Új hozzászólás Aktív témák
-
-
csendes
addikt
-
csendes
addikt
Valóban, az idő alapú egyszeri jelszó (Time based One Time Password) várhatóan egy évtizeden belül elavulttá válik. De jelenleg az egyik legelterjedtebb hitelesítési megoldás
Amire hivatkoztál, az a TOTP.APP böngésző bővítmény. Amit a cikkben írtak, az igaz, valóban ott van a javascript kódban az adott oldal. Ezt azért tudtam ellenőrizni, mert nyílt forráskódú az egész oldal, jelentős részben MIT licensz alapján vett át programelemeket.
Ezek után mennyivel nagyobb a kozkázat, mint egy zárt forráskódú program esetében? Erre nehéz válaszolni. Mindenesetre a Wikipedia-n is szerepel a TOTP.APP a TOTP alkalmazások listájában: [link] A nyílt forráskódnak az az előnye mindenképpen megvan, hogy átlátható, ha valaki éppen ráér, végigböngészheti sőt lassanként a mesterséges intelligenciát is megkérhetjük, hogy ellenőrizze le.
A CrowStrike által 2024-ben okozott veszteségek [link] után az óvatosság nem árt.
Ha valaki jobban bízik az E-mail-es hitelesítésben, akkor használja azt. De itt is sok függ azon, hogy melyik szolgáltatást használja, mennyire erős a jelszó, milyen gyakran változtatja, stb. -
csendes
addikt
A digitális állampolgárság azonosító a legvitatottabb eleme a 2023. évi CIII. törvénynek. Lehetőséget nyújt további felhatalmazás nélkül arra, hogy segítségével egyszerre minden személyes adathoz hozzáférjen az állam. Így lényegében értelmetlenné válik az, hogy van személyi szám, személyi igazolvány szám, TAJ szám, adoazonosító jel,, amikkel csak az adott adatkezeléshez szükséges információhoz lehet hozzáférni.
Ahogy a Gyűrűk urában szerepel:
Egy Gyűrű mind fölött, Egy Gyűrű kegyetlen,
Egy a sötétbe zár, bilincs az Egyetlen,
Mordor éjfeket földjén, sűrű árnyak mezején. -
csendes
addikt
Eddig az ügyfél megadhatta az ügyfélkapu azonosítóját és a jelszavát a könyvelőnek. Most a könyvelővel valahogy meg kellene osztani a kulcsot is, ez sem feltétlenül mindenkinek egyszerű. A könyvelőnek meg annyi profilt létrehozni a mobilján a hitelesítő alkalmazásban, ahány ügyfélkapus ügyfele van. Persze az utóbbi asztali gépen is megoldható, ha valaki kicsit utánanéz
-
csendes
addikt
[link]
Az Ügyfélkapu megszüntetését el kell halasztani – szögezi le csütörtökön kiadott közleményében a Magyar Könyvelők Országos Egyesülete (MKOE). Azt írják, „a jogalkotó nem engedi a Digitális Magyarország Ügynökségnek (DMÜ), hogy elhalasszák az Ügyfélkapu 2025. 01. 15-én éjfélkor való megszüntetését”.Az MKOE megkérdőjelezi azt az érvelést, miszerint az Ügyfélkapu+ kötelezővé tételére azért van szükség, „mert az eddigi egyfaktoros belépés (login +jelszó) »kevés«” – szerintük erre nem mutatott senki bizonyítékot. Álláspontjuk szerint a QR-kódos, autentikátoros bejelentkezés ugyanakkor sokaknak kényelmetlenséget okozna, tapasztalataik szerint ugyanis az állampolgárok még az autentikátor kifejezést se értik, a QR-kódos regisztrációt pedig bonyolultnak, érthetetlennek tartják.
Azt írják, a DMÜ irányítása alatt álló IDOMSOFT Zrt. csak most, 2024. december 4-én írt ki pályázatot az Ügyfélkapu helyébe lépő Ügyfélkapu+ második faktorának bővítésére. Az MKOE szerint a cég az egyszerűsítés érdekében döntött úgy, hogy bővítik a második faktort egy emailes bejelentkezéssel.
-
csendes
addikt
Az Ügyfélkapu+ kétfaktoros azonosításnál az eredeti "Ügyfélkapu" jelszó megmarad. A második faktornál a hitelesító alkalmazás a QR kóddal beolvasott (de be is lehet gépelni) kulcs és a pontos idő alapján generálja a második faktort, ami 30 másodpercig érvényes.
Egyébként semmi különbség nincs, a változás csak annyi, hogy a központi azonosítási ügynök (KAÜ) használatához kétfaktoros azonosítás szükséges. -
csendes
addikt
Az Ügyfélkapu+ idő alapú kétfaktoros azonosítást használ (TOTP). Amikor igényled, akkor generál egy kulcsot, (seed, secret key) amit a QR kóddal tudsz a hitelesítő alkalmazásba (autheticator app) felvenni vagy be is gépelheted.
Az authenticator app nincs hozzákapcsolva az ügyfélkapu+-hoz, hanem a kulcs és az időpont alapján generál egy 30 másodpercig érvényes kófot a kétfaktoros azonosításhoz, amit az ügyfélkapu+-on kell begépelni.
Az authenticator app-ok általában képesek több ilyen kulcsot tárolni, ezért fontos, hogy midegyiknek olyan nevet adj, amiből tudod, hogy az adott kulcs mihez biztosítja a TOTP-t.
Leírásod alapján előfordulhatott az is, hogy kétszer adtad ugyanazt a kulcsot az authenticator-hoz, de az is, hogy a régebbi kulcs helyett kértél egy újat az ügyfélkapu+-on, stb.
Természetesen a régit vagy a duplázást törölheted. -
csendes
addikt
A DÁP még valóban fejlesztés alatt van, de az idő alapú egyszeri jelszót használó kétfaktoros azonosítás elterjedt, kiforrott módszer és a fenti autentikátorok (a DÁP és a NISZ Hitelesítő kivételével) globális megoldások, nincs magyar hátterük, ez persze bizonyos értelemben hátrányuk is.
A politikai és adatvédelmi aggályok inkább a DÁP által kezelt azonosítókra és adatokra vonatkoznak.
Az Ügyfélkapu(+) magyar tekintetben sikeres rendszer. -
csendes
addikt
Félreértés az autentikátorokkal kapcsolatos megjegyzés. Az idő alapú egyszeri jelszó (TOTP, time based one time password) vállalati rendszereknél is elterjedt, biztonságosabb mint az SMS alapú egyszeri jelszó (OTP), mert egyrészt rövidebb ideig érvényes, másrészt nehezebb (de nem lehetetlen) ellopni.
A TOTP.APP nem bövítmény, hanem egy weboldal, bármilyen böngészőben megy, mobilon is. De a json állományba lementett kulcs (seed, secret key) kockázatot jelenthet, különösen ha valaki neten keresztül akarja elérni. Ha viszont valaki nem menti el a kulcsot, akkor a cookie-k törlésével az elveszhet.
Az Authenticator extension némiképpen félreérthető módon néhány helyen "Google Authenticator"-ként van megjelölve, de semmi köze a Google-höz. Itt is lehet menteni a kulcsot, és választható titkosított mentés, ami biztonságosabb.
Az MS Authenticator és a Google Authenticator a legelterjedtebb, ezek valóban mobilon működnek, de pont ezért biztonságosabbak is, bár a telefonra telepített malware, illetve E-mail-ben küldött hivatkozással hamis webhelyre átirányítás ezeknél is kockázatot jelent, ahogy a DÁP-os azonosításnál is.
Egyelőre január 15-e után az Ügyfélkapu+-ra váltás az egyszerű megoldás valamelyik megbízható TOTP authenticator-ral. A Wikipedia-n szereplők közül célszerű választani: [link]. Vagy a DÁP-on keresztül is el lehet érni a KAÜ-t (központi azonosítási ügynök) [link]
Az ujjlenyomattal történő azonosítás kockázatainak elemzése összetett kérdés, egy rövid bevezető olvasható például itt: [link] -
csendes
addikt
Nem feltétlenül kell okostelefon a kétlépcsős hitelesítéshez, például a korábban említett [TOTP.APP] megy böngészőben.
Másfelől az autentikátor app-okhoz több belépési kulcsot is hozzá lehet adni, így a két gyerek ügyfélkapu+ hitelesítését is hozzá lehet rendelni te okostelefonodhoz. Persze ennek megvan az a hátránya, hogy nem tudnak belépni a segítséged nélkül. -
csendes
addikt
Ha nincs nálad se a saját mobilod se a saját számítógéped, akkor is van egyszerű megoldás.
A [TOTP.APP] böngészőből is működik.
Ügyfélkapu+ regisztrációnál azt érdemes kiválasztani, hogy nem tudod beolvasni a QR kódot, akkor helyette agy szöveges kulcs (seed) lesz látható.
Utána a TOTP.APP-nál megnyomod a "+" gombot, bemásolod a fenti kulcsot (secret key) és elnevezed ahogy szeretnéd, és megnyomod, hogy "Add".
Alul egyébként a QR kódot is be lehet szkennelni, de szerintem egyszerűbb a szöveges kulcs.
És itt jön a legjobb rész, ugyanis az app a kulcsot helyileg tárolja cookie-ként, semmi nem kerül fel a webre.
Ez egyfelől persze rossz hír, mert ha bármilyen okból törlődnek a cookie-k, akkor a kulcs eltűnik a böngészőből és nem fog működni az azonosítás.
Másfelöl le lehet tölteni (Download backup) és vissza is lehet tölteni (Restore backup). A mentés eredménye pedig egy egyszerű szöveges json (JavaScript Object Notation) állomány, ami tartalmazza például a kulcsot (ez a "secret"), az elnevezést (ez a "name"), sőt még egy színes könyvjelzőt is (ez a "color"), ami hasznos, ha sok helyen használja valaki TOTP-ként (time based one-time password, vagyis időalapú egyszeri jelszó). A json file egysoros, kb 0.1 kB.
Vagyis, ha a json file nálunk van, vagy el tudjuk érni a neten keresztül, akkor ezt bármilyen eszközön, bármilyen böngészőben be lehet tölteni a "Restore backup" opcióval.
Majd a használat után az adott TOTP téglalap jobb felső sarkában a "Configure or move" gombbal törölni lehet a "Delete"-re kattintva, ha idegen eszközt használunk.
Fontos az óvatosság, mert a json file-ban benne van a kulcs/secret key/seed. Ha valaki azt megszerzi és a név alapján kideríti, hogy mihez használják, akkor a kétfaktoros azonosítás (TFA) második elemét már tudja generálni. Ahhoz, hogy be is tudjon lépni vele, ahhoz kell az első lépcső, az azonosító és a jelszó. -
csendes
addikt
Nem kell, de lehet. A KAÜ (központi azonosítási ügynok) január 15-től már Ügyfélkapuval nem fog működni, csak Ügyfélkapu+-szal vagy DÁP-pal.
A keveredés abból van, hogy a DÁP egyszerre egyautentikátorhitelesítő a KAÜ-höz és (fokozatosan bővítve a funkciókat) egy okostelefon app sokféle ügyintézéshez, így a KAÜ-t is kiválthatja a jövőben.
Ezért az a megfogalmazás pontatlan, hogy a DÁP-pal is be lehet lépni az Ügyfélkapu+-ra, de a jelenlegi helyzetet valahol mégis leírja. -
csendes
addikt
Érdekes kérdés, hogy menni fog-e az EESZT mobil app, ha valaki nem vált az Ügyfélkapu+-ra. Lehet, hogy aki már korábban regisztrálta, annak egy darabig igen. Később feltehetőleg integrálják a DÁP-pal, és ha meg is marad önálló alkalmazásként, akkor kell majd hozzá Ügyfélkapu+.
-
csendes
addikt
válasz
DarkByte
#164
üzenetére
"A trükk az hogy ezt csak a kiszolgáló és az authenticator app ismeri. Ezért biztonságos, mert ha valaki le is hallgatja az ez utáni bejelentkezésed bármelyikét, akkor se tud vele mit kezdeni, mert az aktuális kódból nem lehet visszafejteni a kezdő számsort."
A baj az, hogy ezt a seed-et is el lehet lopni mondjuk egy nem "Store"-ból telepített, nem ellenőrzött app-pal (ami akár már a gyártónál feltelepülhet a telefonra és nem is törölhető). vagy át lehet verni a felhasználót, hogy adja meg az azonosítót a jelszót és a generált kódot is egy az eredetihez hasonló oldalon (például E-mail-ben küldenek egy hivatkozást) és akkor csak bele kell férni a 30/60 másodpercbe és máris beléphetnek akár az ügyfélkapuba is. Forrás: [link]
"Even authenticator apps, which are considered to be more secure than SMS or email-based authentication, are not immune to attacks. Malware can be used to steal the secret key that is used to generate the one-time codes, allowing hackers to generate codes and gain access to the user’s account. In addition, authenticator apps can be vulnerable to phishing attacks, where the user is tricked into entering their login credentials into a fake login page that looks like the real thing." -
csendes
addikt
Négyféle hitelesítő használható [link]: "az Android és iOS rendszeren egyaránt elérhető Microsoft Authenticator, a Google Authenticator, a NISZ Zrt. saját fejlesztésű appja, a NISZ Hitelesítő, vagy például a platform-független Authy is. "
Ezek közül asztali gépen is használható a Google Autenticator, böngésző extension-t kell telepíteni. Sajnos az Authy authenticator asztali számítógépre 2024. március óta már nem támogatott.
Egyéb megoldások leírása elérhető itt: [link], de ezek egy része nem ingyenes, elő kell rá fizetni. Itt az is szerepel, hogy "a jelszó már elavult, a kétfaktoros azonosítás biztonsága is csupán átmeneti". Vagyis kétfaktoros hitelesítésre alapozni egy vadonatúj hitelesítőt - mint a DÁP - hosszabb távon nem biztonságos. -
csendes
addikt
Úgy, hogy január 15-én megszűnik az egyfaktoros (csupán jelszó alapú) belépési lehetőség ("sima" Ügyfélkapu belépési pont) [link]. A kétfaktoros belépés történhet az Ügyfélkapu+ használatával az elérhető authenticatorok közül az egyikkel vagy a DÁP-pal. Aztán a későbbiekben fokozatosan a DÁP-pal egyre többféle állami szolgáltatást lehet majd igénybe venni, de egyes elképzelések szerint a piaci szereplők egy része i(bankok, áram/gáz/víz/mobil/stb. szolgáltatók) s áttér a DÁP-on keresztül történő azonosításra.
Most a lényeg, hogy lehetőleg ne hagyja senki az utolsó (utáni) napra az Ügyfélkapu+ beállítását, de egyelőre ez csak a belépés módját: egyfaktoros helyett kétfaktoros (TFA) érinti, mást nem. -
csendes
addikt
válasz
Gabonetta
#146
üzenetére
Bizonyos sajtóhírek alapján a valódi jövőbeli cél akár az állampolgárok teljes megfigyelése is lehet [link]:
"a programban benne rejlik a teljes megfigyelés lehetősége és az, hogy akár egy banki ügyintézésnél is hátrányba kerülhetünk. Adatainkat majdnem lehetetlen lesz töröltetni, ráadásul hiába hangsúlyozzák, hogy a DÁP használata önkéntes lesz, a törvény szövegéből ennek épp az ellenkezője következik." -
csendes
addikt
válasz
Gabonetta
#144
üzenetére
A DÁP-ot úgy hirdetik, hogy mindent a telefonról lehet majd intézni.
Az Ügyfélkapu+ TFA másik autheticator megoldásokkal is megy és ez várhatóan meg is marad [link]:
"és szükségünk van egy mobil eszközre ─ telefonra, táblagépre, vagy akár notebookra vagy PC-re ─ telepített hitelesítő alkalmazásra. E célból használható például az Android és iOS rendszeren egyaránt elérhető Microsoft Authenticator, a Google Authenticator, a NISZ Zrt. saját fejlesztésű appja, a NISZ Hitelesítő, vagy például a platform-független Authy is."
Tehát nincs szó a fogalmak keveredéséről, a DÁP nem csupán egy egyszerű authenticator lesz (majd egyszer). -
csendes
addikt
Megnéztem, hogy mi lesz az ügyfélkapuval, illetve az ügyfélkapu+-szal, persze nem tudom, hogy ez [link] mennyire pontos forrás, de valóban Google/MS authenticator lesz, illetve azen kívül a TOTP:APP böngészőből. Ezt elég átgondolatlan dolognak tartom, mert egy állami szolgáltatás elérhetőségének kritikus eleme harmadik feles szolgáltatásokon fog múlni, amelyek elérhetőségére, megbízhatóságára a magyar államnak nincs befolyása.
A DÁP még embrionális állapotban van, jelenleg nem egyértelmű az Európai Unió adatvédelmi irányelvének (GDPR) teljesítése, ami miatt újabb "uniós" vizsgálat indulhat Magyarország ellen. Nekem egyébként sem kényelmes az okostelefon, az informatikai biztonságot tekintve annyi a sebezhetőség, hogy semmilyen pénzügyekkel kapcsolatos ügyet sem intézek rajta, így nyilván az állami, közigazgatási dolgokat sem fogom egyelőre. Én X évvel ezelőtt rootoltam az akkori saját (nem céges) telefonom, azonnal települt is rá a malware. De lehet sok példát hozni az elmúlt néhány évből is konkrét esetekre. -
csendes
addikt
Mit jelent, hogy megszűnik az egyfaktoros ezonosítás az ügyfélkapunál? Mikortól? Mi lesz helyette? TFA SMS-sel? Vagy Google/MS authenticator, vagy hasonló? Mit tudok csinálni, ha nem alkalmas a telefonom a DÁP-ra? Vagy bizonytalan vagyok abban, hogy az biztonságos-e, tudom-e használni, elfogadják-e mindenhol, stb.?
Új hozzászólás Aktív témák
Hirdetés
- Egyre csak fejlődik az AI, emberek tízezreit rúgja majd ki a BT
- Autószerelők, autószerelés
- Azonnali fotós kérdések órája
- 3D nyomtatás
- Győr és környéke adok-veszek-beszélgetek
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- PlayStation 4
- Vezetékes FÜLhallgatók
- Elemlámpa, zseblámpa
- Luck Dragon: Asszociációs játék. :)
- További aktív témák...
- AKCIÓ! Apple Macbook Air 13" 2020 M1 8GB 256GB SSD notebook garanciával hibátlan működéssel
- Samsung Galaxy A41 64GB Kártyafüggetlen, 1Év Garanciával
- Microsoft Surface Book 3 - 15 col
- Samsung Galaxy S23 Ultra 256GB, Kártyafüggetlen, 1 Év Garanciával
- ÁRCSÖKKENTÉS Lenovo ThinkPad T570, T580, P51s, P52s eredeti Lenovo, belső akkumulátor eladó
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest