelől, bármit is állítanak a Google RCS szutykát demókkal és riogatással erőltető RCS influenszerek, az SMS titkosítva van, amíg a hálózaton utazik, a küldő és a végpont között nincs végponti (end-to-end) jelleggel titkosítva. Szóval ezt rosszul tudtad.
Amit pedig meg kéne értened, hogy a kétfaktoros autentikáció lényege az, hogy önmagában egyik faktort sem tekintjük biztonságosnak. Holmi keveset számít, hogy nem titkosított (vagy akár törhető titkosítással rendelkező) csatornán érkezik az SMS, hiszen zárt rendszerben utazik és a lehallgatásához legalább haladó rádiós ismeretek, a GSM protokollszintű ismerete, a GSM titkosításának feltörése és mindezekhez való speciális felszerelés szükséges amellett, hogy az áldozat földrajzi tartózkodási helyét is tudni kell és oda fizikailag ki is kell vonulni. Célzott megfigyelés esetén tehát valóban lehet gyenge faktor, de pont ugyanúgy gyenge faktor a WiFi router, a vezetéknélküli billentyűzet és minden egyéb meghekkelhető, lefigyelhető kütyü. Ennél sokkal egyszerűbb és bűnözői szemmel kifizetődőbb egy Play Store malware segítségével összelopkodni az okostelefonokról a bejelentkezési adatokat és/vagy hijackelni a banki/DÁP/egyéb alkalmazásokat. Ha esetleg véletlenül abban a hitben ringatták a multik a tudatodat, hogy az okostelefon törhetetlen™ platform, el kell, hogy keserítselek: https://www.lookout.com/threat-intelligence/article/lookout-discovers-global-rooting-malware-campaign
A kétfaktoros azonosítás összességében akkor tud erős lenni, ha a két faktor valóban két, egymástól különálló eszközön létezik csak, amik nem szinkronizálnak (vagy jobb esetben nem is kompatíbilisek) egymással. Minél inkább eltér egyik technológiája a másiktól, annál erősebb a két faktor, mert annál kisebb a valószínűsége annak, hogy egyidőben kompromittálják. Lásd, a 2G SMS elkapása is már minimum célzott támadást igényel.
-
hajbazer
újonc
Az SMS nem a leggyengébb kétfaktor. Pont olyan "erős", mint bármelyik második faktor, csak jól kell tudni használni. Ráadásul az elmúlt 30 év összes mobilkészülékével kompatíbilis, így nem hoz magával újravásárlási kényszert, vagy tesz függővé tech-multik infrastruktúrájától, mint a Google által erőltetett RCS vagy az Apple iMessage.
A SIM-swap támadást csak szolgáltatóhoz beépített ember tudja elvégezni, tehát elsőként el kéne érni, hogy bűnszervezetek tagjait telekommunikációs cégekhez nem vesszük fel dolgozni.
Emellett, korlátozni kéne az ilyen-olyan adminisztrátorok jogosultságait, akár törvényi erővel, ha ezt a szolgáltatók nem hajlandóak maguktól megtenni. A SIM-swap gyakorlatilag egyenértékű azzal, amikor a bankszámládról egy banki adminisztrátor az azonosításod nélkül elutalgat pénzt bűnözőknek. És akkor lehet mutogatni a GIRO rendszerre, meg XY bankra, hogy az milyen gyenge™, miközben nem a gyökerénél kezeltük a problémát. Csak ugye a bankokra már szigorúbb törvények vonatkoznak, így ők is kénytelenek megválogatni, hogy kit vesznek fel és milyen hozzáféréseket adnak nekik. A SIM-swapping támadások tehát nem az SMS gyengeségét mutatják, hanem a mobilszolgáltatók szabályozatlanságát és jogosultságkezelési hiányosságait.Azt kellene megértenie (mindenkinek), hogy az EU célja a kétfatoros azonosítás kikényszerítésével annyi volt, hogy ne lehessen már szanaszéjjel hekkelni az "12345678", "password" és egyéb "okos" jelszót használó tömegek accait...
Ezt mindenki megérti, akinek valamennyi köze van az informatikához. Amit már kevésbé értünk meg, az az, hogy második faktornak miért nem az amúgy legelterjedtebb SMS-t hozták be, ami a banki szektorban már bizonyított? Miért kellett elkezdeni külföldi, megbízhatatlan oldalak ajánlgatásával bénázni? Amivel amúgy gyakorlatilag egyfaktorossá tesszük a bejelentkezést, hiszen biztonsági szempontból marhára nem oké, hogy a kódgenerálás is ugyanazon az eszközön történik, mint ahol az első faktor, avagy a jelszó beírása. Miért nem fordult meg senkinek a fejében az IdomSoft-nál, hogy a TOTP-ről a felhasználóközönség egy részének halvány lila fingja nem lesz? Aztán ezt burkoltan elismerve, behozzák az e-mail-t, mint második faktort, ami szintén nem tekinthető biztonságosnak, mert ugyanazon az eszközön nézi meg 10-ből 10 ember, amiről belép.
A másik oldalon pedig, szintén a biztonságra hivatkozva, kizárják az okostelefonnal nem rendelkezőket az olyan alapfunkciókból, mint az eAláírás (dokumentum-hitelesítés). Jelenleg Ügyfélkapu+-on nincs ilyen lehetőség, tavaly augusztustól a személyijére nem kap már senki aláíró tanúsítványt, csak és kizárólag az okostelefonkényszert hozó DÁP tudja és az is csak elvileg, mert sokaknak abban sem működik.
-
#737
nanotek911
csendes tag
Egon
#735
nanotek911
csendes tag
annyi volt, hogy ne lehessen már szanaszéjjel hekkelni
Látom, neked mindenre van egy teóriád, amiben bolondbiztos vagy..
Az akadémián ez úgy működik, hogy felvetjük a problémát adatokkal (pl. 800 kasszás Erzsi fiókját "hekkelték szanaszéjjel"[forrás!] csak tavaly a mutáns afro-orosz hacker kisgyerekek).Aztán előállítunk egy nullhipotézist, és ezt próbáljuk meg megerősíteni vagy cáfolni a célcsoport vizsgálatával.
-
A kolléga biztosan tudja, hogy mit ír, és tényleg vannak érdekes esetek.
Nekem egyszer volt gondom igazolvány nem hordása miatt, ami remek anekdota és kortünet 1994-ből: a kukát húztam éppen ki a kapu elé, amikor lecsapott a járőr! Amikor beismertem, hogy nincs nálam személyi, pedig kb. három méterre behatoltam a közterületre, jött a "Mit csináljak most magával..." műsor. (Egy barátom erre fapofával azt válaszolta egyszer, hogy "A legjobb szerintem az lenne, ha most itt engem agyon tetszene lőni.") Aztán percekig szívatott az adataim mindenféle permutációban való kérdezésével, aztán némi kioktatás után vigyorogva távozott.
De a jellemző szerintem is az Általad tapasztalt módi. Ha nem nézünk ki gyanúsan, nem zavarjuk a közrendet, és egyéb probléma sincs velünk, akkor egy adategyeztetés után elengednek. Beírják a naplóba a végrehajtott igazoltatást, és minden rendben.
MaCS
-
De, ha már ajánlod, akkor kíváncsi lennék, hogy mit is ajánlasz!
Egyébként valamennyire ismerem a DoqDrive-ot, van is regisztrációm, de nem látom, hogy egyrészt mi is azonosít benne engem hitelesen, másrészt, hogy ezért az így aláírt dokumentumot miért és ki is fogadná el hitelesen aláírt dokumentumként.
A működési elve lehet hasonló az AVDH-hoz (ami ugye eleve nem volt EIDAS-konform), de a hitelessége már messze nem. Az AVDH mögött a hitelességet maga a magyar állam biztosította (saját körben), aminek az alapja az volt, hogy az állam erre felhatalmazott, bizalmi képviselője személyesen megbizonyosodott a személyazonosságomról és annak kapcsolatáról az AVDH-val. Ez az elem hol van meg a DoqDrive-ban?
MaCS
-
Cassi
őstag
Benne van szerintem, de csak az látja valószínűleg, akinek érvényes kulcsa van, maga a DÁP automatikusan nem generál kulcsot. Nekem volt az új személyihez aláíró kártyám, de már lejárt, szóval valószínűleg egy újabb trip a kormányablakhoz. Ha jól értem, az aktuális program "eAláírás" néven fut, azt kell kérni. A DÁP csak egy keretprogram.
Az ilyen kormányzati dolgoknál mindig az *aktuális* dokumentáció megtalálása a kihívás, ha egyáltalán létezik. Folyamatosan változik minden, és az elérhető doksik jelentős része valamilyen propaganda vagy már elavult. El lehet képzelni, milyen misztikus rémületet érezhet Mari néni Piripócson, ha veterán informatikusok sem tudnak eligazodni.
-
Cassi
őstag
Minősített a leírás szerint, így lehet majd használni hivatalos iratokhoz.
Nekem tetszik, persze már évek óta meg lehetett volna csinálni. Mostantól nem hordom magamnál a személyit és a lakcímkártyát, rövidesen azt a nyomorult SZÉP-kártyát sem kell. Tulajdonképpen egy hash-kódnak kellene csak lennie mindenkinél.
-
És ennek így van értelme.
De én csak egy kis jogalkalmazó/oktató vagyok, nem szólhatok bele a nagyok dolgába.
De nem ez az egyetlen contra legem joggyakorlat -- és őszintén szólva többségüknek még örülök is. De a jogbizonytalanságnak nagyon nem. Személyiségi jogi / adatvédelmi jogi területen, ahol eléggé elmosódottak a határok, legalább egyértelmű fogalmakra lenne szükség.
MaCS
-
Pontosan ez volt az én ellenvetésem is, de szerinte ez csak az olyan arcképekre vonatkozik, amelyek kifejezetten olyan minőségben készültek, hogy az gépi azonosításra alkalmas legyen. Szerintem meg egy alapszintű MI egészen jó hatásfokkal megoldja a dolgot.
Egyébként, bár kétségtelenül sajátos figura, egyáltalán nem idióta, és tényleg ott van az alkalmazott adatvédelmi jog élvonalában.
MaCS
Emellett, korlátozni kéne az ilyen-olyan adminisztrátorok jogosultságait, akár törvényi erővel, ha ezt a szolgáltatók nem hajlandóak maguktól megtenni. A SIM-swap gyakorlatilag egyenértékű azzal, amikor a bankszámládról egy banki adminisztrátor az azonosításod nélkül elutalgat pénzt bűnözőknek. És akkor lehet mutogatni a GIRO rendszerre, meg XY bankra, hogy az milyen gyenge™, miközben nem a gyökerénél kezeltük a problémát. Csak ugye a bankokra már szigorúbb törvények vonatkoznak, így ők is kénytelenek megválogatni, hogy kit vesznek fel és milyen hozzáféréseket adnak nekik. A SIM-swapping támadások tehát nem az SMS gyengeségét mutatják, hanem a mobilszolgáltatók szabályozatlanságát és jogosultságkezelési hiányosságait.
Aktív témák
- Apple AirPods Pro 2. generáció
- Apple iPhone Air, 256GB, fekete színben
- Bomba ár! Panasonic FZM1-3 Tablet - i5-7Y57 I 8GB I SSD, Adapter, Akkumulátor nélkül
- Bomba ár! Toshiba Satellite L50 - i5-G5 I 8GB I 256GB SSD I 15,6" HD I HDMI I Cam I W10 I Gari!
- Újszerű Lenovo Thinkpad T16 gen2 (13.gen Core I7 32Gb DDR5 1 Tb SSD) MAGYAR laptop 1 év garancia!!
- Gamer PC-Számítógép! Csere-Beszámítás! I7 12700E / RTX 3070Ti / 32GB DDR5 / 1 TB SSD
- Bomba ár! Dell Latitude 5495 - Ryzen 5 I 8GB I 256SSD I 14" FHD I HDMI I Radeon I Cam I W10 I Gari
- ÁRGARANCIA!Épített KomPhone i5 13400F 16/32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- Huawei Nova 9 SE 128GB, Kártyafüggetlen, 1 Év Garanciával
- DELL Universal Dock D6000 docking station (452-BCYH) (DisplayLink)
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopműhely Bt.
Város: Budapest