Két-faktoros login ha megszűnik a mobiltelefonszám

Sok internetes belépés opcionálisan használ mobiltelefonos hitelesítést 2-faktoros belépéshez, például Google, Facebook. Illetve vannak szolgáltatások kizárólagosan mobiltelefonszámra épülő belépést használnak, például Telegram, Signal. 
Mi történik a mobiltelefonszám megszűnése/elvesztése esetén. Erre több lehetőség is a mobiltelefonszám nem szándékos megszűnésére: 

- Flottás sim kártya, ez eleve kockázat. 

- Céges mobilelőfizetés, a cég megszűnése esetén ugrik a telefonszám is. 

- Feltöltőkártyás sim kártya, egy éven túl nincs feltöltve, elmarad az éves adategyeztetés. 

- Megszűnik a mobilszolgáltató. 

Az utolsó derült égből villámcsapás, amire nehéz felkészülni, a többi némi elővigyázatossággal megelőzhető. Olyasmire gondolok mint, ma nem merném 100%-ra mondani, hogy egy év múlva is lesz Digi mobil és 06 50-es mobilszámok. Ha egyik napról a másikra nincs többé az adott mobiltelefonszám mit lehet tenni? Van egyáltalán megoldás? Vagy kerüljük az SMS-t 2-faktoros belépésnél, már ahol lehet. Telegramnál például nem lehet. 

Hozzászólások

Szinte mindenhol lehet kérni tartalék előre generált kódokat, beteszed a fiókba és szükség esetén ezzel belépve át tudod regisztrálni a telefonszámot.

Ebből nem erre következtettem: "Vagy kerüljük az SMS-t 2-faktoros belépésnél, már ahol lehet."

Jó, de volt az tovább is :)

Vagy kerüljük az SMS-t 2-faktoros belépésnél, már ahol lehet. Telegramnál például nem lehet.

 

Harmadrészt email címet is el lehet veszíteni.

Mindent el lehet veszíteni :)), de ahol van 2fa, ott általában van visszaállító kód is, illetve a authenticator-t is lehet (sőt kell is) menteni.

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Hát, szerintem a kérdés által feszegetett 4 pontból hármat biztosan szinte minimálisra lehet szorítani azzal, ha tartasz egy rendes előfizetést egy normális szolgáltatónál (igazából a valódi szolgáltatók közül is max a digi az, ahol talán egy hangyafasznyit nagyobb esély van egy rendes dőlésre). Ha fontos, ne vegyél flottás szart, ne kösd a nem céges dolgaid a céghez, és ne bohóckodj feltöltőkártyával. Abban meg fairly biztos vagyok, hogy ha be is dőlne itthon valamelyik, az nem a "holnap reggeltől baszhatod a számodat" módon lesz, szóval a meglevő szám birtokában biztosan lehet mindenfélét tenni a számhoz kötött szolgáltatásokkal is. Amit kifelejtesz az úgyse volt olyan fontos :) Ami meg tényleg olyan, ott a) ne használj olyan szolgáltatást, ami így a számhoz van kötve, b) backupolj.

És ja, 2FAhoz meg vegyél yubit (2-t), vagy használj vmi TOPT based második faktort, a biztonsági kódokat kinyomtatni, széfbe a faszba be, aztán jóidő.

Egyik napról a másikra a Digi sem szűnik meg, ha meg még is megszűnne, és senki nem akarná átvenni az előfizetőit sem (UPC mobil megszűnésekor a Vodafone átvette az előfizetőket, és mindenkinek megmaradt a 06 31-es körzetszáma), még akkor is van lehetőséged számhordozásra szolgáltatóváltással. Tehát lehetsz utána mondjuk Telekomos 06 50-es körzetszámmal. 

A feltöltőkártyás számok esetében pedig ha megszűnik az előfizetésed, még fél évig nem adhatják ki másnak a számot. Ebben a fél évben be kell menni a szolgáltatóhoz, kifizetni a díját (telekom esetében tudom, hogy 10 000 forintot), és visszakapod a megszűnt számodat. 

Nagy Péter

Pontosan, akkoriban még merő kósza gondolat sem volt a számhordozás, mint olyan. Persze lehetett volna olyan lefutása az NMT teljes kivezetésének, hogy a 60-as körzetszámot és az előfizetői bázist mindenestől eladják egy másik szolgáltatónak, aki onnantól kettő darab körzetszámmal rendelkezik, az ügyfél meg vesz valamilyen GSM készüléket (egyébként a legtöbb 450-es ügyfél ezt tette, csak nem szervezetten), és viszi a régi számot, de nem így történt. Hogy miért, arról az akkori döntéshozókat/illetékeseket kéne kérdezni...

holdba nem volt akkor még számhordozás. Ezzel együtt persze ahhoz kell az átadó fél is, szóval nem teljesen triviális, hogy menni fog a számhordozás bárhova. De amekkora értéke egy erősen telített piacon egy ilyen üf. bázisnak lenne, csodálkoznék, ha számok mennének a levesbe.

Egyik napról a másikra a Digi sem szűnik meg, ha meg még is megszűnne, és senki nem akarná átvenni az előfizetőit sem (UPC mobil megszűnésekor a Vodafone átvette az előfizetőket, és mindenkinek megmaradt a 06 31-es körzetszáma), még akkor is van lehetőséged számhordozásra szolgáltatóváltással. Tehát lehetsz utána mondjuk Telekomos 06 50-es körzetszámmal. 

jep, egyetértünk.

A feltöltőkártyás számok esetében pedig ha megszűnik az előfizetésed, még fél évig nem adhatják ki másnak a számot. Ebben a fél évben be kell menni a szolgáltatóhoz, kifizetni a díját (telekom esetében tudom, hogy 10 000 forintot), és visszakapod a megszűnt számodat. 

Ja, azért ez jobban jóindulati szabály, mint azt én szeretem. 

Paypal accounttal jartam ugy, hogy a hozzarendelt szam mar megszunt, viszont ok szerettek volna ujra autholni a szammal, SMS-ben.

 

Call center hivasokat AI vette fel, olyan kartya adatokat kert megerositeskent, amely kartya mar speciel cserelve lett (Revolut, UK->Litvan atallas, annak ellenere hogy meg ervenyes volt), foglamam sem volt rola, mi lehetett a lejarati ido eredetileg, stb

 

Az elso korben olyan telefonos asziszenciat kaptam, ahol le tudtam szurni hogy csak gep

harmadik korben mar vagy annyira jo volt a szoftver, vagy annyira szisztematikus a call centeres lanyka, hogy oszinten szolva fogalmam sem volt, ember e vagy gep

 

En rajottem, hogy kellene terelni a beszelgetes menetet, hogy eredmenye is legyen a bveszelgetesnek. El sem tudom kepzelni hogy Atlag Janos hogy oldotta volna meg

Én kerülném, ahol lehet.

Ha jól értek mindent, akkor a telegramnál át lehet írni a telefonszámot, akár úgy is, hogy a régi már nem hozzáférhető. Persze biztosan van olyan, ahol nem ilyen egyszerű, na, az cink.

Legyen igazad, de én úgy olvastam, hogy a régi szám nélkül szívás van, illetve azért azt se felejtsük, hogy alapértelmezetten töröl 6 hónap inaktivitás után (mondjuk ezt át lehet állítani 1 évre), szóval mind valamennyi aktivitásra, mind a tel.számodra szükség van.

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Léteznek Online telefonszámok 

Én is gondolkodtam rajta, csak a k.rv@ kedves szolgáltatók csak külön adatkártyát nem adtak amikor kerestem. Lehet hogy azóra van, nem tudom. 3 olyan szolgáltatást használok ahol kötelező a telefon szám. A többire appot vagy Google authenticator-t.

olyat nem lehet, hogy a masodik faktor 2 fele lehet? mondjuk telefonszam es email cim? hatha nem egyszerre szunik meg a ketto.

neked aztan fura humorod van...

Igy igaz.

Ezert kell harombol ketto, vagy 27-bol 23. Igy jo nehez kinyitni, de vedett az ilyen "jaj, valtozik a telefonszam" esetekre is. Es nem csak auth, hanem a titok kinyitasara is.

Csak az a kerdes, hogy mennyit er meg az ember paranoiaja. A matematika adott, a penztarca nem feltetlen :)

A google és a facebook is tud telefonszám helyett alkalmazásból generált 2fa kódot elfogadni (TOTP - ez google auth -tól kezdve egy rakás megoldással elérhető, akár sima asztali oprendszerre készült appokkal is).

A "megszűnik a szolgáltató" dolgot nem igazán tudnám elképzelni, ha meg is szűnik, akkor is beolvad a másikak közül valamelyikbe, vagy új néven indul el, vagy bármi. A számhordozás miatt ez kicsit sem issue, nekem is volt már mindenhol a számom, és mégis 30-as. Tehát ha esetleg meg is szűnik, az ügyfeleket valamelyik másik biztos hogy továbbviszi, és a számod is megmarad.

Fogalmam sincs, csak a józan ész beszél belőlem. Lehet, hogy van, csak ötletelek.

 

1) még sosem szűnt meg "igazi" mobilszolgáltató Magyarországon, nevet és tulajdonost váltott már mindegyik

2) virtuális szolgáltatók megszűnésére volt már példa (pl. tesco mobile), ott kaptál egy sms -t hogy a "valódi" szolgáltató, azaz a vodafone visz tovább, teendőd nincs

3) ezeknek a szolgáltatóknak az ügyfélkör a valódi értéke, nem az épületek, papirok meg vezetékek, tehát az ügyfeleket kidobni az út szélére és nem pénzt beszedni tőlük marhaságnak tűnik

Szerintem nincs olyan törvényi kötelezettség, hogy az ügyfelet egy másik szolgáltatónak kell kimentenie a bedőlt telekom cég romjai alól. Csak olyan van, hogy ha a bedőlő céget átveszi egy másik, akkor a régi ügyfeleket nem érheti hátrány a tulajdonosváltással.

Nem kell még 2fa sem.

Az utód nélkül megszűnt @upcmail.hu is generál ilyen problémát. Hiába igyekeztem mindenhol kicserélni az emailt, kimaradt egy két helyen.

Sok helyen az user==email =>kuka

Lehetne újra regisztrálni, de "nem biztos, hogy elfogadja ugyanazt a telefonszámot" =>kuka

Annyit pontosítsunk, hogy flottás/céges SIM-nél átviheted a számot magánszemélyként előfizetéssel. Tehát a SIM és a hívószám csak akkor deaktiválódik, ha nem mented ki a süllyedő hajóról :-)

Mobilszolgáltató megszűnése pedig szerintem úgy zajlik, hogy jön a nagyobb hal, aki átveszi az ügyfeleket és a hívószámokat. Lehet, hogy a hívószámot később átkonvertálja a saját számtartományába, mint ahogy ezt anno tette a Westel 450-esekkel a Té, de addig bőven van időd megváltoztatni a kétfaktoroshoz a hívószámot.

Annyit pontosítsunk, hogy flottás/céges SIM-nél átviheted a számot magánszemélyként előfizetéssel.

Ehhez el kell érni, hogy a magánszemélyként elhordozást az eredeti tulajdonos megengedje/ jóváhagyja. Millió példa volt rá az elmúlt évtizedben, mikor ez nem sikerült a leendő tulajdonosnak, és akkor ment a hívószáma a levesbe.

Ezért kell a céges és a magánforgalmat/számot külön kezelni. Ami céges, azt csak használatra kaptad, azt a cég bármikor cserélheti/visszaveheti, illetve senki sem kötelezheti arra, hogy a távozásod kapcsán neked átadja az adott hívószám használati jogát. (Van, ahol a céges flotta adott számmezővel van lefedve, ott pl. esélytelen kivinni privátba egy számot).
"ment a hívószáma a levesbe" - Nem, hanem a munkahelyéhez kapcsolódó elérhetősége szűnt meg.

Nem, hanem a munkahelyéhez kapcsolódó elérhetősége szűnt meg.

Fogalmatlanul ne beszéljünk össze-vissza, messze nem a munkahelyi flottákkal van a legnagyobb probléma ilyen szempontból, hanem a mindenféle kamuegyesületi okoskodásokkal, ahol néha a flottakezelő nem fizeti a számlát, a szolgáltató meg elkaszálja az egészet, telefonszámostól.

Te fizetted a számlát a flottacég felé. A flottacég meg baszott befizetni a szolgáltatónak. Az ügyvezető meglépett a tagok lóvéjával, a cég bedőlt, képviselő elérhetetlenné vált, a szolgáltató meg bepipult és azt mondta a számok a tartozás kiegyenlítéséig lockolásra kerülnek. Átírogatni meg holmi jött-ment magánembereknek nem fogják. Akik hiába fizették a számlát a becsődölt cég felé, és így naívan azt hitték ők jogosan használják a számot. Holott a szerződésben gondolom benne volt feketén-fehéren h. a flottacég a szám jogos tulajdonosa, a magánemberek csak bérelték tőle havidíj fejében a használat jogát. Mivel nem ők a szám tulajdonosa, a mobilszolgáltató ügyfélszolgálatán meg elhajtották őket, mert nekik ehhez a történethez papíron így semmi közük nem lehet.

Ez durva, ilyet még nem is hallottam. Azt hittem, hogy minden flotta olyan, hogy a számlaküldés címzettje az, akinél a SIM van, és látja, hogy hogy áll a számlája a telekom szolgáltaónál. Legalábbis nálunk így működik a flotta.

De hogy egy nem-telekom cég számlázzon... az igen.

Nem feltétlenül. Nem annyira egyértelmű, és a mobilszolgáltatók sem sietnek oktatni a népet, hogy mi a különbség egy sima és egy flottás szám között, és pl a Digi mobilról nem is volt elsőre átlagember számára eldönthető, hogy akkor ő most csak egy N+1 flottacég, vagy valódi különálló szolgáltató, vagy mi. És ez a "virtuális szolgáltató" dolog is way túl van egy átlagember befogadókészségén. Nem szükséges ennyire értenie hozzá, a mobilszolgáltatóknak kellene ezeket a flottacégeket felszámolnia.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Ha lenne mondjuk 3rd party 2fa a saját otthonotok bejárati ajtajához, akkor használnátok?

Hát, ugyan nem ahhoz, de volt már olyan beszélgetésem, ahol a delikvens azon felvetését, hogy "a faszér nincs google auth a bankon, minek kell itt külön bohóckodni" nem sikerült megdöntenem, uh abban maradtunk, hogy ha talál ilyet, mindenképp szóljon, hogy elkerülhessem :)

A 2Fa "must have", ha jól tévedek - célszerűen minimálisra leszorítva azt, hogy a 2. faktort adó eszköz n+1 példányban létezhessen, akár az üf. tudta nélkül. Egy plusz telefonszám, amire a push/sms megy, az feltűnhet/észlelhető mindkét (bank, illetve ügyfél) oldalon _is_, egy lemásolt Google Authenticator meg a banki oldalon semennyire sem látszik, az ügyfél oldalán meg csak annyira/addig, amíg a ga feldobja a felső sorba, hogy nemrég exportálva lett n (darab) fiók. De a tevékenységlistában is csak a darabszám látszik, hogy melyik volt az, az nem, illetve nem tudom, hogy ez a figyelmeztetés menyi ideig látható.
 

Ácsi,. Google Authneticator-os 2FA-ról van szerintem szó, nem pedig arról, hogy a Google/FB/Misrosoft mint IDP lenne a bank felé. Identity providerként nem vonható be, hiszen a bank felé az azonosításod minimum első körben sokkal erősebb, hiszen hiteles okmányok ellenőrzésére épül - ezt egy "hanincsmegakkorenvagyokgipszjakab kukac gémélpontcom" e-mail cím birtokosánál nagyon nem csinálja meg a Google, de az egyéb IDP szolgáltatások mögött sincs csak (legfeljebb) annyi, hogy adott mobilszámra küldött üzenetet el tudod olvasni. Vagyis az identitást nem személyhez, hanem birtokláshoz/hozzáféréshez kapcsolja.
Hasonló, mint a domain validated CA-k által kiadott cert: ott sem azt vizsgálják, hogy te valóban annak a domainnek a jogos tulajdonosa/használója vagy, hanem azt, hogy a DNS-ben/webszerver megadott útvonalán el tudsz-e helyezni egy adott információt.

Ácsi,. Google Authneticator-os 2FA-ról van szerintem szó, nem pedig arról, hogy a Google/FB/Misrosoft mint IDP lenne a bank felé.

Értem már, hogy így értelmezted, de nem, emberünk konkrétan sign up with googlet szeretett volna :) 

Nem szeretem, ha az ismerőseim konkrétan kibasznak magukkal, azért :) Egyébként különösebben nem zavarna, de egy ilyen szolgáltatás megléte nálam óriási red flag lenne. Mondjuk ahogy zeller is írta, igen kicsi az esélye, hogy a google mind idp működhessen egy banknál.

Nem szeretem, ha az ismerőseim konkrétan kibasznak magukkal, azért :)

Oké, tisztában vagyunk azzal, hogy ez a te vallásod, amivel semmi baj nincs addig, amíg azt mondod, hogy a "vallásom miatt én ezt-meg-ezt nem teszem", a baj akkor van, ha azzal jössz, hogy "a vallásom miatt TE ezt-meg-ezt nem teheted".

Mondjuk ahogy zeller is írta, igen kicsi az esélye, hogy a google mind idp működhessen egy banknál.

Vannak már ilyen bankok, amelyek haladnak a korral, semmivel se rosszabb, mint egy user:pass login. Ő is és te is kevered az ügyfél azonosítását a belépésével.

Vallás bizonyos tekintetben ja, bár viszonylag megalapozott. A kérdés nem technikai jellegű alapvetően, nyilván meg lehet oldani, hogy a bank azonosítás után kösse hozzá az emailt, aztán google oauth alapján lépjen be, de tényleg semmi szükség alapvetően egy thirdpartyra abban a folyamatban, hogy a bank elhiggye, hogy én vagyok én éppen. Így is van általában, de így legalább azért, mert a bank expicit így oldja meg a dolgát, tehát jóval nagyobb ráhatása van a hogyanra, mint egy általános szolgáltató (99%-ban egy ingyen accounttal, szóval support a holdba sincs), ami mindenfélét is csinál, és ebben az esetben egyáltalán nem mellesleg pl amerikai jurisdiction alatt. Vallás? Bizonyos tekintetben igen. Megalapozatlan? Nem gondolnám.

Azzal meg, hogy valaki ne tehetne ezt-meg-ezt sose mondtam. Próbáltam egy fazonnak elmondani, hogy a már be vagyok lépve a googlbe, hagyjanak békén mindennel véleménye szerintem hol rossz, nem hitte el, elengedtem :) És ja, bár értem, hogy előadtad zellernek, hogy azt csak ő képzeli, hogy nem lehet utána user pass, és valóban nem írtam kisregényt, de bizony kb ez volt, ő már be van lépve guglival, mindenféle mással hagyják békén. sms kód, meg push noti meg ilyenek, hát az neki csak útban van. 

Vallás bizonyos tekintetben ja, bár viszonylag megalapozott.

Amennyire egy vallás viszonylag megalapozott, annyira ez is. A lényeg az, ami nem ment át, hogy a saját vallásod tiltásaival és korlátozásaival ne mások életét akard befolyásolni.

Próbáltam egy fazonnak elmondani, hogy a már be vagyok lépve a googlbe, hagyjanak békén mindennel véleménye szerintem hol rossz, nem hitte el, elengedtem :)

Arra gondoltál már, hogy ő is próbálta elmondani, hogy a te véleményed hol rossz, nem hitted el, ezért elengedte?

bizony kb ez volt, ő már be van lépve guglival, mindenféle mással hagyják békén. sms kód, meg push noti meg ilyenek, hát az neki csak útban van. 

És? Én erősen támogatom azt, hogy mindenki lehet hülye vagy okos, nézőponttól függően, csak vállalja a következményeit. Igen, kurvára szeretném én is, hogy ne kelljen egy nyomorult 505 forintos vonatjegy kártyával való kifizetésénél azt eljátszanom nem ideális esetben, hogy banki app -> login -> biometrikus azonosítás -> 3DS approval -> approve -> biometrikus azonosítás -> timeout -> vár -> SMS kód -> SMS app nyit -> másol -> banki app újra nyit -> login újra -> biometrikus azonosítás -> beilleszt -> approve -> MÁV app nyit -> sikeres jegyvásárlás (vagy timeout és goto eleje). Igen, kurvára szeretném, hogy ilyenkor kihagyjam az egész faszságot és vállaljam a tetteim következményeit.

Amennyire egy vallás viszonylag megalapozott, annyira ez is. A lényeg az, ami nem ment át, hogy a saját vallásod tiltásaival és korlátozásaival ne mások életét akard befolyásolni.

Hát, akkor megnyugodhatsz, én még mindig senkinek nem akartam korlátozni az életét, ezt a szalmabábot te építetted ide magadnak. 

Arra gondoltál már, hogy ő is próbálta elmondani, hogy a te véleményed hol rossz, nem hitted el, ezért elengedte?

Persze, teljesen nyilvánvalóan ez történt. Tudom, hogy neked ez karakteridegen :) 

És?

És te jöttél azzal,  hogy hát ki mondta, hogy nem kell lehet utána 2FA?

Én erősen támogatom azt, hogy mindenki lehet hülye vagy okos, nézőponttól függően, csak vállalja a következményeit.

Én is. Csak emberünkkel ellentétben neked van háttérismereted, neki meg nem volt, ezt próbáltam neki adni, de mivel nem igazán ment át, ezért elengedtük a témát, mert annyit nem ért :) 

Igen, kurvára szeretném én is, hogy ne kelljen egy nyomorult 505 forintos vonatjegy kártyával való kifizetésénél azt eljátszanom nem ideális esetben, hogy banki app -> login -> biometrikus azonosítás -> 3DS approval -> approve -> biometrikus azonosítás -> timeout -> vár -> SMS kód -> SMS app nyit -> másol -> banki app újra nyit -> login újra -> biometrikus azonosítás -> beilleszt -> approve -> MÁV app nyit -> sikeres jegyvásárlás (vagy timeout és goto eleje). Igen, kurvára szeretném, hogy ilyenkor kihagyjam az egész faszságot és vállaljam a tetteim következményeit.

Ezt én is. Hálistennek nekem nincs dolgom ilyen balfasz szolgáltatókkal csak nagyon ritkán, szóval általában (90%) az van, hogy 

  • ha rendszeresen vagyok ott, akkor automata belépés a random helyre. Egész sokszor lehet pl a google, mert a kártyát úgyis más kezeli. :), vagy segít a password manager
  • kosárbatesz
  • kártyaadatokat megad/kiválaszt/pénzügyi szolgáltatóhoz belép
  • push noti megnyom (már ha van, nem mindig)
  • biometria (nyilván az előző függvényében)
  • megnézzük a processz végét

Lehet neked kéne egy bank, ami halad a korral :)

Ha nálad SMS érkezik, akkor ott valami nem kerek...

Kiemeltem a lényeget, mert nem olvastad el: "azt eljátszanom nem ideális esetben, hogy [...] approve -> biometrikus azonosítás -> timeout -> vár -> SMS kód"

Nekem a mobilos vásárlás úgy megy, hogy veszem a jegyet, jön a push, megnézem, nyomom a biometriát, készen vagyunk.

Egy nyomorult párszáz forintos vonatjegyet olyan kényelemmel szeretnék megvásárolni, mintha egy contactless payment lenne.

Egy nyomorult párszáz forintos vonatjegyet olyan kényelemmel szeretnék megvásárolni, mintha egy contactless payment lenne.

^ ez

A pék faszáért kell a 180 forintos buszjegyemre a tokenizált kártyával, Face ID-vel megerősített vásárlás után még SCA-t kérni. Megyek reggel a buszra, eddig úgy 1000 db jegyet, bérletet, stb. vettem ugyanazzal az appal, ugyanazzal a tokennel, de nem, az 1001. alkalommal is el kell kérni a tetves ujjlenyomatot vagy SMS kódot, nehogy valaki illetéktelenül buszjegyet vegyen baszdmeg az ellopott telefonommal, hogy utána a söpredék a lopott buszjeggyel utazgasson fel-alá Diósd és Kelenföld között, amíg a BKK csődbe nem megy a fizetendő kártérítésektől.

ezt egyébként én se értem. foodpandához soha nem kell approve, pedig ott is a kártyám van felvéve (wolton apple pay van, ott azért nem kell). de a máv appban a 205 ft-ot mindig engedélyeznem kell

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Próbáltad már GooglePay/ApplePay -be rakott betéti kártyáról? mert onnan nem kell (tipp: az nem card not present tranzakciónak "látszik" a bank felé, ergo nincs szükség 3DS-re, mert az card not present tranzakcióknál "játszik", vagy OutOfBand (mobilos app) jóváhagyással, vagy one time password használatával)
 

Nincs google és apple fiókom sem. Az android telefonon nincs google fiók, simán fent van a revolut és az otp app, és egyikből töltöm fel a másikat. Működik, csak az otp appja elég lassú sajnos. Egyes vásárlásoknál nincs approve (pl. Budapest GO), másoknál meg mindig van.

Ja, hogy utalással töltöd... Átutaláshoz kell approve, bár van, ahol meg lehet jelölni bizonyos partnereket (célszámla), amikre nem fog kérni. De ez bankfüggő. (Google mentes telefonnal mindenki úgy szívatja magát, ahogy akarja...) Egyébként hogyan raktad fel a banki alkalmazásokat? Az apk-kat hogyan csekkoltad, hogy eredetiek-e? Ha már security meg privacy ezerrel...

Nem átutalással töltöm, hanem kártyás fizetéssel.

Google mentes telefonnal mindenki úgy szívatja magát, ahogy akarja...

Irreleváns, hogy van-e a telefonon google account vagy nincs.

Egyébként hogyan raktad fel a banki alkalmazásokat? Az apk-kat hogyan csekkoltad, hogy eredetiek-e? Ha már security meg privacy ezerrel...

https://f-droid.org/packages/com.aurora.store/ -> Ez is a play store -ból tölti le (as in service), ennél fogva pedig ugyanannyira megbizhatsz benne.

"Nem átutalással töltöm, hanem kártyás fizetéssel." - Az authorizáció/bank szempontjából ez card not present tranzakció, ahol képbe kerül a 3DS, amit vagy OutOfBand authorizációval (push+app+biometria), vagy ha ez nem áll rendelkezésre, akkor SMS-sel tudsz továbbengedni.

Attól, hogy CNP, még nem kell SCA-t kérni rá. A kereskedő is kaphat whitelistet, recurring tranzakcióra van exemption, alacsony kosárértéknél is kaphat exemptiont (kivéve, ha a kereskedő azt kéri, hogy ne -- hello, buszjegy-app!), TRA alapján whitelistelődhet, stb.

Tehát nekem még mindig nem világos, hogy egy állami cég által árult buszjegy, kis kosárértékkel (185 forint), miért triggerel SCA-t egy MIT-ra, miközben ismeri a lakcímemet, a személyi igazolvány számomat, stb., vagyis a buszjegy-maffiatevékenység első jelére rám törhetné az ajtót a SWAT.

(Látod, én is tudok hárombetűseket. :))

Ez egy CNP fizetési tranzakció. Ilyen esetben milyen lehetőségek vannak szerinted a 3DS megfelelésre az SMS-en kívül, ha nincs/nem működik az OOB?

Ezt volt a kifogásnaptáradban január 30-án?

Komolyan hagyjuk már ezt a faszságot. Q. E. D. az egész: ha van olyan Magyarországon évek óta üzemelő bank, amelyiknél nem kötelező és nincsenek ezért szénné bírságolva, lerombolva, felszántva és behintve sóval és a C*O feldarabolva kitűzve a vármegyetáblák mellé, akkor - lassan írom: n-e-m - k-ö-t-e-l-e-z-ő.

Jöhetsz újra az MNB-vel, az EU-val, egyéb HBR és RNBR rövidítésekkel, a bárkivel és bármivel, de attól még nem lesz kötelező. A kereskedő is mondhatja, hogy adott esetben picsába az egésszel, a bank is mondhatja, hogy adott esetben picsába az egésszel és az ügyfél is mondhatja adott esetben, hogy picsába az egésszel. Nem kötelező, hogy minden CNP tranzakció esetén kell legyen SCA, ezért van a rendszerben exemption policy, csak vannak bankok, ahol balfaszok ülnek és nem olvasták el idáig a dokumentációt és/vagy a risk assessment rendszerükben egy static false válasz mindenre.

Azért van az, amit említettem is, a MÁV alkalmazásban jegyvásárlás három opciót dob különböző bankoknál:

a, minden egyes nyomorult vásárlás esetén kell SCA,
b, az első vásárlásnál kell SCA,
c, adott értékhatár felett kell SCA.

Mondhatja azt a bank, hogy "ja, a merchant a MÁV és ez a balfasz minden nap vesz 150-500-1000-1500 forintért jegyet? Akkor maximum egyszer kérünk SCA-t, amikor pár ezerért vesz jegyet, hogy nem-e visszaélés, aztán legközelebb csak akkor, ha vesz egy első osztályú jegyet Párizsba csak oda." Van rá lehetőség? Van, lásd exemption policy. Szóval még egyszer: nem kötelező. Aki szerint kötelező és bankban dolgozik, holnap reggel a HR-él kezdjen, mondjon fel és keressen olyan nyugis állást, ahol bírja a munkával járó stresszt.

A szál a revolut-os feltöltésről szól, aminél a kolléga betéti kártyájánál mindenkor kérnek SCA-t. Nekem GooglePay-ről töltve nem kérnek. Az első feltöltésem kártaszám+lejárat+cvc/cvv ment - emlékeim szerint azt a mobilappban jóvá kellett hagyni.
Ahogy fentebb szó volt róla, ha és amennyiben
Egyébként a Revolut feltöltés egy érdekes kérdés, hiszen nem "vásárol" valójában az ügyfél, csak épp úgy érkezik a tranzakció - volt, akinek hitelkártyáról feltöltésnél kp. felvételként számolta a bankja - egyelőre vitatkoznak.
Ahogy fentebb gelei kolléga részletezte, van, amikor nem kell, de ezek a kivételek, nem az alapértelmezett működés. Ezek a kivételek a Revolut esetén nem kerülnek képbe (nem fér bele a kis összegűbe, nem recurring tranzackió, és nincs whitelist-en...

 

A szál a revolut-os feltöltésről szól, aminél a kolléga betéti kártyájánál mindenkor kérnek SCA-t.

Nem, ott se kérnek mindenkor.

Ahogy fentebb szó volt róla, ha és amennyiben

Igen, ezt szakmailag úgy hívják, hogy exemption policy. És nem a törökgábor féle egyrészt-másrészt bullshit a működési elve.

Ahogy fentebb gelei kolléga részletezte, van, amikor nem kell, de ezek a kivételek, nem az alapértelmezett működés.

Igen, van az alapértelmezett működés és vannak a kivételek. Te viszont azzal jöttél, hogy card not present tranzakció esetén mindig kötelező a SCA.

Ezek a kivételek a Revolut esetén nem kerülnek képbe (nem fér bele a kis összegűbe, nem recurring tranzackió, és nincs whitelist-en...

Hogyne lehetne whitelist-en, az ügyfél és a kereskedő is ráteheti, megtehetem azt is, hogy a tranzakciót ügyfélként úgy jelölöm, hogy nem akarok SCA-t... és hogyne lehetne, hogy a bank eldönti ezek után a tranzakcióról egy risk assessment folyamatban, hogy megéri-e basztatni az ügyfelet egy SCA folyamattal vagy sem. Ismét röviden: nem kötelező.

A szál a revolut-os feltöltésről szól

Lóf*szt a revolut feltöltésről szól, a go-to-parent gombot nyomogatva a kommentedtől ide jutok, a saját buszjegyes felháborodásomig.

A revolut feltöltés egy mellékvágány, ahol még meg is érteném a SCA-t, lévén ahogy te is írtad, nem egy terméket veszel a folyamat végén, hanem gyakorlatilag csak pénzt mozgatsz, amit minden különösebb fraud check nélkül tovább lehet küldeni egy másik bankszámlára.

Rendszeresen töltöm a Revolut számlámat (jellemzően kis értékkel, alkalmanként 10eFt-tal -ennyi van beállítva az adott kártyán CNP limitnek nálam, így nem kell limitmódosítással szórakozni).

Ez esetben többnyire átmegy jóváhagyás nélkül, időnként mégsem. Természetesen Google/Applepay-en nem kell, mert az nem CNP-nek számít.

Nekem OTP debit kártyáról megy közvetlenül, na az mindig kér. De ez még nem baj, viszont néha (mondjuk 10ből 2szer) rögtön fallbackel SMS -re, pedig nem kéne neki, az alkalmazásos push notifos approve simán működik, csak néha azt hiszi nem. SMS kód viszont kér valami telekódot is, amit természetesen nem tudok, igy kuka az a tranzakció.

Ja, és a bank a hó végén kiszámláz 100-150 forintot üzenetdijakra, amit nem az én hibámból kellett küldeni.

Na ez az, amit sose fogsz megtudni. A bankodtól függ, de jellemzően nem fix az algoritmus. Revolut top-uphoz nekem mostanában nem kér approve-ot, de pl. BKV-jegy vásárláshoz (Budapest-Go alkalmazás, Simplepayen keresztüli fizetés) többnyire nem, de időről-időre feldobja a megerősítést (vásárlási összegtől függetlenül, tehát pl. 750 Ft-os vásárláshoz dobta fel legutóbb.

Az ebéd házhozszállítását már a home-office időszak kezdete óta ugyanannál a cégnél rendelem, 10-20eFt közti összegek hetente, többnyire nem kér megerősítést, de néha mégis. A banknak van valami kockázatkezelő algoritmusa, az dönti el, hogy mikor kérjen, mikor nem.

Az elfogadó ki tudja választani, hogy a felhasználónak egyszerűbb, de az elfogadó számára valamivel kockázatosabb, vagy a felhasználó számára kicsit bonyolultabb, de az elfogadó számára biztonságosabb módot akarja használni.

Valószínű annyi történt, hogy a foodpandánál az elsőt, a mávnál meg a másodikat választották.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A MÁV szerencsétlenkedése önmagában nem elég, mert ha csak no preference-t küldene, akkor is detektálhatná a kártyakibocsátó a tranzakcióban, hogy minden hétköznap +-5 perc különbséggel lemegy ugyanaz a 185 forintos fizetés ugyanannál a kereskedőnél, ugyanazzal a kártyával.

Vagy az van, hogy a MÁV-nál és a kártyakibocsátónál is közepes képességű emberek dolgoznak, és azt várják, hogy majd a másik helyesen flaggeli a tranzakciót, vagy, ami sokkal valószínűbb, hogy a MÁV-nál is ilyen zeller-félék dolgoznak, akik mindenre rábasszák a kötelező SCA-t, mert nem tudják, hogy a kártyakibocsátó általi exemption nem okoz liability shiftet.

Ha nálad SMS érkezik, akkor ott valami nem kerek...

Már ott nem kerek valami, hogy a 180 forintos buszjegyet nem tudom megvenni SCA nélkül egy állami cégtől, miközben a boltban egy 12 ezres üveg piát PIN-kód nélkül ki lehet fizetni.

Faszom már az egész mutatványos-security iparba, az élen holtversenyben a kamu-bankbiztonsággal és a reptéri secu ellenőrzéssel.

Dolgok, amik nem kérnek 2FA-t: amazonos rendelés több százezerért, aliexpresses vásárlás Kínából, kőműves Actimel a kisboltból, USA-ból rendelés emailben plaintext elküldött kártyaadatokkal, stb.

Dolgok, amik kérnek 2FA-t: buszjegy, vonatjegy (bónusz pontért akkor timeoutolva, amikor éppen lekésném a járatot)

Szerintem a magyar bankrendszernek kifejezetten jót tenne egy szakmai tisztogatás. De ne is fáradj, tudom, egyszerűen lehetetlen lenne jobban megcsinálni.

Szerintem van az MNB-nél nyitott pozi, jelentkezz... Banki oldalon is örülni fognak, ha nem nehézbúvárnak öltözve kell a NY maratont lefutni, miközben a fintech oldalon engedélyezett a technikai öltözet meg normális futócipő...

Most kipróbáltam: Simple-ben vettem vonaljegyet (350Ft), nincs SCA. Igen, azért, mert azótépé :-P Vonatjegy szerintem dettó megy minden extra nélkül, bár azt tavaly próbáltam, és a fene sem emlékszik már rá...
Ha meg jön sca, akkor az push, és egy mozdulat...

Szerintem van az MNB-nél nyitott pozi, jelentkezz...

Itt lehet jelentkezni, ha valaki szeretné, hogy megoldjam a problémáit, természetesen a projektre szánt napidíj előzetes megjelölésével: https://hup.hu/user/17007/contact

Viszont szerintem ez nem az MNB-s arcokon múlik. Az MNB eddig minden interakciónkban meglehetősen konstruktív és proaktív volt.

Banki oldalon is örülni fognak, ha nem nehézbúvárnak öltözve kell a NY maratont lefutni

De hát ugye nem kell, csak meg kell ismerkednie (a banknak és a kereskedőnek is!) a következő fogalmakkal: TRA, frictionless flow, stb.

Szerintem van az MNB-nél nyitott pozi, jelentkezz... Banki oldalon is örülni fognak, ha nem nehézbúvárnak öltözve kell a NY maratont lefutni, miközben a fintech oldalon engedélyezett a technikai öltözet meg normális futócipő...

Tapasztalatom szerint ez nem a MNB-n múlik, hanem azon, hogy a banki oldalon olyan ember van-e döntési pozícióban, aki meg akarja oldani a feladatot vagy olyan, aki csak a kifogásokat keresi.

Most kipróbáltam: Simple-ben vettem vonaljegyet (350Ft), nincs SCA.

Látod? Jössz itt az MNB-vel meg a többi faszsággal.

Az OTP-s fizetési felületnek van erre jóváhagyása, igen, a mávnak például nincsen, a Dijnet-es fizetések sem véletlenül mennek a Simple felé... Drága a PCI-DSS megfelelés, na...

Az MNB-t azért hoztam fel, mert ott pontosa(bba)n megismerhető, hogy miért ilyen a helyzet - az egész csak részben múlik az MNB-n, a másik része az EU-s szabályozás, és valamennyire a kártyatársaságok elvárásai is belekavarnak...

Mert miért is? Szerinted miért nem maradt meg a Díjnet saját fizetési megoldása, és lett helyette átcsatornázva a Simple-be? Egy meglévő, jól működő megoldás lett kikukázva... Ha szerinted nem az MNB-n és az EU-s szabályozáson múlik, hogy van SCA, van 3DS2 és hasonlók, akkor kin? És szerinted miért a szigorúbb értelmezést veszik figyelembe a bankok amikor csak lehet?

Kérdeztem, ha érdemben nem tudsz/nem akarsz válaszolni, akkor azt is elfogadom válaszként, de tényleg kíváncsi vagyok a véleményedre.

Kérdeztem, ha érdemben nem tudsz/nem akarsz válaszolni, akkor azt is elfogadom válaszként, de tényleg kíváncsi vagyok a véleményedre.

Nézzük:

Az OTP-s fizetési felületnek van erre jóváhagyása, igen, a mávnak például nincsen, a Dijnet-es fizetések sem véletlenül mennek a Simple felé...

Az OTP-nek van. A MÁV például letárolja a kártya adatokat, nekik is van PCI-DSS. A Dijnet sztorit nem ismerem, de szerintem az is simple ügy: aláígértek mindenkinek a piacon, aztán meg néznek, mint a kiszántott egér, hogy nem jön bevétel. A Simple nem csodaszer, csak kurva olcsó, mert az OTP keresztfinanszírozza.

Drága a PCI-DSS megfelelés, na...

Nem drága az annyira és nem is túl nehéz megfelelni. Még a macera is kellően bevállalható.

Az MNB-t azért hoztam fel, mert ott pontosa(bba)n megismerhető, hogy miért ilyen a helyzet - az egész csak részben múlik az MNB-n, a másik része az EU-s szabályozás, és valamennyire a kártyatársaságok elvárásai is belekavarnak...

Felhozhatod az MNB-t, csak az MNB eléggé rugalmas szokott lenni, a nagyobb szopás a banki oldalon van, ha a biztonságért kivénhedt rendőrök és/vagy megcsömörlött IT szakemberek felelnek, akik nem azon gondolkodnak, hogy egy feature hogy oldható meg, hanem azon, hogy ma épp miért nem oldható meg.

Ezért van az, hogy egyik alkalmazással tudsz 3DS nélkül fizetni, a másikkal nem, a harmadikkal meg random vagy van 3DS vagy nincs.  Aztán az egyik banknál lehet papír nélkül, a másiknál csak papírral lehet, a harmadiknál lehet papír nélkül, de videóhívással. Valahol lehet több alkalmazásod, valahol egy lehet, lehet több tokened, több SMS számod, valahol egy.

Mondok konkrét példát: a Magnet kártyával a MÁV _mindig_ kér 3DS azonosítást, Raiffeisen kártyával az első fizetésnél és minden sikertelen fizetés után egyszer, Revolut kártyával soha nem kér. Ugyanaz az MNB a felügyeleti szerv, ugyanaz a MÁV, ugyanaz a Simple, a különbség a kártyát kiadó bankban ülő balfaszok kvalitatív és kvantitatív mennyisége, hogy mennyire akarják szopatni az ügyfelet.

Hint: 3DS vs 3DS2, és az sem mindegy, hogy hány szereplős az egész 3DS-es mókulancia (egy, két esetleg három...). A kötelezőt jól-rosszul, de megoldják, a "jó lenne, ha lenne" az sajnos a legtöbb helyen "várhat" kategória, ahogy mondod, de jellemzően a rendelkezésre álló erőforrások véges mennyisége miatt. De elmehetsz bármelyik olyan bankhoz, ahol szerinted rosszul csinálják, és eladhatod nekik a tudásodat, hogy hogyan lehetne jót és nagyot "gurítani" ezen a téren, MNB és minden egyéb elvárásoknak megfelelve, a rendelkezésre álló erőforrásokból (fejlesztők, tesztelők, illetve szükséges egyebekre elköltendő büdzsé).

 

A kötelezőt jól-rosszul, de megoldják, a "jó lenne, ha lenne" az sajnos a legtöbb helyen "várhat" kategória, ahogy mondod, de jellemzően a rendelkezésre álló erőforrások véges mennyisége miatt.

Na, ezt is bekeretezem, ez annyira bullshit, hogy méréshatárt kellett váltanom a detektoromon... :D

De elmehetsz bármelyik olyan bankhoz, ahol szerinted rosszul csinálják, és eladhatod nekik a tudásodat, hogy hogyan lehetne jót és nagyot "gurítani" ezen a téren,

Amúgy voltam több banknál is, igen, volt olyan bank, ahol az üzlet is szárnyat kapott, amikor a HR összeszedte a tökeit és az IT-ról végre kibaszták a döntéshozó "nem, és nincs más alternatíva" embert. Hirtelen meg lehetett oldani, pénz se kellett hozzá sok.

MNB és minden egyéb elvárásoknak megfelelve, a rendelkezésre álló erőforrásokból (fejlesztők, tesztelők, illetve szükséges egyebekre elköltendő büdzsé).

Hagyd már a picsába az MNB emlegetését, a legtöbb esetben nem rajtuk múlik ez a dolog, hanem a banki balfaszokon, akik a legtöbb banknál belefásult "ma ezt azért nem lehet megcsinálni, mert ... pörget ... ööö... erős a napfolttevékenység", és folyamatosan azon jár az eszük, hogy miért nem lehet megcsinálni, ha valaki jön egy megoldással, akkor addig forgatják, amíg találnak valami faszságot, ami miatt nem lehet megcsinálni.

Ha van egy olyan magyarországi bank, ahol az adott dolog működik, ráadásul évek óta működik, akkor az MNB szerint mehet, hiába hivatkozik az MNB-re n+1 balfasz, n+1 banknál, hogy miért nem lehet megcsinálni. Meg lehet.

Arra azért kíváncsi lennék, hogy mennyi ideig bírtak téged elviselni bárhol is... Illetve hogy mennyi valós banki/pénzintézeti tapasztalatod van, és az melyik időszakból való....

Mondom, _most_ menj oda valamelyik számodra (un)szimpatikus bankhoz, és add el nekik magadat, és mondd meg, hogy miért balfasz az egész gárda, miközben te a szent grál birtokosaként spanyolviaszt tojsz reggelente, és szakmai-szervezési-jogi-és minden szempontból megennéd őket tízóraira - ha nem félnél attól, hogy a hülyeségük és idiotizmusuk az elfogyasztásuk után rád is átragad. Nem lehet, hogy ez a zsigeri utálat abból fakad, hogy valahol erőteljesen megkértek, hogy ne rontsd tovább a levegőt arrafelé...?

Ja, 3DS2 "évek óta" nem működik sehol, de sebaj...

Arra azért kíváncsi lennék, hogy mennyi ideig bírtak téged elviselni bárhol is... Illetve hogy mennyi valós banki/pénzintézeti tapasztalatod van, és az melyik időszakból való....

Változó. Volt több is, ahova visszahívtak és visszamentem. És van több is, ahova nem akarok többé menni, mert lehúznak a balfaszok a szintjükre és kiszívják belőlem az életkedvet. :D

Mondom, _most_ menj oda valamelyik számodra (un)szimpatikus bankhoz, és add el nekik magadat, és mondd meg, hogy miért balfasz az egész gárda, miközben te a szent grál birtokosaként spanyolviaszt tojsz reggelente, és szakmai-szervezési-jogi-és minden szempontból megennéd őket tízóraira

Nem, nem fogok odamenni. Attól nem lesznek kevésbé balfaszok, hogy valaki kimondja, hogy balfaszok, sőt, én meg nem arra tettem fel az életem, hogy balfasz banki dolgozókat istápoljak. Van megannyi szép kihívás, szarok én a balfasz banki dolgozókra. De a munkájuk eredményéből - vagy eredménytelenségéből - bizony szépen látszik, hogy balfaszok.

ha nem félnél attól, hogy a hülyeségük és idiotizmusuk az elfogyasztásuk után rád is átragad.

De, pont ettől félek.

Ja, 3DS2 "évek óta" nem működik sehol, de sebaj...

Oszt? Említettem valahol? Nem.

Engem k.ra zavarna, hogy külső, semmilyen valós ügyfélazonosítást(!) nem végző IDP-t is felajánlana a bank azonosításra. Szép, meg jó, meg minden, de banki felülethez való hozzáférést olyan IDP-re bízni, ami nem győződik meg arról, hogy én én vagyok...

Az ügyfélazonosítást nem abban a layerben kell megcsinálni. A legtöbb banki appnak simán elég a biometrikus azonosítás egy tranzakció aláírásához, pedig ott sincs azonosítva az ügyfél. Az értelmesebbje legalább kiírja az aktiváláskor, hogy másnak az ujjlenyomata lehetőleg ne legyen felvéve a telefonon, de ennyi. Ha a pussyhunter420@gmail.com bemegy az OTP-be, hogy ez az emailcím márpedig az övé, akkor onnantól nyugodtan lehet az adott Google accountot loginra használni.

Mi több, a sima email/password autentikációnál sincs a mailbox valódi tulajdonosa ellenőrizve, neked csak annyit kell nyilatkozni, hogy a zeller@example.com összerendelhető a bankszámláddal.

Engem k.ra zavarna, hogy külső, semmilyen valós ügyfélazonosítást(!) nem végző IDP-t is felajánlana a bank azonosításra.

Mivel biztonságosabb egy user:pass? Mivel azonosítja jobban egy user:pass?

Szép, meg jó, meg minden, de banki felülethez való hozzáférést olyan IDP-re bízni, ami nem győződik meg arról, hogy én én vagyok...

A user:pass nem győződik meg arról, hogy te vagy te. Amire te gondolsz, az az, hogy a bank először azonosítja az ügyfelet, aztán ad neki valamilyen credential opció halmazt, amiből az egyik lehet az, hogy az egy külső OAuth szolgáltató.

Nem user/pass,hanem user/pass és kötelező 2. faktor. A push/sms dolgot nem tudja megúszni, gondolom ezt szerette volna a delikvens. Az user/pass mellett a 2. faktor (ami egy az ügyfél által birtokolt eszközön található információ megismerésén alapul) azonosítja hogy tényleg Gipsz jakab írta be a jakap/jakab123 user/pass párost.

Szóval az user/pass helyett talán, de erről az MNB illetékeseit kéne megkérdezni, hogy mi a véleményük, a 2. faktor helyett viszont egyáltalán nem jó (Google fiókkal bejelentkezésnél adott gép/böngésző a felhasználó által "biztonságos"-nak  jelölhető, ahol nem kér 2. faktort a Google).

 

Nem user/pass,hanem user/pass és kötelező 2. faktor.

Semmi nem tiltja, hogy OAuth azonosítás után legyen egy bármilyen 2FA.

A push/sms dolgot nem tudja megúszni, gondolom ezt szerette volna a delikvens.

Hogyne lehetne megúszni. Vannak olyan helyek, ahol nem olyanok ülnek a székben, akiknek az a fő feladatuk, hogy mit miért nem lehet megcsinálni, hanem az, hogy mit hogyan lehet megcsinálni.

Szóval az user/pass helyett talán, de erről az MNB illetékeseit kéne megkérdezni, hogy mi a véleményük, a 2. faktor helyett viszont egyáltalán nem jó (Google fiókkal bejelentkezésnél adott gép/böngésző a felhasználó által "biztonságos"-nak  jelölhető, ahol nem kér 2. faktort a Google).

Senki nem említette, hogy a Google OAuth a 2FA helyett van, ezt te képzelted oda.

Ahogy írtam is: user/pass helyett talán (de kérdezze meg az MNB-s auditorát, IT-biztonsági tanácsadóját). Én azt írtam, hogy OAuth talán jó lehet user/pass helyett, de erős a gyanúm, hogyha az sms/push "fáj", akkor az illető úgy gondolja, hogy ha már a google fiókba egyszer valamikor belépett 2fa-val, akkor azzal az user/pass párossal szeretne minden egyéb nélkül a netbankba is bemászni. Ha "csak user/pass helyett szeretné, és bevállalja a 2. faktort, ami innetől kezdve birtoklás vagy biometria, hát legyen - ha a bank ad neki olyan tokent, ami egyszer használatos jelszót "gyárt", akkor a birtoklás,mint 2.faktor is rendben lehet. (A sw-es tokenek sajnos nem garantálható, hogy egy példányban léteznek, így azt én "birtoklás" címén banki környezetben nem biztos, hogy elfogadnám)

 

de erős a gyanúm, hogyha az sms/push "fáj", akkor az illető úgy gondolja, hogy ha már a google fiókba egyszer valamikor belépett 2fa-val, akkor azzal az user/pass párossal szeretne minden egyéb nélkül a netbankba is bemászni

Ezt te most csak elképzelted.

A sw-es tokenek sajnos nem garantálható, hogy egy példányban léteznek, így azt én "birtoklás" címén banki környezetben nem biztos, hogy elfogadnám

Elfogadott, ahogy a több eszközön a biometria is... így van több telefonomon is ugyanazon bank ugyanazon számlájához alkalmazásom.

Ha a banki adataidat viszik valahogy, akkor a náluk lévő telefonon is menni fog a 2FA, a náluk lévő eszköz is ugyanolyan elfogadott lesz a bank felé, mint a nálad lévő. Ha jó helyen vagy, akkor az új sim/mobilszám megadásakor kapsz a régire egy üzenetet, hogy tényleg hozzá akarod-e adni az adott számot a hitelesített eszközökhöz, vagy sem, ha meg nem, akkor simán bekerül, és onnantól heló van.

Ez csak egy biztonsági szempontból k.szar kényelmi lehetőség. nem véletlen, hogy tényleg kritikus környezetben olyan hardvertokent írnak elő,a mi valóban csak egy példányban létezik (yubikey és társai).

Ha a banki adataidat viszik valahogy, akkor a náluk lévő telefonon is menni fog a 2FA, a náluk lévő eszköz is ugyanolyan elfogadott lesz a bank felé, mint a nálad lévő.

Ez megy egy telefonnal is.

Ha jó helyen vagy, akkor az új sim/mobilszám megadásakor kapsz a régire egy üzenetet, hogy tényleg hozzá akarod-e adni az adott számot a hitelesített eszközökhöz, vagy sem, ha meg nem, akkor simán bekerül, és onnantól heló van.

Ahhoz

1, be kell jutni arra a telefonra,
2, be kell tudni lépni az alkalmazásba
3, tudni kell a 2FA mellett az első faktort is.

És még egyszer hangsúlyozom: ez megy az egyetlen telefon esetén is.

Ez csak egy biztonsági szempontból k.szar kényelmi lehetőség. nem véletlen, hogy tényleg kritikus környezetben olyan hardvertokent írnak elő,a mi valóban csak egy példányban létezik (yubikey és társai).

Nem, ez egy faszság, hogy a 2FA egyetlen fizikai eszköz kell legyen, ez a fejedből pattant ki most hirtelen, de nem írják elő a bankok, se hazánkban, se külföldön.

Attól függ, hogy mi a 2FA 2. fele. Nálunk a telefonon lévő generált token. Egy felhasználónak több eszköze is lehet, mindegyikre generálhat tokent (nekem a telefonon és a tableten van - kamera feltétel, mert QR kódot is be kell olvasni az azonosításhoz), viszont attól, hogy a banki adatot viszi valaki, tokent nem tud generálni, ahhoz szükséges egy azonosítás - jellemzően a tokennel. Ezért is jó, hogy két eszközön van token, ha mondjuk elvész a telefon, vagy megdöglik és le kell cserélni, a tablettel be tudok lépni és generálni új tokent az új telefonra, a régit meg megszüntetni. Ha úgy vesszük, a token csak egy példányban létezik (egy eszköz egy token), viszont lehet több tokenem.

Ha a token a második faktor, és az eszközhöz kötött, azaz nem tudod lemásolni egy mások eszközre, akkor az valóban egy példányban létezik, mint ahogy egy rendes hardveres tokenhez illik.

Hm... szerintem te csak minden harmadik szót olvasod el, "két eszközön van token"

Két _különböző_ token. Ahogy mondjuk két eltérő SIM-ID-vel gyártott SIM kártya két telefonban. Mindkettő külön címezhető SMS-sel. vagy mondjuk két yubikey token, amik ugyanahhoz az identitáshoz vannak rendelve. A lényeg, hogy _megkülönböztethető_ a kettő. Ha a GA QR-kódját másik telefonon beolvasod, a két GA által adott kódok azonosak lesznek, a két eszköz használatával történt azonosítás nem lesz megkülönböztethető.

 

Igen, a token az adott eszközhöz van kötve, tudomásom szerint nem másolható. iPhone-t használok, az képes arra, hogy új eszközre költöztessen mindent, amikor telefont/tabletet váltok, szinte minden kényelmesen átmegy az új eszközre. A banki token illetve a telefonba regisztrált bankkártya természetesen nem, azokat újra létre kell hozni. Arról nem tudok, hogy létezik-e olyan alkalmazás, ami ezeket mind át tudná vinni az új eszközre. Ha a token gyártásához és használatához felhasználják a T2 (TPM Apple változata) chipet, akkor feltételezem, hogy tényleg nem másolható a token.

A google authenticator offline történet. A kezdeti lépéskor felkerül egy kulcs a telefonra, amiből generálni tudja a TOTP kódokat. Sőt, ha jól tudom egy bizonyos RFC -t implementál, úgyhogy nyugodtan használhatsz kompatibilis megoldásokat, közte open source appokat is.

 Egy plusz telefonszám, amire a push/sms megy, az feltűnhet/észlelhető mindkét (bank, illetve ügyfél) oldalon _is_

Feltűnhet, de a gyakorlat azt mutatja, hogy sokszor azért nem tűnik fel (időben). Amúgy a tipikus attack vector nem ez, hanem hogy besétálnak a mobilszolgáltatóhoz, és a minimálbéres ügyintéző leszarja az egész security témát, csak ad nekik egy új SIM-et

Én pl simán használnék egy olyan zárat, amit kóddal és biometrikussal kell kinyitni. Mivel ezehez kell sw + hw is, ezt valószínű külső szolgáltató üzemeltetné. Cserébe nem lenne meg a veszély, hogy elhagyom a kulcsot.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Lehet egyedül leszek a véleményemmel, de a 2fa esetén a legtöbben ugyanazoktól az n számú szolgáltatótól függenek m*n másik szolgáltatásnál.  Nekem ez antipattern.

Nem a 2fa jogosultságát kérdezem meg, hanem azt, ahogyan sokan használják. 

A flottás/céges/a szomszéd nevén lévő előfizetés megszűnése az tényleges kockázat, a többire azért van megoldás:

  • Feltöltőkártya esetében ha elfelejted feltölteni (amiről tucatnyi értesítés jön előre), akkor a lejáratot követő 30-60 napban (szolgáltatótól függően) még fel lehet tölteni, és megmarad a telefonszám.
  • Ha elmarad az éves adategyeztetés, akkor a lejáratot követő 30 napban még lehet adatot egyeztetni, és másnaptól ismét él a telefonszám.
  • A mobilszolgáltató megszűnése esetén számhordozással másik szolgáltatóhoz átvihető a szám.

Nagy Péter

Ezzel nem is tudok vitatkozni. Nyilván akinek a zsebében 350 forint van, az vonaljeggyel buszozni fog, én meg autózni.

A mondanivalóm lényege az volt, hogy nem szivesen engedem át a telefonszámomat a saját nevemről valami sufnikft nevére, még akkor sem ha isti-bizti szerződéssel védenek "engem".

Technikailag pótolni nagyon gyorsan lehet bárki számát, a migráció a problémás. Ez viszont sajnos nem attól függ, hogy mennyi pénzed van, hanem attól, hogy mi és mennyi darab kötődik a számhoz.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Hidd el, nagyon sok melóm volt abban, hogy az a néhány számjegy bekerüljön bizonyos emberek telefonkönyvébe. Nagyon problémás lenne lecserélni. Az a migráció, amire te gondolsz, hogy át kell írni a szolgáltatóknál, az még megközelítőleg sem összemérhető ezzel.

Nekem szerencsém van, hogy a 2000-es évek eleje óta változatlan a telefonszámom, és úgy, hogy nem mozdultam egy tapodtat sem semerre, 3x cserélődőtt fölöttem a mobilcég (Pannon GSM -> Pannon -> Telenor -> Yettel). Nem várok a közeljövőben komolyabb változást, így aho lehet, kifejezetten keresem az SMS-es kétfaktoros authentikáció lehetőségét, mert olyan simán volt már, hogy az authentikátor alkalmazás nem volt hajlandó működni, vagy pl cseretelefon volt nálam amíg a másik szervízben volt, és arra meg inkább nem raktam fel semmit -> SMS-ben megjöttek a kódok, és mindenki happy volt, virágok nyíltak a mezőn.

Viszont aktívan szoktam figyelni a híreket, ha a saját mobilszolgáltatómról van szó, az ilyen bedőlések ritkán 1-2 nap alatt zajlanak le, és ha látom, hogy baj van, átvonszolom a számomat máshova. Az egy másik kérdés, hogy itthon nincs olyan szolgáltató, akihez jó szívvel mennék...

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

az ilyen bedőlések ritkán 1-2 nap alatt zajlanak le

Este 11:59-kor bejelenti a cég, h. gebasz van és ennyi vót. Másnap reggel már se székhely, se alkalmazottak, se ügyfélszolgálat, a kedves ügyfelek rohanhatnak ahova akarnak  Szóval de, ezek pont így mennek. Máskülönben a kuncsaftok még időben ki tudnák menekíteni az értékeiket.

Aham, akkor volt időszak, amikor a Vodafone nem volt rendes szolgáltató, mert nem volt saját hálózata? Másrészt akkor a mobilhálózat üzemeltető cég a fontos, nem a szolgáltató? Mert a legtöbb esetben külön cég végzi a fizikai infrastruktúra üzemeltetést...

Javítom a kollégát: akinek van mobilszolgáltatásra vonatkozó engedélye, és szolgáltat is. hogy a rádiós, illetve felhordó hálózat, meg az infrastruktúra egyes elemei milyen tulajdonban vannak, az irreleváns - gyakorlatilag az, akinek a hálózatára, mint honos hálózatra feljelentkezik az adott SIM-et tartalmazó telefon, ha az elérhető. Ezzel úgy a flottás (gyakorlatilag összesített elszámolással működő viszonteladó), mint a virtuális (branded sim/szolgáltatás meglévő mobilszolgáltató hálózatán) szolgáltatásokat kizártuk a képből.

Ezzel úgy a flottás (gyakorlatilag összesített elszámolással működő viszonteladó), mint a virtuális (branded sim/szolgáltatás meglévő mobilszolgáltató hálózatán) szolgáltatásokat kizártuk a képből.

Na, tehát vannak olyan szolgáltatók, amelyek nem szolgáltatók, csak szolgáltatnak? Ezért kérdeztem, hogy define szolgáltató.

A viszonteladókat (sajátmárkás és flotta) szórtuk ki. Ugyanis jellemzően egyik sem olyan SIM-et ad, ami az adott vállalkozás által saját jogon használt frekvenciákon elérhető hálózatra csatlakozik fel, mint honos hálózatra. Rövidbben: akié a honos hálózat frekvenciája, az a valós szolgáltató, aki másik vállalkozásként ezeken saját márkásként eladott szolgáltatáscsomagot ajánl az ügyfeleknek, az a virtuális szolgáltató, aki meg az előbbiek valamelyikének a szolgáltatását használó SIM-et és előfizetést ad tovább úgy, hogy ezek valójában csoportos előfizetésben vannak, az a flottás cég.

Aham, akkor volt időszak, amikor a Vodafone nem volt rendes szolgáltató, mert nem volt saját hálózata

Az elejétől kezdve volt valamennyi, de igen, addig egy kicsit kockásabb volt, mint a westel meg a pannon, vagy hogy hívták őket épp akkor. Pont mint ahogy a digiről is írtam fentebb. 

Másrészt akkor a mobilhálózat üzemeltető cég a fontos, nem a szolgáltató? Mert a legtöbb esetben külön cég végzi a fizikai infrastruktúra üzemeltetést...

Nem haragudj, nincs kedvem lufit hámozni. 

A diginek bevallottan teszt szolgáltatása volt az elején, és egy félig se kész hálózata. Ezzel együtt az még mindig az a kategória max, hogy ugyan megy a levesbe, de nem baszodik ki alolad a szám nagyhirtelen.

Azon el se kezdjünk lovagolni, hogy hálózatüzemeltető vagy nem, mert érdektelen. Arra hozz példát, ahol eltűnt egy komplett area codenyi számmező másnap reggelre.

Szerintem bővebben elég éles az a különbség.

 

Még a linkeden is az volt, hogy egy glorified ügyfél cég pár számáról nem ment kifele szolgáltatás, szóval migrációhoz meg pont jó lett volna. A többieknek be lett lengetve, hogy esetleg majd, szose volz overnightrol. 

Egy flottaszolgáltatást ne tévesszünk össze egy mobilszolgáltatással, kérlek. Egy mobikszolgáltató onnan ismerszik meg, hogy például van saját körzetszáma, illetve ha jól tudom, a hírközlési törvény is egyértelműen definiálja, hogy mi minősül annak, és pontosan milyen kötelezettségei vannak a szolgáltatónak az ügyfelei felé. Attól, mert ő felszámolja a céget (ez se olyan egyszerű) meg megszünteti a mindent is, még nem szűnik meg mobilszolgáltatónak lenni, és bizony az ügyfeleket védi a fogyasztóvédelem, és bizony ott rendesen van felelősségi kör is.

A flottaszolgáltató csak egy viszonteladó, semmi több. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Akár az is előfordulhat, hogy a privát számot egybe fizeti a család, mindenféle családi csomagkedvezmények miatt. Az a családtag, aki intézi a számlák fizetését meglát egy jó ajánlatot a konkurens mobilszolgáltatónál, vagy megkeresi őt egy ügynök a konkurenciától. Valóban jobb ajánlatot ad. A családi mobilfelelős pedig nyomban lemondja az összes előfizetést és leszerződik az új szolgálatóval. Viszi az új sim kártyákat mindenkinek. Nem tud a számhordozásról, 2fa-ról pedig még nem is hallott. De ekkor már késő, mert visszaszerezni egy mobilszámot szinte lehetetlen küldetés. 

Amíg nincs alanyi jogon járó mobiltelefonszám mindenkinek, amit nem lehet elveszíteni, addig a mobil sms ellenőrzés egy gyenge láncszem marad. 

Alanyi jogon e-személyi jár. Abba lehet kérni személyes certet is, de önmagában az e-szig már korrekten tud téged azonosítani a közigazgatásban - az, hogy ezzel lehessen élni üzleti cégeknél is, elsősorban jogalkotói kérdés, mert a technológia adott. Igen, kell hozzá megfelelő kártyaolvasó, de notebook esetén nem ritka, hogy van beépített (és azzal az alapvető azonosítás működik - aláírást nem próbáltam)...

Pont úgy lehetne kezelni, mint az egy bankszámlaszámhoz járó havi kétszeri ingyenes kézpénzfelvételt magánszemélyeknek 150e forint erejéig. Ettől még senki nem tekinti személyi szám 2.0 -nak a bankszámlaszámot. 

A sim kártya tulajdonosa bejelenti a mobilszolgáltatója felé, hogy mostantól kéri a telefonszáma tartós regisztrálását nevére. Hasonlóan mint a bankfiókban kezdeményezett kedvezményes pénzfelvétel regisztrálása. Az is csak egy bankszámlaszámhoz tartozhat személyenként. A sim kártya lehet előfizetéses vagy feltöltőkártyás is. Természetesen ha például éves feltöltés hiányában megszűnik a feltöltőkártyás előfizetés továbbra sem maradna meg szolgáltatás, de telefonszám nem veszne el. Új sim kártya vásárlásánál viszont lehet kérni rá a személyes mobiltelefonszám "áthordozását". Természetesen a privacy huszárok kedvében járva minden évben egy alkalommal lehetne kérni díjmentesen a személyes telefonszám megváltoztatását úgy, hogy egy másik sim kártyájához tartozó telefonszámhoz kéri az illető a személyes telefonszám regisztrálását, amivel a korábbi automatikusan megszűnik ilyen státuszú lenni (a telefonszám természetesen ott is megmarad). 

Ha Európa még egyáltalán valamikor labdába akar rúgni digitális ID téren, egy ilyen mobil sim-re épülő biztonságos megoldás az egyetlen esélye. Egyébként az Európában széleskörben használatos ID -kat ma kizárólag amerikai multik üzemeltetik, Google ID, Apple ID, Facebook ID, Microsoft ID. Kína persze itt is előrelátó volt, ott megvannak a saját kínai ID szolgáltatásaik. 

A bankszámlaszám nem fix, csak addig szól, amíg az adott banknál vezeted a számlát. Számhordozás sincs. Azt nem tudom, mert nem élek vele, hogy a ingyenes készpénzfelvételes számla esetén a számlatulajdonos becsületszava elég-e ahhoz, hogy ne jelentsen be három banknál bankszámlaszámot az ingyenes kp-felvételhez, tehát össze van-e gyűjtve központilag, hogy kinek mi az ingyenes kp-felvételes számlája, de ha azokat a feltételeket kellene teljesíteni, mint amit itt leírsz, ahhoz kellene egy szolgáltatófüggetlen nyilvántartás. (pl. a megszűnt feltöltőkártyes - vagy akár a szolgáltató által felmondott nem fizetett havidíjas - számok megtartásának biztosításához)

Szerintem Európa elindíthatna egy, a telefonszámtól teljesen független ID-s rendszert, ahogy a Google, Apple, vacebook Microsoft sem telefonszám SIM-hez kötődik, tehát nem a SIM az egyetlen esély.

Én egyszer egy ilyen családi összefonódást akartam migrálni, számhordozással, hát nem volt triviális. Szóval simán lehet, hogy apa ugyan hallott a számhordozásról, de mikor már hetek óta nem sikerül dűlőre jutni a szolgáltatóval, inkább beszántja az egészet, mert nem akar alkoholista lenni a projekt végére. :)

Szerkesztve: 2023. 01. 29., v – 00:16

Habár ez nem mobilszámhoz kapcsolódó, de...

telefon factory reset után (GA-ról nem volt backupom) Billingoék egy email oda-vissza után levették a fiókról a MFA-t, gondolom ehhez hozzájárult az, hogy arról az email címről írtam a levelet, amivel a Billingo fiók regisztrálva van.

es mit csinal a kis kinai hekker billingon? kamu szamlat gyart? :D

amugy mi lenne a _hiteles_ azonositas ilyenkor?

  • anyja neve, szul datum -> barki tudhatja, nem eleg
  • fenykepes igazolvany? -> hat azt is hamisitani lehet
  • visszahivjak telefonon? -> ki fizeti a hivas koltseget?
  • ???

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Lehet találni olyan adatkört ebben az esetben is, aminek az elemeit együttesen (szinte biztosan) kizárólag csak te, mint az ügyfelük ismerheti. Pl. 2-3 véletlenszerűen kiválasztott, általad kibocsátott számlának az adataiba kérdeznek bele. De pl. lehet náluk egyedi ügyfélazonosítód is (nem a usernév), vagy épp az, hogy mikortól vagy az ügyfelük, stb...
Egyébként a személyid/lakcímkártyád/jogsid megfelelő jogosultsággal a közig. rendszerekben validálható (azaz hogy adott azonosítójú okmány valós, érvényes és a megadott adatokat tartalmazza - lásd pl. a prepaid SIM-ek időszakos ügyfélazonosítását, ahol arra is oda kell figyelni, hogy a "születési hely" tartalmazza-e a (vár)megyét vagy sem - nekem tartalmazta, úgyhogy volt egy köröm a szolgáltatóval, mert online nem sikerült az azonosítás - a fene sem gondolta, hogy a megyét is oda kell írni, betű és írásjel szerint pontosan úgy, ahogy az az okmányon szerepel)

Szerintem inkabb az a gond, ha pl. kulfoldon dolgozol es a magyar bankhoz/akarmihez a masodik faktor egy magyar mobilszam (mivel kulfoldi nem lehet). Ha tortenik valami a telefonnal/kartyaval utana nehez potolni (szemelyes ugyintezes, stb.), cserelni, akar ujat kerni.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Erre letezo, ithon is legalabb 4-5 eve tamogatott megoldas, az eSIM.

Kb. 2 honapja van eSIM-et tamogato mobilom, igy ez talan megoldas (szamomra 2 honapja tamogatott). Ennek ellenere egyelore nem kivanom a magyar szamomat abban a mobilban tartani ami tudja ezt a funkciot. Ha a masik elvesz akkor lehet ehhez folyamodom, nem tudom intezheto-e szemelyes jelenlet nelkul (feltoltos kartya, "Yeti-tel").

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Soha nem voltam feltoltos, tapasztalatom is csak T elofizetessel van. Weben belepve, majd megkeresve/megnyomva az "atvaltom eSIM-re" gombot, elindul a folyamat, aminek a vegen van egy QR kodod (megjeleniti az oldal is de megkapod pdfben is). A telefont eloveve a "van egy eSim-em allitsuk be" folyamat kozben be kellett olvasni ezt a kodot a kameraval. A folyamat vegen online lett a telefon, a fizikai SIM pedig megallt. Semmi masra nem volt szukseg, mukodott otthonrol, a fotelbol. Mindez meg 2018-ban volt, nem tudom, hogy a folyamat azota valtozott-e. 

Koszi, ez jol hangzik. Nem tudom a Yetinel + feltoltossel ez hogyan mukodik, egyelore a fizikai SIM nekem hasznos, mivel a kartya nem eSIM kepes mobilban van. Ha elvesz, akkor ezen muszaj leszek valtoztatni.

[szerk]: Ugy latom a Yettelnel az eSIM tavaly nyar ota opcio lakossagi ugyfeleknek.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Az eSim az milyen esetekre ad megoldást?

Ha valami miatt megszűnik egy szerződés, akkor pl. lehet személyes jelenlét nélkül új szerződést kötni és ahhoz eSIM kódot kapni?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A fenn emlitett esetre, mas esetrol nem volt szo.

Szerintem inkabb az a gond, ha pl. kulfoldon dolgozol es a magyar bankhoz/akarmihez a masodik faktor egy magyar mobilszam (mivel kulfoldi nem lehet). Ha tortenik valami a telefonnal/kartyaval utana nehez potolni (szemelyes ugyintezes, stb.), cserelni, akar ujat kerni.

A "történik valami a telefonnal/kártyával" dologra próbáltam rákérdezni itt fentebb.

Nekem jellemzően az volt a "történik valami", hogy a legutolsó feltöltés óta eltelt mondjuk egy év vagy mennyi idő, és egyszer csak nem működött a szolgáltatás. Ilyenkor pl. nehéz volt pótolni: személyes ügyintézés, Magyarországon.

Ha lehet online szerződést kötni és a QR kódot megkapni, akkor otthonról a fotelből lehetne megoldani a helyzetet.

Én egyébként végül oda jutottam, hogy kb. 5-6 éve nincs már magyar telefonszámom. 2FA-hoz nem használja a bankom, értesítéseket küld a külföldi számra is. A céges bankszámlámat nem tudtam rendesen használni magyar telefonszám nélkül a 2FA miatt, így az úgy ment, hogy az üzlettársam kapta a 2FA üzeneteket, elküldte nekem, én meg beírtam. :-D

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ha tenyleg le tud jarni, akkor az pech, de gondolom, ezzel minden hasznalo tisztaban lehet. A telefonnal/kartyaval tortenik valami szamomra azt jelenti, hogy elhagyod/kiesik a kezedbol a kabrioban/beleejted egy 15 meter mely feneketlen toba/atmesz rajta a traktorral/stb. Ilyenkor, eSIM eseteben, siman veszel egy masik keszuleket, osszekattingatod, majd a szolgaltatoval torteno fizikai kontaktus nelkul (akar 10000 km tavolsagbol is), belotted az uj telora, az uj "SIM' kartyad.

Lovesem sincs mi kell a szerzodeskoteshez. Rendes, post-paid tipusu elofizetest, par eve meg siman kezdemenyezhettel telefonon (kb 8-10ev?), postan jottek a visszakuldendo papirok es a SIM kartya is. Azt soha nem probaltam, mit szol ahhoz, ha kulfoldre kell kuldeni a paksametat.