Hirdetés

Új hozzászólás Aktív témák

  • csendes

    addikt

    válasz drótos #232 üzenetére

    Félreértés az autentikátorokkal kapcsolatos megjegyzés. Az idő alapú egyszeri jelszó (TOTP, time based one time password) vállalati rendszereknél is elterjedt, biztonságosabb mint az SMS alapú egyszeri jelszó (OTP), mert egyrészt rövidebb ideig érvényes, másrészt nehezebb (de nem lehetetlen) ellopni.
    A TOTP.APP nem bövítmény, hanem egy weboldal, bármilyen böngészőben megy, mobilon is. De a json állományba lementett kulcs (seed, secret key) kockázatot jelenthet, különösen ha valaki neten keresztül akarja elérni. Ha viszont valaki nem menti el a kulcsot, akkor a cookie-k törlésével az elveszhet.
    Az Authenticator extension némiképpen félreérthető módon néhány helyen "Google Authenticator"-ként van megjelölve, de semmi köze a Google-höz. Itt is lehet menteni a kulcsot, és választható titkosított mentés, ami biztonságosabb.
    Az MS Authenticator és a Google Authenticator a legelterjedtebb, ezek valóban mobilon működnek, de pont ezért biztonságosabbak is, bár a telefonra telepített malware, illetve E-mail-ben küldött hivatkozással hamis webhelyre átirányítás ezeknél is kockázatot jelent, ahogy a DÁP-os azonosításnál is.
    Egyelőre január 15-e után az Ügyfélkapu+-ra váltás az egyszerű megoldás valamelyik megbízható TOTP authenticator-ral. A Wikipedia-n szereplők közül célszerű választani: [link]. Vagy a DÁP-on keresztül is el lehet érni a KAÜ-t (központi azonosítási ügynök) [link]
    Az ujjlenyomattal történő azonosítás kockázatainak elemzése összetett kérdés, egy rövid bevezető olvasható például itt: [link]

Új hozzászólás Aktív témák