A Google automatikusan engedélyezi a kétfaktoros hitelesítést

Közösségi kerekasztal

Úgy látom, eljött a halaszthatatlan pillanat, amikor migrálni kell. Még van Gmail fiókom, de muszáj tovább állni.

  • 1952 megtekintés

( ibenny v | 2021. 05. 10., h – 14:38 )

Mondjuk önmagában a kétfakrotos autentikációt én is kötelezővé tenném, mondjuk nem így.

És akkor hogyan? Mondjuk a Claws Mail kliens lehúzza a leveleket 10 percenként, én meg 10 percenként kapok egy SMS-t, kapkodok a telefon után, és írom be az aktuális nyerő számokat? Tegyük hozzá, privacy okok miatt számomra nem elfogadható, hogy megadjam a telefonszámom a G-nek.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Erre való az App Password. Én pl. a 2FA-engedélyezett O365 fiókomat így használom Thunderbird-del. #worksforme

Create & use App Passwords

  1. Go to your Google Account.
  2. Select Security.
  3. Under "Signing in to Google," select App Passwords. You may need to sign in. ...
  4. At the bottom, choose Select app and choose the app you using Select device and choose the device you're using. ...
  5. Follow the instructions to enter the App Password. ...
  6. Tap Done.

trey @ gépház

Nem, az app password-ot nem fogjak megszuntetni, ne felj, mert az nem user password.

App password != "user" password.

 

Technikailag mind a ketto jelszo, csak az app pwd-vel csak ott lehet belepni, hova az szol. (Pl: imap/smtp, youtube key, stb..) 

Az app pwd az tulajdonkeppen egy API key. 

Egyfelől nem, ahogy trey is írta, az app azonosításhoz nem kell.

Másfelől amikor böngészőben akarsz belépni, akkor azonosítani kell, de nem muszáj SMS-t használni, vannak más módszerek is.

Nekem pl. az andoidos tabletemen megjelenik a kérdés, hogy én akarok-e belépni, és azon kell rábökni az igenre.

Úgy rémlik, hogy előre le lehet gyártatni mittudomén 10 OTP-t is, amit aztán akár papírról is begépelhetsz, ha épp egyre szükség van (ezt nem használom, de ez jó lehet valakinek, akinek nincs okostelefonja, tabletje és nem akarja a telefonszámát megadni).

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

De. Legyen kötelező. A sok balfasz miatt, akinek szanaszét hekkelik a fiókját.

Azt kell megérteni, hogy a gmail-nek nem a privacy friendly-ség a profilja. (DE ez nem a 2FA miatt van így.)
Ha privacy friendly email kell, máshova kell menned. Nem most, és nem a 2FA miatt.
Gmail eleve nem is enged fiókot létrehozni pl. Tor-on keresztül telefonszám-megerősítés nélkül.
Ettől a gmail nem szar, csak másra való. Does not meet with your reqs. That's it.
 

nem is enged fiókot létrehozni pl. Tor-on keresztül telefonszám-megerősítés nélkül

Ez a két állítás milyen logikai kapcsolatban van? Tortalanul lehet telefonszám nélkül? Tor használata esetén kell a telefonszám, vagy mindig?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Olyan kapcsolatban van, hogy (gondolom) az a bajod, hogy a 2nd factorral tudomást szereznek a telefonodról.
Amit, ha pl. Tor mögül kreálsz fiókot, azonnal meg kell adni.
Amikor utoljára fiókot csináltam, Tor nélkül még nem kellett - gondolom olyankor máshogyan már be tudtak azonosítani :-)

Tehát nem értem, mi plusz privacy concern-t hoz be számodra a 2FA.

( harlequin | 2021. 05. 10., h – 14:39 )

Miért használna valaki Gmailt 2FA nélkül?

“Any book worth banning is a book worth reading.”

Egyszer kizartam magam a lakasbol ugy, hogy a telefonom es a gepeim bent maradtak. Hat sokat szamitott, hogy a szomszed geperol hozzafertem a telefonkonyvemhez. Azota atertekeltem ezt a kerdeskort: vigyek csak a kurva leveleimet, nekem eleg oda egy jelszo. Fontos, hogy "ne torjenek fel engem", de meg fontosabb, hogy "en hozzaferjek".

De elég sok olyan példa van, ahol úgy loptak el más accountot vagy pénzt, hogy valamilyen email címhez (sokszor gmail-hez) szereztek hozzáférést.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( ncc1701 | 2021. 05. 10., h – 15:08 )

Asszem törlöm is a telószámom. Úgy nehezen kapcsolják be. :)

( pepelopez | 2021. 05. 10., h – 15:25 )

Szerkesztve: 2021. 05. 10., h – 15:25

yahoo mail power :))

"Tagság kezdete: 1998.07.01" és még mindig működik :))

( icserny | 2021. 05. 10., h – 17:01 )

Az megmondaná valaki, hogy a felhasználó bosszantásán kívül mire jó a kétfaktoros azonosítás, ha ugyanarra a telefonra jön az SMS, amelyiken a leveleimet nézegetem a Gmail appal? Ennek akkor volt értelme, amikor számítógépen ment a  levelezés, az SMS meg a hálózattól független butafonra érkezett.

Az, hogy a jelszót, a telefon feloldókódját és fizikailag a telefont is meg kell szerezni tőled.

vagy hozzáféréssel kell rendelkezniük a telefonra is :). hülyeség ellen nincs orvosság. lásd indiai scammer aki beolvastatja a banki utaláshoz a szerencsétlennel a megerősítő kódot.

Igen, OTP Banknál a balfaszok miatt van meghagyva az SMS.
SmartBank-ban átállítod, és nincs többé SMS.

Read my lips: _nem_biztonságos_.

Egy-két éve még valami lakásvásárlásos pénzlenyúlós csalásnál is használtak SIM-másolatot a pénz lenyúlásához (valami 30 misi). Ott is SMS volt...

Ott nem az volt, hogy azzal a mesével, hogy elhagyták a SIM-kártyát, kértek a szolgáltatótól új SIM-et az áldozat telefonszámára? Azért az csak feltűnik valakinek, ha a telefonján órák vagy napok óta nincs térerő kijelzés, senki sem keresi, nem tud hívni, nem kap SMS-t, küldeni sem tud. És a rosszfiúknak ehhez tudniuk kell minden más azonosítót is. Eleve értelmetlen a 2fa: miért tudná valaki a jelszavam? Bankkártyánál még lehet valamennyi értelme, de visszás, ha közben még csak PIN sem kell 15000 Ft-ig.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azért az csak feltűnik valakinek, ha a telefonján órák vagy napok óta nincs térerő kijelzés, senki sem keresi, nem tud hívni, nem kap SMS-t, küldeni sem tud.

Természetesen ez nem működik napokon át, de nem is kellenek napok. Ezt célzottan használják.

Olvastam egy esetleírást, amikor valakinek az értékes nevű twitter accountját nyúlták le, és pont így működött, ahogy írod. Pár órán át nem működött a telefonja. Annyi volt a trükk, hogy ez a pár óra pont éjfél és hajnal közé esett. Lefekvéskor látta, hogy valamit hülyéskedik a telefon, reggel meg azt látta, hogy nem tud belépni ide-oda ÉS a telefon nem működik. Addigra már késő volt.

Ugyanígy, ha a bankodból akar valaki utalni, elég neki néhány percre a telefonszámod, nem kell órákon át.

Eleve értelmetlen a 2fa: miért tudná valaki a jelszavam?

Nem feltétlenül a te jelszavadat, mert lehet, hogy te ügyesebben véded, mint a felhasználók nagy része, de a megcélzott embereknél vannak módszerek.

Két megoldást olvastam eddig:

1) Kikerül a jelszó pl. valami adatlopáskor, ugye volt ilyen linkedin-nél, last.fm-nél, és még egy csomó más helyen. Ha valaki ugyanazt a jelszót használja több helyen és nem cserélte le azóta, akkor tudják.

2) Valami módon elérik a jelszó törlését és újrabeállítását. Ezt lehet úgy, hogy pl. hozzáférnek egy email accounthoz, amire jön az elfelejtett jelszó visszaállítás folyamat részeként egy kód, egy link vagy egy új jelszó; vagy van úgy, hogy felhívják az ügyfélszolgálatot, és innen-onnan megszerzett vagy kitalált adatmorzsák segítségével veszik rá, hogy állítson be egy új jelszót és mondja el nekik a telefonon. A leírások szerint az Amazon és az Apple inkább barátságos és nem biztonságos.

A fenti, twitter account ellopós esetben az Apple-t hívták fel, és valami olyan nevetséges ellenőrzés volt, hogy megkérdezték a hitelkártya utolsó 4 számjegyét, ami minden boltban oda van nyomtatva a blokkra, és utána megkérdeztek még kb. 2 számjegyet, amit az ember gyakorlatilag találgatással kitalált (és az ügyfélszolga hagyta találgatni).

Valahogy úgy volt, hogy a twitter a gmail-hez volt kötve, a gmail az apple-höz, szóval az apple felnyomása után hozzáfértek a gmail-hez, azzal meg sikerült a twitter jelszót újraállítani. (Emlékezetből írom, lehet, hogy egy-két részlet máshogy volt).

Szóval ha a 2FA nem SMS, akkor hiába szerzik meg a telefonszámot, nem érnek vele semmit, és a 2FA miatt hiába szerzik meg a jelszót, nem érnek vele semmit.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Mondjuk ez ellen talán a dupla SIM-es telefonnal lehet védekezni, egyik SIM csak az ilyen authentikációkhoz, a másik meg mindenhol megadva a kapcsolattartásra, sőt, akár eltérő szolgáltatóktól véve a két SIM-et.

Így hiába jópofizik az ügyfélszolgálaton, rossz számot lopna el, ha a 2FA-hoz használt számot nem ismeri.

Sajnos nekem van olyan bankom, akik SMS-ben küldenek kódot online vásárláskor, hiába, hogy még az app is fent van a telefonomon, nincs arra mód, hogy az app-ban jöjjön push-ban a kód, vagy esetleg az app csak kérdezzen és az appban hagyhassam jóvá.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

  • Biztonsági hardverkulcs,

Ilyenem nincs.

  • Hitelesítő alkalmazás,

Ehhez kellene okostelefon, de olyanom nincs.

  • Telefonhívás,

Ehhez meg kell adni telefonszámot.

  • OTP kódok,

Talán ez az egy jöhet szóba.

  • Telefonra küldött Google értesítés,

Ehhez meg kell adni a telefonszámot, s ha nem SMS, megint csak okostelefon-függő.

  • Chromebookon megjelenő jóváhagyás.

Ehhez kellene Chromebook, de olyanom  nincs.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hitelesítő alkalmazás,
Ehhez kellene okostelefon, de olyanom nincs.

A KeePass (Windows, Linux) tudja a KeePassOTP bővítménnyel. 
Nemcsak, hogy támogatja, de a kétlépcsős behjelentkezés hitelesítő kód beírása is automatizálható vele.

Emellett még Linuxon az Authy, Windowson, Linuxon és okostelefonon a Yubico Authenticator (ha van hardverkulcsod), és bár most nem jut eszembe, mi a neve, de van parancssoros kliens is, ami tudja. (de írni sem nehéz egy sajátot, gyakorlatilag a forráskódba csak a szolgáltatótól kapott tokent kell beírni, utána konzolos alkalmazásként lefuttatva kiír egy érvényes kétlépcsős azonosítót)

Nagy Péter

OTP kódok

 

Itt nem eleg a kezdeti QR kodot megszerezni es ennyike?

 

Mert nalam van vagy 40 kulonbozo acchoz Qr kod "lefuzve", hogyha be kellene lepnem. Es igy mukodik is.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

De, tulajdonképpen az is elegendő.

Amit ebben a postban írtam, hogy saját kódgenerálót lehet írni, ott a token, amit be kell írni a forráskódba, az ugyanaz, mint amit a qr kód tartalmaz.

Alapból azért javasolják, hogy a qr kódot csak mentsd el a programba, és ne azt őrízd, hanem a 10 darab egyszer használatos kódot, mert ha más hozzáfér akár csak 1 percre is a lefűzőtt qr kódjaidhoz, úgy tud belépni a jövőben, hogy nem marad nyoma, hogy nem te használtad. Ugyanakkor ha kellően biztonságos helyen tudod tárolni a qr kódokat, akkor az is teljesen jó megoldás, ha azokat őrzöd.

Nagy Péter

Arra, hogy amikor valaki be akar lépni a jelszavaddal, akkor is a te telefonodra jön a jóváhagyási kérés és nem az övére.

Amúgy ne SMS-t használjatok, mert az nem biztonságos, számos példa volt már rá, hogy eltérítettek 2FA SMS-eket.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Én a "Biztonsági hardverkulcs"-ot ajánlanám (péládul ezt, amit európában gyártanak), mellette hitelesítő alkalmazással, és 10 kinyomtatott OTP kóddal (ami biztos helyre van elrakva, nem magunknál hordva).

Nálam egy YubiKey Neo van (már nem kapható), 2018 eleje óta használom, kulcskarikára akasztva. Kapott már vizet, ütést, karcolást, de még most is hibátlanul megy, elnyűhetetlenre tervezték.

Nagy Péter

Igen, mindenféle driver nélkül azonnal ment OpenSuSE és Ubuntu alatt is. MAC-en egyszer használtam, egy 3-4 éves iMac volt, ott is ment azonnal, kérdés nélkül. 
Ezen kívül védi a Github, Dropbox, Twitter, Coinbase, GoDaddy, Yahoo és még nem is tudom, milyen fiókjaimat, nem csak a Google fiókhoz jó.
És ezek mellé még a PGP kulcsom is ezen van, bár a 78-as Thunerbird óta körülményesebb használni vele, mint előtte volt.

A hivatalos Yubikey programok is mind vannak Linuxra: https://www.yubico.com/support/download/yubikey-manager/

Nagy Péter

Én felraktam a többi fizikai dongle (ajtókulcs) mellé a kulcstartóra, az úgyis folyton nálam van. Előnye, hogy szoftver feltörésével, vagy gépre telepített rootkittel sem lopjató el a tartalma, hátránya, hogy hordozni kell, mint a lakáskulcsot. 

Ajtózárnál is valaki a wifis okoszárra, valaki a fizikai kulcsra esküszik, mindkettőnek megvan a maga előnye és hátránya.

Nagy Péter

ne SMS-t használjatok

Hát mit?

Nem tudom, mi a neve, de felugrik a kérdés, hogy én akarok-e belépni.

Ugye itt konkrétan a telefonra érkező értesítésről van szó. Az SMS és a hívás nem biztonságos, mert a telefonszámot viszonylag könnyű megszerezni és ezzel eltéríteni az ellenőrzést. A felugró prompt nem a telefonszámhoz van kötve hanem a bejelentkezett felhasználóhoz.

Számodra ez irreleváns, mert nincs okostelefonod. (Mondjuk tableten is működik)

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nálunk a céges VPN-nél pont letiltották ezt. Az a helyzet a notificationnel hogy pittyen egyet a telefon, a felhasználó meg bepipul hogy már valami nyomoronc  helyen be kell lépni megint és reflexből nyom rá az acceptre.

// Hocus Pocus, grab the focus
winSetFocus(...)

http://c2.com/cgi/wiki?FunnyThingsSeenInSourceCodeAndDocumentation

( gyengus | 2021. 05. 11., k – 06:32 )

Nekem a bejelentkezés értesítéssel van egy olyan problémám, hogy minden eszközömön megjelenik. Nem sikerült megtalálnom, hol lehet állítani, melyikre jöjjön. Teljesen felesleges pl a tableten is megkérdezni, hogy én akarok-e belépni, mikor az otthon van, ellenben a mobil nálam. Tudja valaki, ezt hol lehet állítani? Nem akarok kilépni a tableten. Azt szeretném, ha egy kiválasztott eszközön kérdezné ami mindig nálam van.

Személyes weboldalam
'Everybody loves LEDs'

( dejo v | 2021. 05. 11., k – 06:33 )

Megtették már ezt más szolgáltatók is, például a PayPal, a Wise (volt Transferwise), és akkor senki sem háborgott.

De egyre több internetes felület követeli meg a kétlépcsős azonosítást és a jobbak ha nem is kapcsolják be automatikusan időnként figyelmeztetnek a szükségességére.
Amikor egy éve a bankok lépték meg azon sem volt nagy felháborodás.

Amúgy a Google esetében szerintem van egy másodlagos, de nem elhanyagolható hozadéka is így akarják visszaszorítania sok dummy fiókot.

Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

A tufához meg kell adj valami személyedhez köthető dolgot egy idegen szolgáltató részére.

Ez így ebben a formában nem igaz. A 2FA lényege, hogy az azonosításhoz legalább 2 van használva a következő faktorok közül:

  1. something you know
  2. something you are
  3. something you have

A jelszó az első kategóriába esik, a második az leginkább a biometrikus azonosítás, ami online szolgáltatásoknál nem túl praktikus. Marad a harmadik opció, ami kb. bármi lehet, amíg teljesül, hogy csak egy van belőle. SMS-nél ez a szolgáltatói végpont, hardver kulcsnál ez az eszközön tárolt privát kulcs. HOTP/TOTP esetén ez a privát kulcs, amit a szolgáltató generál a 2FA beállítása során. Az ilyen szempontból lényegtelen, hogy milyen eszközt használsz a OTP generálására, amíg az teljesül, hogy a privát kulcshoz nem férhet más hozzá. Mások már javasoltak alkalmazásokat, amik képesek ezt a feladatot ellátni, így ehhez nem szükséges okostelefont használni. De az is opció, ha egy okostelefont használsz SIM és fiók nélkül, mert valójában internet sem szükséges hozzá.

 kulcsbol es az aktualis idopontbol (a googlenel 30 sec. -es intervallumokra vagva, addig ervenyes egy kulcs) generalt kulcs.

a kinyomtatott OTP-k a kulcsbol es egy szamlalobol vannak generalva hasonlo modon - tehat ha megvan a privat kulcs, ki todod generalni az elso X kodot a listarol.

“Any book worth banning is a book worth reading.”

Ez nem igaz.
Pl. a time based tokenhez egy shared secret-et mentesz el, ami alapján a bármilyen eszközöd 30 másodpercenként új 2FA kódot generál. Semmit nem tudnak meg ettől az eszközödről.

Az SMS-t ne keverjük ide, azt nem is tekintem második faktornak (nem biztonságos).

( hokuszpk | 2021. 05. 11., k – 10:34 )

+1

a gmail betaallapota ( meghivos volt ha jolemlexem ) ota megvan a fiokom, eddig nem loptak el.

+ amig a Lumia ki nem leheli a lelket, szerintem nemfogok csak azert androidos telefont venni, hogy tudjak a gmailra authentikalni.

HUP te Zsiga !

Az OTPnél a lakástörlesztőmre használok beszedés kontrollt, ami azt jelenti hogy értesülök és engedélyt is adok minden hónapban egyszer a törlesztő átadására (elvi sikon nem értek egyet a lehúzom rólad a pénzt módszerrel, ezért van ez).

Normál esetben egy push notif is jöhetne egy piros meg egy zöld gombbal, de majd pár év múlva :)

Ehhez pedig érkezik egy sms amire a megfelelő tartalmú sms-el válaszolok (001Y vagy valami ilyesmi).

Ez az 1 dolog, amire aktivan sms -t használok :)

Én a cash flowmat a Revolut kártyámmal intézem, havonta felszúrom rá egy darab kártyás fizetéssel a havi összeget, és onnan fizetgetek mindenfélét. Részben pont amiatt, mert szeretem figyelemmel kisérni a kártyás forgalmamat, viszont az otp drágán méri az éretesitéseket, és elavult is (sms).

Divat lett szidni az OTP-t. Engem próbáltak már több helyre átcsábítani (adott bankoknál dolgozó ismerősök), de köszönöm, jó nekem az OTP.
Ez az sms értesítés is sokakban egy beidegződés. Ki nem állhatom. Ott van az OTP SmartBank, egy ujjlenyomat és akkor nézed meg a forgalmadat keresztben-hosszában, amikor csak akarod.

Ahogy középiskolai osztályfőnököm mondotta vala, hinni ott a tornyosban kell. A MagNet-nél most 500Ft-ot fizetek havonta a számlavezetésért, meg valami 187Ft-ot a kártya után. Az egyéb tranzakciós költségeim nagyjából ott vannak vagy jobbak,mint volt az Erste-nél (Bár még ott is ügyfél vagyok, mert van, amit még nem tudtam/akartam elhozni onnan, ilyen pl. a virtuális visa kártya)

Csomagnevet plz, így annyira értelmetlen vitatkozni, hogy egy-egy paramétert emelünk csak be :D

Egyébként én az Erstétől jöttem el, akkoriban (nem túl régen) baromira nem volt olcsó, pedig a prémium anyámkínja szegmensben voltam.

szerk: egyébként nem azt mondtam, hogy teljesen kizárt megspórolni még pár forintot, csak arra reagáltam, hogy fentebb még a legdrágábbként volt hirdetve az OTP, közben meg az egyik legolcsóbb lakossági csomagja van a piacon

Nem tudom, hogy az a csomagnév-e, de a számlára azt írja a Gyuri, hogy HUF Top Plus.

szerk: egyébként nem azt mondtam, hogy teljesen kizárt megspórolni még pár forintot, csak arra reagáltam, hogy fentebb még a legdrágábbként volt hirdetve az OTP, közben meg az egyik legolcsóbb lakossági csomagja van a piacon

Ez simán lehet, hogy így van most, amikor én váltottam az OTP-ről, akkor bizony elég drágák voltak és sok másik bank olcsóbb volt náluk.

Azóta eltelt kb. egy évtized, szóval simán el tudom képzelni, hogy az OTP-nél valaki rájött, hogy csak a névből nem lehet megélni és versenyképes árazást találtak ki.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A Diamond csomagban az egyszeri utalás (IG2, IG3) 20E Ft-ig 0.118%, 100E Ft-ig 0.448%, 2M Ft-ig 0.504%, ha rendszeres utalásról van szó, akkor ugyanezek a tételek 0.007%, 0.335% illetve 0.504%.
Én nagyon keveset/ritkán utalok kézzel, ellenben mindent "is" igyekszem csoportos beszedéssel (0Ft) vagy kártyás fizetéssel (Díjnet és hasonlók) megoldani. SMS értesítések 0Ft. Sima bankkártya havi költsége 193Ft, ezt rosszul tudtam.

Nem tudom, mennyibe kerül az OTP csomagja most, amikor náluk voltam (sok éve), akkor olyan 1300 Ft körül volt egy hónapban az akkori csomagom.

Két magyar bankszámlám van, az egyik a Gránit a másik az Erste banknál. A Gránitnak nincs havi díja, az Erstének nincs havi díja, ha legalább 150 ezer forint érkezik a számlára az adott hónapban.

Számomra az OTP a havi 1300 forintért nem adott ennyit érő plusz szolgáltatást.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Tökmindegy, mennyibe kerül. Nem ez a lényeg.
Az OTP-haterek többsége érzelmi alapon nem szereti az OTP-t (legalábbis a környezetemben), mert túl mainstream vagy mittudomén.
Nekem sincs csomag havidíj és a virtuális kártyám is ingyenes, illetve az átutalásoknak sincs díja havi 5 db-ig (ami nekem általában elég).

Az egyik ismerősöm pont magyarázta mennyivel jobb a Takszöv aztán két hét múlva bedőlt az a fiók ahol vezették a számláját, és lehetett kuncsorogni a pénzéért.
Meg melyik volt az a másik? Széchenyi Bank?
No, thanks. Sanyi bá talán nem húzza le a rolót.

Nekem sincs csomag havidíj és a virtuális kártyám is ingyenes, illetve az átutalásoknak sincs díja havi 5 db-ig (ami nekem általában elég).

Tökmindegy, mennyibe kerül. Nem ez a lényeg.

Egyáltalán nem tökmindegy.

Ha 10 éve is ennyibe került volna az OTP-nél a számlavezetés, valószínűleg még most is lenne ott számlám.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Én akkor szoktam körbenézni, ha drágának találom.

Mivel mind a Gránitnak mind az Erstének évente 0-t fizetek, ezeket nem találom drágának.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Értem.

Hát, a 0-nál szerintem se könnyű olcsóbbat találni a piacon. :-)

Legalábbis Magyarországon nem hiszem. Itt, Angliában van olyan bank, ami havi nem tudom mennyi cashback-et ad, ha náluk vezeti az ember a számláját + oda érkezik a fizetés + van pár csoportos beszedés.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ilyen banknál konkrétan nincs számlám, szóval nem tudom, hogy van-e valami extra trükk, de mivel gyakorlatilag az összes bank úgy működik, hogy nincs költsége semminek, cserébe nem adnak kamatot a folyószámlán lévő pénz után, ezért feltételezem, hogy költséget ezek se számítanak fel, hanem vagy más szolgáltatásaikat is el akarják adni vagy csak szeretnék, ha sok ember tartaná náluk a fizetését és így elég sok pénzt tudnának kihelyezni jó kis 1-1,5%-os jelzáloghitelekbe vagy 2,5-2,8%-os személyi kölcsönökbe

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Zellernek azt mondanám hogy nem kell bankot váltani mert az otpre csak a vállalkozásom bevétele érkezik, ami megy át a revolutra, és ott zajlik a cash flow. Szóval az otp-t lényegében nem használom a hétköznapokban, igy az értesitők dija nem érint, mert a revolut értesit, ingyen.

A hagyományos bankok óriási delay-el kezelik a kártyás fizetések forgalmát és annak könyvelését, ennek megvan a maga történelmi oka, bankokat belülről ismerők majd elmondják.

Ez mind nincs igy a revoluton, minden azonnali, a visszatérités is, a fizetés is, mindenről 1 másodperc alat értesülsz.

Egy kártyás fizetés jóváirását vagy stornoját 1 hétig várhatod egy sima banknál, revolutra azonnal visszairódik az összeg. Próbáltam mindkettőt. :)

Ezen kivül ha kártyával vásárolsz akkor az otp-s számlatörténetben olyan 3-4 nap múlva lesz nyoma, addig mintha meg se történt volna. Szerintem ez gázos 2021-ben. Minden információ azonnal kell.

 

Addig amig ingyen lehet revolutozni és ingyen lehet rá pénzt feltenni, addig semmi okom bankot váltani.

Szerintem az átlagembert ezek a dolgok nem érdeklik. Nem tesz különbséget a zárolás meg a könyvelés meg a terhelés meg a bármi között. Két dolog létezik neki, a számláján ebben a percben levő pénz, amit egy perc múlva elkölt a kártyájával és el van költve. És a revolut pontosan igy tálalja neki.

"Addig amig ingyen lehet revolutozni és ingyen lehet rá pénzt feltenni, addig semmi okom bankot váltani" - Egészen addig, amíg bármilyen komolyabb jogvitába, fogyasztóvédelmi problémába nem futsz bele. (Nézd meg, hogy ilyen esetben milyen lehetőségeid vannak, hova fordulhatsz panasszal...)

Whatever. A revolutnak van európai banki engedélye, vagyis fordulhatok a magyar vagy  az eus hatóságokhoz, ha valami nem tetszik. 3-4 éve nyomom, eddig semmi hasonló nem volt.

Asszem autónál guritottam egy félmilliós előleget kártyával, azért azt a sima otpmmel fizettem ki, mert nagyobb összeget azért nem bizok rájuk. Csak a hétköznapi kisebb dolgokat, pár tizezres határig.

Ezzel szemben Revoluton előfordul, hogy beterhelnek, aztán valami miatt (tévesen) sztornózzák a tranzakciót, később viszont ismét terhelnek ugyanazzal. Megvan rá a magyarázat, csak éppen a számlatulajdonost nem feltétlenül érdekli. Szóval van ennek is hátránya. Szoktam olvasni Revolut fórumokat, nem tökéletes az sam, csak más problémái vannak.

Vlem ez sem, én nem is használom sokat. Olyan, hogy nem sikerült fizetnem vele, sajnos sokkal többször. Ilyenkor előveszem a banki kártyát. Amit említettem, az Revolut fórumokban leírt jelenség. Egyébként magyarázható indokok vannak mögötte, szóval annyira nem tartom lehetetlennek.

Az egyik jellemző ok, hogy az elfogadóhely nem zár naponta, van neki vagy 15 napja, talán még több is, hogy  zárja a terminált. A legtöbb bank emiatt 14 napig tartja a zárolást, a Revolut viszont tudtommal 8 napig zárol, utána jóváírja az összeget. Aztán ha a tranzakció mégis beesik határidő előtt, akkor a korábban felszabadított összeget kénytelen ismét levonni.

Szintén fórumokban viszonylag rendszeres az információ, hogy ez vagy az éppen nem működik, ha valaki kizárólag a Revolutra bízza a fizetési lehetőségét, az könnyen kerülhet kellemetlen helyzetbe.

Az a kártyás téma, nem a beszedős. Sajnos. Igyekszem az otp smartbank "innovációit" követni, de sajnos az igazi innovativ szolgáltatókkal szemben (pl. revolut) évekkel le van maradva. Szóval kártya engedélyezés és laptopos böngészős QR kódozás az appal megy persze már, nem sms -sel.

Nagyon sokáig kitartottam a Nokia 6310i mellett. Volt még egy E75-öm, amit nagyon szerettem. Végül pont az üzenetek miatt vettem meg az első Galaxymat, hogy ne kelljen már végre a rühes sms-eket küldeni.
Mondjuk alapban olyan vagyok, hogy nehezen lépem meg a váltásokat. A 486-os laptopom mellett is sokáig kitartottam, és szoptam a 16 bites programok felhajtásával. Volt egy romantikája, én nem mondom, hogy nem.
Vagy volt pl. régen böngészőben a NoScript extension. Ami tiltotta defaultból a javascriptet, és domainenként külön lehetett engedélyezni. El kellett engedni, mert ma már kb. semmi nem megy javascript nélkül.

Sajnos a nemokos-telefon sem enyhíti a privacy concern-jeimet, így végül csak a hátrányait élveztem.
A Galaxyról se muszáj instázni meg faszbukozni (egyik sincs raja), lehet értelmes dolgokra is használni, meg fdroid repóból építkezni.

Beláttam, hogy jó dolog ugyan megfontoltnak lenni és a legtöbb esetben inkább kivárni, hova fut ki az ügy, de az erőltetett, kényszeres múltban ragadás végül mindig kibaszott velem.

Ha egy hét múlva megjön a jelentés, hogy sikertelen volt, akkor azt is tudod.*

De az előtt nem.

* Persze az SMS érvényességét is be lehet állítani, 7 nap helyett lehet rövidebb időt is választani.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ez klassz, de nem erről volt szó, hanem arról, hogy ha egy random ismeretlennek akarok üzenetet küldeni, egy mobilszámra, akkor abban biztos lehetek, hogy SMS szolgáltatása van, de abban nem, hogy WhatsApp, vagy Viber vagy XY másik van-e neki.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

De biztos lehetsz benne, mert egy pillanat alatt meg tudod nézni, hogy van-e WhatsApp-ja vagy Viberje.
Ennek a kettőnek elég magas a penetrációja. Valamelyik a kettő közül általában szokott lenni.
És kapásból küldhetek neki fotókat vagy doksikat.

Ha olyan nagyon ismeretlen és annyira fontos elérnem, akkor meg úgyis felhívom. Üzenet általában ,,bejáratott" emberekkel megy.

egyszer valamikor felraktam mindkettot, mert valakivel akartam beszelni aki csak itt-ott volt fenn. mivel utana nemvolt szuksegem ra, backupoltam az appot, es toroltem. ilyenkor a renszer szerint van accom vagy nincs?

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Valamelyik a kettő közül általában szokott lenni.

A te ismerőseid között lehet, hogy így van. A való világban Viber szinte senkinek nincs és nem is hallottak róla, WhatsApp sokaknak van, de messze nem mindenkinek.

És persze, neki lehet állni feltenni még egy talicskányi appot és végignézni, hogy vajon olyan van-e épp az illetőnek, de ennél sokkal egyszerűbb küldeni egy SMS-t, hogy helló, érdekel a fűzfán fütyülő rézangyal, megvan-e még és mikor lehetne kipróbálni.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hát igen, te mondod meg, hogy mennyi ideig próbálja kézbesíteni, ha pl. ki van kapcsolva a készüléke vagy egyéb okokból nem tudja átvenni az üzenetet. 

Ez szerintem jó dolog, hogy ha megkapta, akkor biztosan tudod, hogy megkapta. Függetlenül attól, hogy milyen telefont használ, milyen szoftververzióval, milyen oprendszerrel, milyen adatcsomagja van, stb. Szerintem ennyi az előnye.

En ugy tudom nem kell feltenni semmilyen appot es telefonszam sem kell. Van sima szabvany totp, amihez telefon sem kell. Ezen kivul van meg security device support is, ami szinten telefonmentes dolog. Regisztraciokor kellhet talan telefonszam, ha hulladekgyujto orszagbol megy ember, mint Romania, stb.

( SCOPE | 2021. 05. 11., k – 16:52 )

Amúgy a Google-nél legalább 4 éve megy már, hogy (ha van bállítva) másodlagos/biztosági e-mail cím, akkor oda kérhetem 2FA kódot.

Ez most akkor megszűnik?

Csak szándék kérdése. Majd erősödik a nagging, egyszer meg csak nem tudsz majd másképp továbblépni.
Én támogatom a 2FA bevezetését. De még sokkal jobban örülnék, ha deprecated lenne végre a jelszó, mint autentikációs mód. És átvenné a helyét valami olyasmi, mint a SQRL.

Pl. azzal, hogy nincsenek gyenge jelszók, vagy ami sokkal rosszabb, password reusing.
Van egy identitásod, amit az adott site challengel és még csak titkosított csatorna sem kell. A titok soha nem hagyja el az eszközödet, nincs jelszólopás, replay attack. Eleve egy másik csatornán autentikál. Így hirtelen fejből.
A jelszónak vannak olyan hátrányai, amik nem küszöbölhetők ki conscious használati szokásokkal.

amig hulyeknek nem volt szamitogepe

De már van. És ők vannak többen. Azt a világot el lehet felejteni.
Szerintem se kellene mindenkinek számítógép, sokkal jobb lenne a világ. De észre kell venni, hogy ez csak egy vélemény, ami a valóságon mit sem változtat. Döntéseket hozni pedig nem a vágyaink és az álomvilágunk mentén kell, hanem a valóság alapján. Szerintem.

Nem egeszen.

Tovabbra is hagyni kell, hogy a hozzaerto powerusereknek maradjon lehetosege olyan modszert valasztani, ami nekik tetszik. Ami szolgaltatast meg tul sok hulye hasznal, ott lehet eroszakosabb a szolgaltato, de illik neki sem ignoralnia azt a power usert, aki szeretne, hogy Naurubol is belephessen egyetlen jelszoval, ha ott hagyja el a telefonjat.

Bár, a HUP-nak nem asztala a celebek életének követése, de ha már témába vág:

https://www.youtube.com/watch?v=ihVadpap-1Q

Felmerül a kérdés: Mégis hogyan jutottak be, ha az illetőnek (elmondása szerint) már be volt kapcsolva a 2FA?
(attól most tekintsünk el, hogy mindenhol ugyanazt a jelszót használta, mert a 2FA-t nem kéne befolyásolja.)

( zdesigner | 2021. 05. 13., cs – 16:53 )

Meg az EU miatt életkor hitelesítést is kér a YT, azaz a személyidet vagy bankkártyádat, ha pl. női szappanfocit szeretnél nézni, pl. https://youtu.be/GhCYg-ZbOu4 szóval már ehhez is VPN kell. :) 

Ráadásul ez még csak nem is agresszió. Hanem az állami szervek kényszerítik rá őket.
Születési időnek én meg tudtam adni arbitrary dátumot is, egyelőre nem kellett semmivel alátámasztani.

Egyébként magam is rühellem ezt az egészet, hogy lassan már mindenhova mindent is meg kell adni. De úgy érzem, nincs értelme ezen pörögni, ez a meccs már elment. Nem lehet visszafordítani. Az internetes jelenlét is egyre jobban személyhez köthetővé válik.
Paypal-nál, airbnb-nél és hasonlóknál a csalások miatt vált gyakorlattá szerintem.
Továbbá van olyan hírportál, ahol azóta szűntek meg a mocskolódó trollkommentek, amióta csak fb profilos autentikációval (és így vállalt névvel és pofával) lehet bármihez hozzászólni. Jómagam ezt például kimondottan üdvözlöm.
Persze ezek egyikét sem kötelező csinálni.

Magam egyébként szabadság- és privacy párti vagyok, így ezeknek őszintén örülni semmiképp nem tudok, ugyanakkor igyekszem megérteni és elfogadni, hogy több aspektus is latba esik. Jelenleg úgy néz ki, a privacy könnyűnek találtatott a többi szemponttal szemben.

Szerintem fontos, hogy
- legyen lehetőség az anonimitásra, ugyanakkor
- korlátozva legyen, hogy anonim módon mit tud valaki megtenni és mit nem.

( SPYFF v | 2021. 05. 14., p – 14:54 )

2 faktoros hitelesítés = telefonszám adathalászat. Aztán bármi breach felkerül ott sorakoznak account infók mellett majd a telefonszámok is. Ha lehet inkább nem élnék vele, kapja be a Google!

-1

Egyrészt a 2 faktoros hitelesítésnek semmi köze a telefonszámhoz.
Másrészt az adathalászat sokkal hamarabb megtörténik. Lineárisan függetlenül a 2FA-tól.

Gyakorlatilag nem tudsz már gmail fiókot csinálni telefonszám nélkül egyébként sem. Sokkal hamarabb a személyedhez kötik az accot, minthogy a 2FA egyáltalán felmerül.

nalam a 2fa bekapcsolasnal azzal kezdi hogy adjak meg telszamot, mas opcio nincs. aztan ha telszam mar okes, akkor tudok alternativ 2fa modokat felvenni/torolni, akar a (feluleten) torolni a telszamot. de amig az elejen nincs telszam nincs 2fa.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( nsandoragy | 2021. 05. 22., szo – 17:52 )

Rászántam magam és minden G accountomon belőttem a 2FA-t. Ti hogy kezelitek a backup megoldásokat?

Én megadtam feleségem telefonszámát is recovery number-nek (ő is az enyémet), meg generáltam backup kódot, amit csatoltam KeePass file-ba. Fizikailag is illik ezt tárolni vagy az már overkill? Titán kulcsot használtok?