Aktív témák
-
hajbazer
újonc
De mondjuk a múltév végi FBI/NSA javaslat indok-alapja picit többet nyom a latban.
Amit a Google és más multikák 2G/SMS-ellenes lobbitevékenységének (is) köszönhetsz. Nagyon fáj ezeknek a multiknak, hogy lehet még SMS-t küldeni, mert így nem erőltethetik rá a világra az ezeregyedik szutykukat is, hogy a szöveges üzenetek is rajtuk keresztül menjenek. Legfőképpen a Google nem erőltetheti az RCS szutykát, amivel az évtizedes lemaradását akarná behozni az iMessage-dzsel szemben. A Google az egyik, aki a GSMA-ba való beférkőzése után aktívan kezdett lobbizni a 2G és a 3G lekapcsolása mellett, amiből a 3G lekapcsolása nyilván szükséges is (bár megjegyzem, nem akkor és nem úgy, ahogy itthon kivitelezték), de a 2G, vagyis a GSM hálózatok lekapcsolása a fenntartható mobilkommunikáció ellen elkövethető legnagyobb bűn.
Nagyon furi, hogy az SMS az nagyon jó, de az adott, mindenkori okostelón már biztos van minden, emiatt a butatelefon jobb a narratíva, de persze ilyen user belépésre használt PC-ja az biztos tiszta marad SMS-es esetén
Az a furi, ahogy összemosod a felsoroltakat, majd nekiállsz szalmabábokat rám olvasni. Leírom akkor harmadszor is, hogy a két faktor csak együtt tekinthető biztonságosnak. Tehát, sem a PC, sem az SMS-t fogadó okos- vagy butatelefon önmagában nem az. Erre találták ki az egész koncepciót. Egy PC és egy okostelefon kompromittálhatósága nagyjából egy kategória. Egy 2G butatelefon kompromittálhatósága egy egészen másik kategória. Szoftveresen kompromittálni (alkalmazással, vírussal stb.) gyakorlatilag lehetetlen. Az SMS-t célzott támadással, igen költségesen lehet elkapni. Viszont ugye a butatelefon önmagában nem tud bejelentkezni sem a netbankba, sem az Ügyfélkapura.
-
#845
nanotek911
csendes tag
ledgeri
#837
nanotek911
csendes tag
Ha le mersz írni ilyet "Az SMS nem a leggyengébb kétfaktor. Pont olyan "erős", mint bármelyik második faktor, csak jól kell tudni használni. ", akkor vagy nem ismered, hogy mi létezik
Ez tény – valószínűleg a lakossági második faktorokra gondolt, mint az e-mail, vagy az okostelefonos igazából bármi.
Egy dedikált hardware token mindenképpen "a legjobb" választás – amíg el nem lopják vagy el nem veszíted.---
Akárhogy is, a lényeg az, hogy egy SMS-t nem fogsz elkapni/megfejteni egy OOB flipperzéróval – ahogy az infosec-ben mondják, ennek a megvalósításához well-funded adversary szükséges.
Ugyanez garantáltan nem mondható el az okostelefonos bármiről. Lehet, hogy Manyika nem tud Pegazust telepíteni a telefonodra – de van 73 másik dolog, amit igen.
-
hajbazer
újonc
Számomra az hiteltelen, aki közhelyként terjeszti azt, hogy az SMS nem titkosított/biztonságos (egyik sem igaz általánosságban), csak mert a Google RCS-influenszerei mutattak neki egy demót, amiben laboratóriumi körülmények között elkaptak egy kétfaktoros SMS-t. Mindeközben a szuperbiztonságos™ okostelefonplatformjuk alkalmazásboltja (Play Store) hemzseg a kártevőktől, még az olyanoktól is, amik rootolják a telefont és így kompromittálják a banki és egyéb más alkalmazásokat.
-
hajbazer
újonc
Nem csak ez számít, de ez is számít.
A #745-es hsz-ed picit aláássa az egészet egyébként...
Semmit nem ás alá. Az egész digitális állampolgárságos intézményrendszert azokra az alappillérekre kellett volna a kezdetektől felépíteni, amire a bankok már felépítették az internetbankolás intézményét 10-15 éve. Aminek van egy olyan alapelve, hogy a számítógépes és az okostelefonos ügyintézés megfér egymás mellett, átjárható, egymással helyettesítő és nem függ egyik eszköz a másiktól.
A működő gyakorlat ellenére az IdomSoft-nak sikerült egy csak okostelefonról működő alkalmazást összehoznia, amire elkezdték kiszervezni az olyan alapvető funkciókat, mint a dokumentumhitelesítés. Közben úgy vezették ki az AVDH-t, hogy senkinek sem működik. Közben bevezettek egy TOTP-t, amiről az autentikátorokat nem használó Ügyfélkapusok azt se tudták, hogy eszik-e vagy isszák. Aztán, mikor rájöttek, bevezették az e-mail-es második faktort. Kapkodás, bénázás, bétaminőségű szoftver, igazságtalan döntések.
És igen, továbbra is fenntartom azt az állításomat, hogy egy felhasználónév+jelszó párossal és egy 2G butatelefonra érkezett SMS-sel való belépés netbankba, Ügyfélkapura, akárhova, ha jól van használva, biztonságosabb, mint bármilyen okostelefonos alkalmazás, ahol igazából csak egy faktorod van (az az egy eszköz, ami a kezedben van) és elég azt az egy faktort kompromittálni. A TOTP pedig messze nem garantálja azt, hogy mindenki megfelelően fogja használni és nem osztja meg a BASE32 secretet (illetve a lefényképezett QR-kódot) fűvel-fával.
-
Fuvaros
senior tag
se telon, se pcn nem tudok belépni. régen minden jól ment. Ha kérek pcn új jelszót, elfogadja de utána sem lehet belépni. Ez így meg 2 hete. előtte voltam kormányablakban, mert a személyim még a régi és nem felelt meg az azonosításhoz. De most hiába jött a NAV-tól küldemény, nem tudom megnézni...
-
ekkold
őstag
Találtam működőképes PHP kódot, így az éjjel már el is készült a saját verzióm az otthoni NAS-ra:
Természetesen a képen nem "éles" adatok vannak, de teljesen ugyanazt adja vissza mint a https://totp.app oldal, csak ezt bárhonnan elérem ha akarom, és a kulcsokat a NAS tárolja. -
Nagyon sok tennivalónk ezért nem volt -- igaz, nagyon magyarázni sem kellett.
De nem is ez a lényeg, hanem maga az idevezető út, a társadalmi szintű tájékozatlanság, digitális analfabetizmus. Nem csak az Ügyfélkapu kapcsán, hanem úgy általában.
Továbbá ennek a kezelési hiányosságai. Mert azt tudomásul kell venni, hogy bizony messze nem mindenit lehet már erre a pályára állítani. De az ő helyzetükkel éppúgy foglalkozni kell mint azzal, hogy szoruljon vissza ez a tájékozatlanság.Ehhez képest viszont az iskolákban is folyamatosan termeljük ki az informatika napi alkalmazására fel nem készített gyerekeket -- már amennyiben a Tik-Tok nézést nem soroljuk ide...
MaCS
-
Az általam említett személytől biztosan nem, de szerintem 100-ből 999 ember számára amúgy is felfoghatatlan távolságban van az emulátorhasználat. A többség számára az alapvető fájlműveletek megértése kábé a plafon -- az idősebbek pedig, akik számára az érintőképernyő az igazi problémát jelenti, még komolyabb, és egyébként teljesen indokolt kihívásokkal küzdenek.
És akkor még nem beszéltünk arról a milliós táborról, akik számára ez az egész felfoghatatlan és elérhetetlen. Köztük pedig vannak, akik a számítógép-használatig eljutottak, és akár segítséggel is, de használni tudják az állami szolgáltatásokat -- viszont egy mobiltelefonos igény már kiütné őket ebből.
MaCS
-
cocka
veterán
Hát ez az Android emulátor mindig ingoványos talaj, mert anno elkezdtem használni az egyik banki appot droid boxon. Egy ideig ment, aztán a frissítésekkel végleg elqrták.
Utána egy másik banki appnál még el lehetett nyomni droid boxon is a rootolt, módosított szoftver blablát, ma már ehelyett kilép. De emulátorral jó sokáig ment, aztán már nem megy azzal se.
És nem tudom kinek mennyi kedve van ahhoz, hogy állandóan ezt a fajta macska-egér játékot játssza, hogy na most vajon mikor melyik frissítéssel teszik tönkre adott emulátoron a működését egy valóságközeli appnak.Ahogy korábban is írtam már talán ide is... egy életet nem lehet bugos, hiányos appokra alapozni.
-
#443
T0mBd1gg3R
veterán
ledgeri
#442
-
#349
cinemazealot
addikt
ledgeri
#347
cinemazealot
addikt
Nem feltétlenül, mert a TOTP.APP nem sütiben tárolja a kulcsokat, hanem a local storage-ben. Azt máshol kell törölni. De igazad van, a TOTP.APP-ot nem inkognitó ablakban kell használni.
-
cocka
veterán
Ha jól emlékszem az a bankos az OTP (nem a bank, csak a ONE TIME PASSWORD)-volt nem TOTP (time based otp). Az annyiban más, hogy a kódok nem függnek időtől és csak a sorrendjük adott.
A CIB hard tokenről van szó egyébként. Állítólag időhöz is kötve van. Szóval valószínűleg time based, mert azt mondják, ha ritkán használod vagy túl gyakran, elállítódhat az időszinkron.
-
cocka
veterán
Akkor már legyen fizikai kulcs
Egy bizonyos banknál is lehet még tokeneket használni. Ez lenne a nyerő itt is.
Azt se vágom, hogy maga az e-személyi egy kártyaolvasóval (akinek már van és nem majd lesz) miért nem lehetne megoldás, miért kell ezt is kukázni?
Január 16-tól vajon az e-személyi kliens című program se fog működni?
-
uniqm1
tag
Én épp authentikátort vadászok az ÜK+ hoz(alapvetően PC-re, de kell a szinkronizálás az esetleges mobilos belépés miatt, és a családtagok miatt több kód lesz tárolva). Még várok vele, hátha mégis lesz e-mail a qr kód mellett, de megkönnyítetted a választást. Nagyon köszönöm a tippeket!
) az időpont...
Aktív témák
Hirdetés
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Revolut
- Spórolós topik
- Le Mans Ultimate
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Yettel topik
- Hitelkártyák használata, hitelkártya visszatérítés
- Végleg lenyomta a tévét a streaming az USA-ban
- További aktív témák...
- Eladó konfig! Ryzen 7 7800X3D 2TB SSD 64GB DDR5 RX9070XT 16GB!
- Új, makulátlan állapotú Samsung Galaxy Buds FE, fehér, fél év garancia
- Új, makulátlan állapotú Samsung Galaxy Watch7 44mm ezüst, 2 év garancia
- Új, makulátlan állapotú Samsung Z Fold 6 256GB Tengerészkék, független, 2 év garancia
- Használt TP-Link Deco M4 - AC1200 Router (Mesh-ként is használható)
- AKCIÓ! PC Specialist Recoil VIII 17 notebook - i9 14900HX 16GB RAM 2TB SSD RTX 4060 8GB WIN11
- Bomba ár! Dell Latitude E5570 Touch - i5-6300U I 8GB I 256SSD I 15,6" FHD I HDMI I CAM I W10 I Gari
- Telefon felvásárlás!! Samsung Galaxy S24/Samsung Galaxy S24+/Samsung Galaxy S24 Ultra
- Telefon felvásárlás!! Apple iPhone SE (2016), Apple iPhone SE2 (2020), Apple iPhone SE3 (2022)
- Tablet felvásárlás!! Samsung Galaxy Tab A8, Samsung Galaxy Tab A9, Samsung Galaxy Tab S6 Lite
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: Promenade Publishing House Kft.
Város: Budapest