És ezzel mit is érnek el? Mert ez így tuti bukó lesz számukra erkölcsileg, IT biztonságilag. Talán jogilag is....
A másik, hogy talán meg kellene fizetni az OTP / Simple IT-sokat, megfelelő eszközöket kellene alkalmazni. Ha olyan megbecsültek az emberek, mint a MOL-nál, akkor semmin se csodálkozom.
Tehát anyagi kárt nem történt, de nyilván kellemetlen.
Itt a felhasználó volt a balfasz, messzemenőleg. Ha nem ő lett volna a balfasz, akkora nem-balfasz felhasználókat is érintette vona, de őket nem érintette.
Egyelőre úgy tűnik jól kezelték a dolgot, kizárták a támadókat, a balfaszokat pedig jelszóváltoztatásra kényszeritették, ill. a bankkártyáikat is újra digitalizálniuk kell, ha volt nekik.
Minden érintett kapott értesitést, visszaállitották az email cimét, letiltották a jelszavát aminek kikényszeritették a megváltoztatását, törölték a tárolt bankkártyáit.
.. és honnan a tökömből tudják hogy melyik authentication request jött a usertől és melyik a támadótól,
amikor a webes bejelentkezést nem kellett jóváhagyni és bármilyen NAT-olt környezetből, külföldi IP range-ből valid request jöhetett?
1. Minek megkülönböztetni? Webes belépést leállitották, mobilos belépés pedig eddig is több faktoros volt, aki ott be tud lépni, annak joga van a jelszóváltoztatásra, ő a user és nem a támadó.
2. Az meg, hogy ki változtatott e-mailt szintén tudják, arról nem beszélve, hogy valószinűleg azonos ip-kről jött az összes támadás.
3. Maga a user is tudja a problémát, mert jó ideje email-t küldenek minden egyes webes belépésről, igy azonnal látod, hogy beléptek a nevedben.
Tényleg és hogy tájékoztatott? Mindig azt mondják, h ők sosem írnak emailt, sosem hívnak fel! Akkor kiment egy futár v. mit csináltak? Tehát ha emailen v telefonon ment az értesítés, akkor pontosan azt az igéretüket szegték meg, aminek ismeretét elvárásként szokták megfogalmazni az ügyfelek felé, miszerint ők sosem keresik ezen a módokon, ami összeségében rombolóbb hatású lesz, mintha nem értesítettek volna, mert továbbiakban nem lehet tudni, hogy tényleg a bank a megkereső fél-e?
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Szerintem a bankok nem azt mondják, hogy sohasem keresnek, csak azt, hogy sohasem kérnek be login infót illetve személyes adatot. Ez utóbbit legfeljebb személyesen.
Érzékeny kérdés. Ha telefonálna a bank, én nem akarnám magam azonosítani, mert nem tudom, ő kicsoda. Bárki is lehet. Esetleg azt mondhatja, menjek be a bankfiókba, mert ilyen és ilyen ügyben beszélnünk kell. Ha olyan szolgáltatást mond, ami nekem nincs, azonnal tudom, hogy spammer. Ha olyat mond, ami érvényes, akkor bemegyek élő valómban, a legrosszabb, ami történhet, hogy rámcsodálkoznak, miért is mentem.
Neked ebben tökéletesen igazad van. Annyit azért az igazság kedvéért tegyünk hozzá, nekem épp ennyire esik rosszul, amikor valaki az SMS második faktor kivezetését szorgalmazza, mert ezzel eléggé bajba sodorna. Tudom, ha szerencsém van, akkor lehet okostelefon nélkül authentikálni, de ehhez szerencse is kell, meg nem biztos, hogy annál a banknál, amelyiknél a pénzem van, ez lehetséges. És még mindig nincs okostelefonom, s nem is tervezem, hogy legyen.
még mindig nincs okostelefonom, s nem is tervezem, hogy legyen.
Szerintem manapsag mar nem annyira nagy befektetes es belepo kategorias okostelefon, hogy ne lehetne barkinek meg akkor is ha csupan egyetlen celra hasznalja (pl. bankolas), sot ugy meg biztonsagosabb is.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Az egyik gond ezzel, hogy belekényszerítenének egy felesleges beruházásba, ami ráadásul nem örök. A másik a privacy, mert gondolom, úgy kezdődne Android esetén, hogy fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát, amelyeket viszont nem fogadok el, mert az abban foglaltakkal nem értek egyet. Meg GPS, meg egy rakás szenzor, meg netkapcsolat, és ez így együtt. Nem kell.
Nem. Viszont az előző számítógépem úgy volt talán13 és fél éves, hogy volt benne alkatrész még az azt megelőzőből is. A telefonokat nem támogatják ennyi ideig, az akkumulátoruk is tönkre megy. Ráadásul egy drága eszköz ahhoz, hogy hozzájussak a pénzemhez, amelyért megdolgoztam.
az előző számítógépem úgy volt talán13 és fél éves, hogy volt benne alkatrész még az azt megelőzőből is. A telefonokat nem támogatják ennyi ideig
Mutass nekem egy szamitogep gyarto ceget amelyik 13.5 evig tamogatja a termekeit (hivatalosan). Amit te itt "tamogatasnak" nevezel az gyakorlatilag nem letezik. Ha az altalad leirt "tamogatast" nezzuk, akkor ott van a LineageOS es tarsai mobilokra.
Mindkettővel gondom van. A félvezetők miatt nem aggódom, de az akksik megmakkannak, nem éri meg cserélni azokat. A másik pedig a software-es támogatás. PC-re a mindenkori legfrissebb Fedorát upgrade-eltem, az oprendszerem up to date volt az öreg hardware-en is, nem vagyok róla meggyőződve - bár nem tudom -, hogy ezt meg lehet tenni telefonnal is.
A félvezetők miatt nem aggódom, de az akksik megmakkannak, nem éri meg cserélni azokat.
A jelenlegi SMS-t fogado mobilodban nincs akkumulator vagy annak az aksijara orok garancia van?
A másik pedig a software-es támogatás. PC-re a mindenkori legfrissebb Fedorát upgrade-eltem, az oprendszerem up to date volt az öreg hardware-en is, nem vagyok róla meggyőződve - bár nem tudom -, hogy ezt meg lehet tenni telefonnal is.
A jelenlegi SMS-t fogado telefonodon mikor frissitettel utoljara szoftvert vagy firmware-t? Egyebkent erdekes egy PC-t egy mobiltelefonnal osszehasonlitani, almat a kortevel?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Miért almát körtével? Mindkettő számítógép, mindkettő Linux alapú. A jelenlegi telefonom akksija szerszám, szerviz háttér nélkül cserélhető, elfogadható áron hozzá lehet férni emlékeim szerint az akksihoz, bár már rég néztem.
A jelenlegi telefonom a 2G szabványt tudja. Ugyanakkor nem vagyok meggyőződve arról, hogy egy banki alkalmazás nem ír elő olyan feltételt, hogy minimális OS verzió Android 43527.20114, mert ennél kisebb verzión nem fut.
Miért almát körtével? Mindkettő számítógép, mindkettő Linux alapú.
Ilyen alapon osszehasonlithato egy nyomtatoval vagy egy mosogeppel is, azokra is igaz a fenti allitas :)
A jelenlegi telefonom akksija szerszám, szerviz háttér nélkül cserélhető, elfogadható áron hozzá lehet férni emlékeim szerint az akksihoz
Ugyanez elmondhato a Fairphone-rol is.
A jelenlegi telefonom a 2G szabványt tudja.
Ezek utan mar csak arra vagyok kivancsi mennyi idobe telt atallnod a szemelyes/telefonos ugyfelszolgalatrol netbankra anno es mik voltak ellene a kifogasaid :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Érdekes az a szemléletmód, amiért azokat, akiknek fontos a szabadság, egyesek lenéznek, butának, maradinak gondolnak. Önmagában a technológiával nincs bajom. Tervezek herdware-t, s nem legózós módon, nem kész modulok összeillesztgetésével, hanem áramköri szinten. Mérőerősítőket, számítógépeket. Írok firmware-eket C-ben, assembly-ben. Nem a technológiával önmagában van bajom, hanem a technológiai változások azon részével, amelyik elveszi a szabadságom, kontrollálhatóvá tesz, sérti a magánszférát, az intimitást, a személyes teret, a privacy-t, amelyik beszivárog az emberi kapcsolatokba.
Az SMS, mint ezer(huszonnégy) sebből vérző 2. faktor kivezetése jó/nem jó/neked fájna a téma. Igen, azoknak, akik csak SMS-t tudnak 2. faktorként használni, ez nagyon fájdalmas lenne, emiatt _nem_ vezethető ki. Azon, hogy opcionálisan, per user/ügyfél kikapcsolható legyen az SMS fallback, az már lehet gondolkodás tárgya - ha jól van marketingelve, akkor még akár üzleti előny is kovácsolható belőle.
Úgy emlékszem, amikor beszéltem arról, hogy Claws Mailre nem tudtam beállítani a céges levelezést, volt arról szó, hogy az Office365, vagy mi kér TOTP-t. Én azt látom, olvassam le, hogy az authentukátoromon - ami egy okostelefonos alkalmazás -, azt látom-e, hogy bekeretezve 93. Hogyan képzeljem el ezt offline, terminálból, linuxos PC-n? Tényleg érdekel, mert ha egyszerűbb az SMS-nél, amit egyébként erőst kétlek, lehet, hogy alkalmazni fogom!
Az az authenticator app az pontosan melyik, micsoda? Ha céges a levelezés, akkor egyébként _nem_ a te költséged kell, hogy legyen az eléréséhez szükséges eszközt biztosítani...
Én is ezt mondtam, így született az a kompromisszumos megoldás, hogy lett céges SIM-kártyám, amelyet saját dual SIM-es telefonomba tettem. Mindez azok után, hogy home office-ból nem léptem be egy online meetingre, majd felhívtak, hogy miért nem vagyok ott. Mondtam, hogy azért, mert második faktor. :)
Szóval mondod azt, hogy TOTP, offline, miegymás, de ebben az esetben ez mégsem, vagy igen, csak máshova kell kattintanom, vagy mi a helyzet?
Nem tudom, hova nem léptél be, milyen 2FA-t nem voltál/vagy halnadó a munkád kapcsán _kötelező_ feladataidhoz használni. Én munkáltatóként két lehetőséget vázolnék előtted: kapsz egy céges alsó polcot mobilt, amivel tudod végezni a céges feladataidat, tudod használni a céges felhős szolgáltatásokat, vagy b-tervként egy találkozót a HR-es csapattal.
Update: O365-höz valóban a MS Authenticator kell 2. faktornak, ott van a három darab kétjegyű számból válaszd ki az, amit a webes felületen látsz kérdés. Így jártál (vagy járt a cég): a munkádhoz KELL ez az alkalmazás. (Apropo, az O365 esetében is el kell fogadnod egy rakat felhasználási feltételt, ami egyébként azzal, hogy az azt használó cég alkalmazottja vagy, implicit módon megtörtént...)
A "válaszd ki a három kétjegyű szám közül azt..." az azt mutatja, hogy MS authenticatorról van szó - mondjuk a saját fiókomhoz is szívesebben használnám a GA-t, de nekem is ezt dobja, amikor 2FA-val kell belejentkezni.
jelen esetben Lócsemegének viszont az kell(ett volna), mert a "három darab kétjegyű számból válaszd ki ezt" megoldást az MS cucca tudja... De majd megnézem, hogy lehet lecserélni az MS authenticator-t GA/más TOTP-re O365-ös fióknál.
En sem ertek egyet azzal, hogy nyomjak az arcomba a reklamokat es profiloznak, viszont egyelore tobb elonyet latom mint hatranyat az okostelefonnak a napi rutinomban. Sokaig nem vettem, mert: 1. draga volt 2. meloban es otthon is volt internet, utkozben meg minek? Aztan 2016 korul rajottem, hogy van haszna utkozben is es az arak is csokkentek mert tomegtermek lett.
Nem a technológiával önmagában van bajom, hanem a technológiai változások azon részével, amelyik elveszi a szabadságom, kontrollálhatóvá tesz, sérti a magánszférát, az intimitást, a személyes teret, a privacy-t, amelyik beszivárog az emberi kapcsolatokba.
Ez ugy hangzik, mintha attol felnel hogy beszippantanak azok a dolgok amiktol tavol akarsz maradni ha veszel egy okostelefont. Az egy ertheto erv a vasarlas ellen ha ugy gondolod, hogy nem csupan a banki appot hasznalnad rajta, hanem egybol befigyelne a tiktok, snapchat, stb. Lazan kapcsolodo cikk.
Amit leirsz, hogy elveszi a szabadsagod, stb. az nem igaz ha csupan ugy hasznalod mint egy celszerszamot. Pl. banki app feltelepitve, amikor nincs szukseg ra akkor kikapcsolva a fiokban hever vagy Faraday kalitkaban van.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Az SMS-el is, hiszen a regi telefonok nem tudtak olyat fogadni, muszaj volt ujat venned...
ami ráadásul nem örök
Mint ahogy a felhasznaloja sem, de meg a bolygo sem... Szerintem a butafonokat sem 200 eves elettartamra terveztek :)
A másik a privacy
Feltetelezem, hogy hasznalsz internetet ha szoktal ide irni. Gondolom az IP cimed alapjan nem vagy azonosithato a Google vagy a HUP szamara. Az SMS kepes telefonod helyzetet sem lehet bemerni haromszogelessel.
fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát
Nem tudom, biztosan. De elfogadhatod helyette az Apple ASZF-et vagy a Huawei ASZF-et ha nem tetszik a Google szerzodese.
Meg GPS, meg egy rakás szenzor, meg netkapcsolat, és ez így együtt.
Ha kizarolag bankolashoz kell akkor arra az 5 percre amig bekapcsolod es belepsz a netbankba nem mindegy, hogy milyen szenzorok vannak benne?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ha kizarolag bankolashoz kell akkor arra az 5 percre amig bekapcsolod es belepsz a netbankba nem mindegy, hogy milyen szenzorok vannak benne?
Ráadásul - mint az közismert már elhangzott - a működéshez nem szükséges sem netkapcsolat, sem GPS, nyugodtan maradhat offline / repülő üzemmódban, mindössze a nagyjából pontos időre van szüksége (hogy egyszerre váltson kódot a két oldal). Ebből a szempontból nem szükséges "okostelefon" hozzá, mert a kulcsgenerálás elfut egy kenyérpiritón is. A TOTP generálás nem platformfüggő, keresztbe-kasul mindenki olyan klienst használ hozzá, amit akar. Van opensource megoldás is, egyáltalán nem létszükséglet a nagy gyártók alkalmazásait használni, mégkevésbé egyes platformokat, ökoszisztémákat.
Meg eleve, mivel okostelefon nélkül a mobil (nem helyhez kötött) használat elég körülményes (telefonos bankolásnál még nem szoktak TOTP-t kérni), rendes számítógépen ezer megvalósítás közül választhatsz.
A telefonos megoldás azért praktikus, mert így a 2FA tényleg növeli a biztonságot: a "something you know" mellé lesz egy "something you have" faktorod is. Aminek persze valamilyen szinten az SMS is megfelel, ha nem lenne ennyire egyszerű hozzáférni.
Rádiózom, nem a levegőbe beszélek (amúgy dehogynem :D ) - kell hozzá egy pár ezer forintos SDR vevő, némi doksiolvasás és ügyeskedés, és gyakorlatilag tudod venni a környékbeli bázisállomás összes kiküldött SMS-ét. A GSM alapú SMS olyan, mint a telnet, csak még olyanabb, mert még wiretapping sem kell hozzá, szórja a bázisállomás plaintextben az üzeneteket..
Meg sem fordult a fejemben hogy az MFA-t és biometrikus azonosítást használó applikáción
kivül van egy elkúrt webszolgáltatásuk is ami nem követeli meg az MFA-t.
OTP-nél dolgozol egyébként hogy ilyen serényen véded a profitjukat?
Amíg de jure nem kötelező az Simple app/webes felület szolgáltatásaihoz az MFA... Ahogy ugye a magyarországponthu-hoz sem kötelező - a rossz nyelvek szerint azért sem, mert vannak azonosításra azt használó rendszerek, amik nem készültek fel a pluszos, 2FA-s loginra...
Szvsz. az, hogy a simple esetén nincs 2FA ugyan baj, de nem katasztrófa - sokkal nagyobb baj az, hogy a mohu-n nics kötelezően...
Nálam konkrétan opció sincs rá a mobilos app-ban (iOS).
Szerencsére a jogiosztály már letette az asztalra!
Tájékoztatunk, hogy 2023. 12.11-i hatállyal módosulnak a Simple Általános Felhasználási Feltételei, melyben a következő módosítások és új feltételek lépnek hatályba a jelzett dátumot követően:
– kétfaktoros Simple-fiók azonosítás bevezetése,
– "Full Extra" készülékbiztosítási csomag bevezetése,
– egyéb pontosítások.
Amiket én használok:
Parkolás: Parkl
Autópálya matrica: https://ematrica.nemzetiutdij.hu (én ezt használom, évest veszek, így évente csak 1-szer kell vele foglalkoznom)
Közlekedési jegy és bérlet: Mobiljegy alkalmazás (előre feltölthető az egyenleg az NMFR portálon (https://szolgaltatasok.nemzetimobilfizetes.hu/), nem kell bankkártyát rögzíteni benne)
MÁV jegy és bérlet: MÁV alkalmazás
Autópálya matrica:
- https://nemzetimobilfizetes.hu/applikaciok (Nemzeti Mobilfizetési Rendszer néven fut egy app Apple Store-ban, amivel tudsz parkolni, matricát venni és közlekedési mobiljegyet is venni)
Sok-sok betöltendő álláslehetőség az IT területen. Linkedin rendszeresen küldi a listát. Van hogy ugyanarról a posztról fél évente. Ha olyan jó hely lenne, nem lenne annyi üresedés.
Így inkább skippelem a lehetőséget. Álnéven az ott dolgozók megírhatnák, élhető hely-e amúgy, mert van egy sejtésem (hogy nem). Mármint az igazgatótanácsban biztos jó, de a melósrabszolga helyekre kíváncsi itt mindenki.
Voltam nemrég egy MBH AI rendezvényen. A MOL is előadott. Így AI, úgy AI náluk. Az AI csökkentette le a hotdog veszteséget. Előadása végére kiderült az input papír alapú rögzítésből van. Felröhögtem.
Mondjuk stat2 vagy valszám1 is elegendő erre, nem beszélve arról az elemi hibáról, hogy amikor nincs kínálat, akkor az egyén nem vesz semmit. Vagyis a veszteség csökkentése, forgalom csökkenést fog magával hozni.
Abból kiindulva h. tavaly (vagy már idén?) adták át a vadiúj csilivili irodájukat, látatlanban borítékolom mi szerepel a munkavégzés helye alatt a munkaszerződésekben.
Felhív / rám ír a MOL-os hr-s leányzó / hölgy / nő és a bérkérdés feltételekor jön a himi-humi - titkolózik a cég, majd nagy nehezen kipréselem belőle, hogy mennyit kínálnának. Aztán elmondom, hogy már 5-6 éve is többet kerestem ennél alkalmazottként Magyarországon. Én ezután sok sikert kívánok a kereséshez és elköszönünk egymástól. Fél óra el is ment az életemből feleslegesen.
Ez a kör ismétlődik 1-2 évente. Öreg vagyok én már ehhez....
A másik a HO ellenesség. Az egyik olyan cég, aki határozottan elzárkózik a HO támogatásától.
Persze a MOL-nál semmiféle parkolási lehetőséget nem tudnak biztosítani, ha véletlenül valaki nem tömegközlekedéssel járna be.
Főleg h. ott a környéken sehol nem tudsz megállni. A Dombóvári út kilőve. Budafoki úton sosincs hely. BME környékén meg már fizetős a parkolás. Gondolom a baszomnagy campus alá nem raktak elé mélygarázst (Duna közelsége miatt kb. -1 emelet lehet reálisan).
Van, akinek igen, de az ITban viszonylag sokan vannak, akik vmi külső kerületben, vagy agglomerációban laknak. Én konkrétan elég közel dolgozom a MOL toronyhoz (kb 1.5 km).
A maps szerint azzal, amivel reálisan megbízhatóan be tudok jutni, azzal 1:15 perc (ebből 15 perc elsétálni a kiindulási megállóig, ott végül is letehetném a kocsit, mert van P+R szerű valami, ha nem hatkor megyek, akkor jó eséllyel kb egy másik tetejére). Van egy gyakorlatilag direkt busz, amivel 1 óra bejutni (20 perc kiindulási séta, és ott nem igazán van hova tenni a kocsit).
Ez a busz majdnem pontosan arra megy, amerre én megyek kocsival. Ami a jelenlegi becslés szerint 23 perc. És ahogy bizonyos időjárásban nem szívesen bringázik az ember, abban nem szívesen sétál 15-20 percet sem. Hát ezért.
(És akkor azt még nem is mondtam, hogy jellemzően az ilyen-olyan elintézni, beszerezni valót simán megejtem azzal, hogy az útvonalon valahol megállok, amikor egyébként is arra megyek, nem kell emiatt külön köröket futni)
Szinten 1:15-re lakom onnan tomegkozlekedessel, ebbol 37 perc a seta, szoval ha egy ceg se HO lehetoseget nem ad, se parkolot, akkor nem egymast keressuk
Persze, ezzel nincs is semmi problema, ezert irtam, hogy az ilyen ceggel nem egymast keressuk.
Egyebkent en szivesen megyek az irodaba, nalunk van pl. 100% HO, de ettol meg lehet parkolot is foglalni, meg hat nagyforgalmu tomegkozlekedesi vonal mellett van az iroda, szoval BKK-zni is konnyebb.
Én is így vagyok ezzel, ide születtem. Ezzel együtt azzal szerintem semmi baj sincs, hogy igen, ez alapvetően az én bajom, ha emiatt nem lesz munka, akkor majd csinálok valamit. Cserébe az meg a cég baja, hogy ha a parkoló hiánya és a HO nem támogatása miatt nincs munkavállaló, azzal kezdjen ő valamit. Egyelőre nekem lejt a pálya.
Nyilván a bejárás ideje meg körülményei is véleményesek lehetnek. Én mindig is tömegközlekedtem munkába, nekem ez napi 2x1 óra (jó esetben az 1 óra az mondjuk 55 perc, ritkán 51-52 percre is lemehet). Ha jól emlékszem, itt írta valaki pár hónapja, hogy ő azért jár mindig autóval, mert ő nem fog napi 40 percet tömegközlekedni. Tessék, nekem egy irányban több az utazás, mégsem pöfékelem tele a várost. (Persze lehet, hogy félreértettem, és 2x40-re gondolt, mondjuk az is egész baráti.) De volt olyan munkatársam, aki Székesfehérvárról járt be Budapestre a 12 órás műszakba; ő még rajtunk is túltesz. Az időjárás viszont tényleg elronthatja az ember napját: volt egy egyetemi napom, amikor reggel befelé menet ázott át a cipőm és a zoknim is, ill. volt szerencsém egy 12 órás műszak előtt (szó szerint) bőrig ázni, hát mondhatom, egyik sem vicces.
Nézd, örülök neki, hogy te nem pöfékeled tele a várost, nekem nincs erre napi kb +1:45 órám, hogy ne pöfékeljem tele a várost. Volt, amikor volt, de már elmúlt. Egyébként nem pöfékelem tele a várost, meglehetősen kompromisszum képes vagyok. Ameddig a lehetőségem adott, nem vállalok el olyan munkát, ami hozzám képest a város másik felén van (pl vannak egész elfogadható cégek a grafisoft és környékéne, ahova biztos nem megyek), nem pöfögök be mindennap, és nem vállalok el olyan munkát, ami ezt igényli, kivételes esetben szopatom magam és másokat azzal, hogy olyankor autózzak be, amikor épp sokan vannak, hogy a dugóban pöföghessek. Ha a tömegközlekedés, vagy a részben tömegközlekedés reális alternatíva volna, használnám. Pl simán megyek a munkahelytől már inkább tömeggel a belváros irányába, ha ott van elintézni valóm, mert ott nagyjából egálban van a kettő, azonban a 3x-os szorzó nem reális alternatíva.
Cserébe azért bizony abban is legyen kompromisszumkészség, aki úgy döntött, hogy ő márpedig Budapesten akar lakni, mert akkor közelebb van a munka meg a mozi meg a tudom is én, az bizony vegye tudomásul, hogy oda mások bizony időnként kocsival fognak bemenni sokan, mert az egy nagyváros. Az nem működik, hogy a faszt képzelsz magadról, te menjél plusz majd két órát naponta, vagy vállalj sokkal szarabb munkát, mert nekem jár a közelemben a sok jó munkahely, és a nem büdös élettér.
Ez már nagyon offtopic. Szerintem. De azért leírom a véleményem.
-1000.
Mindennek megvan a normális sorrendje az életben. A dugódíjhoz először legyen normális tömegközlekedés, legyen P+R, aztán örömmel fizetem ki én a dugódíjat, ha be kell mennem a nagyfaluba privát célból autóval.
Ha meg céges célból megyek be, akkor meg a cég fizeti ki. Pontosabban a cég ügyfelei. Vagy az ügyfeleinek az ügyfelei. Röviden: végfelhasználók.
Gyereket is úgy illik vállalni, hogy legyen hol lakni, legyen meg az anyagi, érzelmi, mentális biztonság először. Normális ember a "semmire" nem szül gyereket. Szerintem.
Mindazonáltal ha nekem nagyfaluba (Bp-re) kell mennem orvosi célból, mert nem tudnak / akarnak vidéken ellátni, akkor mennyire etikus a dugódíjat elkérni? És nem csak Bp. agglomerációból küldenek be valakit az Uzsokiba, Honvédba, Bajcsyba, Szent Imrébe stb., hanem 200-300 km-ről is.
Járni, mozogni alig tudó rokonokat meg csak autóval vihetem. Igen, akár havi 2-3 alkalommal is.
Szóval véleményem szerint a dugódíj bevezetése sem nem etikus, sem nem megoldás, sem nem észszerű. Jelenleg. Ha az előfeltételek teljesültek, akkor lehet róla szó.
Igen, ez a kényelmes patópálos szöveg: 'először legyen meg minden is, ha meg az megvan, majd kitalálunk mást, lényeg, hogy sohanapján'.
Pl. tömegközlekedés: amíg az utak telítettek autóval, addig autóval szívás menni a dugók miatt. A tömegközlekedés (busz esetén) ugyanazokon az utakon megy, mert nincs másik, tehát az is áll a dugóban, csak a megállók miatt még lassabb, vagyis soha nem lesz más. Addig viszont üresen jár, ha fejlesztik, akkor sem lesz tele az előbbi okok miatt. Mindenhová meg nem lehet kötöttpályás közlekedést vinni, de akkor is jönne az, hogy 'nincs hely az állomás előtt parkolni, marad az autó'. Tanulság: nem lesz tömegközlekedés. A P+R emlegetése pedig vagy szűklátókörűség, vagy humbug. Hány autó jár be Budapestre naponta az agglomerációból? Mekkora parkolók kellenének, ha azok a város szélén legalább 50-60%-ban leállnának? Annyi hely egyszerűen nincs.
Mennyire etikus dugódíjat elkérni, ha be kell menni Budapestre? Jó kérdés. Ne adják hozzá ingyen a benzint is vagy a tömegközlekedést etikai megfontolásból? Az életnek vannak költségei, ezek adott esetben lakóhelytől függően mások és mások, amit szintén figyelembe kell venni a lakóhely megváltoztatásánál.
Amivel egyetértek: legyen jobb ellátás vidéken, mint jelenleg. Hogy ezt hogyan lehet elérni, természetesen nem tudom, de minden ellátáshoz kell egy adott mennyiségű kereslet. Amíg olcsóbb bemenni Budapestre, kisebb lesz a helyi kereslet mindenre, így nem is fog megteremtődni a kínálat sem.
A P+R nem ördögtől való, és jellemzően a több kisebb működik, több "fokozatban". A P+R mellett az agglomerációs "behordó" járatokra való ráhordás (elektromos buszok pl, kiváló töltési lehetőség lehetne a vasútállomáson), az ottani helyi közlekedés fejlesztése (jobb esetben optimalizálása) lenne fontos. Az valóban nem járja, hogy 10 szintes (-3-mal induló...) óriási borg kockaként pöffeszkedő P+R-ek legyenek. A P+R-eknél az elektromos autózás is támogatható több lassú töltővel. Nem kell millió kWh, viszont rögtön fel lehet pakolni a napelemet, helyi akksipakkot, és lennne mondjuk 3-4db gyorsabb töltő (50-100kW, de erős időkorláttal), és lennének 5-10kW-os, választható teljesítményű DC töltők (lassú occó, gyors drága).
Az esztergomi vonal a felújítása utáni 4. évben túlterhelt, erősen P+R hiányos, pedig már emeletes KISS-ek járnak, amiken nem két ember fér el. Például kerékpáros parkolók, nagyobb kerékpár befogadós vonatok az elővárásokba, szóval vannak megoldások, nem csak ötletek.
A "hát ezt nem lehet", a beletörődés, és a pénztelenség, és ha van, akkor pedig az alultervezés már soksok éve probléma. Az egész eredője pedig, hogy koncepció nélkül, vagy néha 1-1 koncepció indulással történik valami, de utána sokáig semmi nem történik, lásd még választási időszakok. Ugyanis az összes ilyen fejlesztés eleve évek alatt valósul meg, vagy érik el a részfeladatok a kritikus tömeget, és ezeknek egymásra kell épülnie.
A behajtási díjat olyan formán lenne jobb megvalósítani, hogy a parkoláshoz az indulási, vagy minimumdíj zónánként emelkedik szépen.
Ha vesszük Rákospalota-Újpestet, mint vasúti megállót, pláne azért mert ott a veresegyházi vonal fejlesztés miatt vízionáltak teherforgalmat, ott ahol sosem volt érdemi (heti 1 kocsi eldöcögése nem teherforgalom, hanem érdekesség), és jött a hörgés. Ahhoz a történethez szükséges lenne a teljes nyugatiba menő vasúthálózat érdemi újjáépítése (kb. dunakeszi alsótól olyan 20 perc amíg becsattog a vonat, egy vicc), a metró minimum odáig meghosszabbítása rendkívül fontos lenne. Aztán pedig ott lenne bőségesen hely P+R-nek, az oda nagyon jó lenne, illetve a külsőbb megállóknál is fejleszteni, építeni. Ez nem csak a külsővárosok, hanem az Újpest, Újpalota, Kápmegyeri régiónak (ahol nem 2-en laknak) is óriási lépés lenne. Arra már gondolni sem merek, hogy mi lenne, hogy elkészülne a déli-nyugati vasúti alagút, és hipphop budára, és tovább, el lehetne jutni, és fordítva. Hiába 10 éves, meg 20 éves projektek, ezeket azért nem kezdik el, mert hát nagyon messze van, hja, de sosem lesz kész, pláne akkora, hogy ha visszaadjuk az ingyenpénzt, magára a _tervezésre_. Meg lehet nézni, hogy Bécsben, Prágában, Münchenben, Varsóban milyen és mekkora fejlesztések futnak, készültek épp el, vagy vannak indulófélben. Müncheni példában az a helyzet, hogy a főpályaudvarnál 3-4 villamos, 4 metró, és 4 hév (S-Bahn, ez inkább nálunk a Flirt/KISS jellegű dolog) fut össze, és most furtak mégegy alagutat, hiszen még keresztben nem ment semmi...
S71 / G71 vonalról van szó (Budapest Nyugati p.u. - Veresegyház - Vác vonal):
1. Nem igaz, hogy soha nem volt rajta teherforgalom. 30-40-60 évvel ezelőtt mindegyik állomáson (nem megállóhelyen) volt tüzép. Szénlerakat, falerakat, építőanyagok. Ennek nyomai még ma is felfedezhetőek a tartalék / parkoló vágányok révén (Fót, Veresegyház, Őrbottyán, Vácrátót). Csak a villamosításkor ezen vágányok egy részét is elbontották - mondván felesleges már (ami meg erős szűklátókörűség).
2. Volt téglagyár is Erdőkertesen. Igaz, hogy már régen szanálták a gyárat, a nyomai még mindig felfedezhetőek - pl: a Fő út kialakítása, vágánynyomok. Illetve üzemelt / üzemel egy téglagyár Őrbottyánban is.
3. A vonal legnagyobb hibái:
- Csak 1 vágány van Rákospalota-Újpesttől Vácrátótig. Ígérték a 2 vágányúsítást már a 80-s években is, a 90-s évekbeli villanyosításkor is. Még mindig nem lett belőle semmi. Most épp valami környezeti hatástanulmány előkészítő projekt fut erre a célra.
- A pálya kialakítása nem teszi lehető a nagy pályasebességet. Lásd: Fótújfalunál a pálya a megállóban annyira bedől, hogy erősen kapaszkodni kellett a régi vonatkocsikban le- és felszálláskor. De még az alacsonypadlósoknál is erősen érezni, hogy átesel a vonat túloldalára. Fótfürdő és Csomád között telente / nyaranta rendszeresen előfordul, hogy csak 15 km/h-val tud haladni a kanyarban a vonat. Dől a pálya + hőtágulás / zsugorodás. Szabályszerűen hallani, érezni, ahogy a sín és a kerekek nyírják egymást a kanyarban.
- Képesek voltak a vonatpálya mellé lakóházakat építeni. Van, amelyik csak 5-10 méterre van a vonattól.
4. Olyan sokan utaznak a vonaton, hogy sokszor már a végállomásokon se tud rá az ember felszállni csúcsidőben (hétköznap reggel 6-8 között, délután 16-19 között).
5. A vonatok rendszeresen kimaradnak. Tájékoztatás nuku. Tiszta "kaland és élmény".
6. Lerobbanó szerelvények. Élmény, amikor a célállomás előtti utolsó állomáson lerobban a szerelvény, tájékoztatást hamarabb kapok a MÁV alkalmazásból, mint a kalauztól / jegykezelőtől. Majd fél órányi várakozás után előkerül a jegykezelő, leszállítanak mindenkit és 1 óra 20 percet szobroztunk egy forró augusztusi kora estén 18 óra körül, hogy a váltó végre működjön és tovább tudjon mindenki menni.
Ugyanez ment 30-40-50 éve is ezen a vonalon, nem változott semmi. Csak akkor még volt ember, akit lehetett kérdezni. Meg volt bakter minden állomáson és megállóhelyen, aki javította a váltókat, is ha kellett.
A Volánbusz - ami egy ideig együtt halad a vonattal (318, 319-s vonal) - szintén iszonyatosan túlterhelt.
Szóval hová a ****-ba akarnak még több embert itt tömegközlekedésre kényszeríteni???!!!
1-2: Nem a szocialista ipar maradványairól van szó, hanem hogy most lenne-e, mert fejlesztik... Elég jól tudom, hogy régen előfordultak tehervonatok kb mindenhol, de nagyon-nagyon kikoptak a kis vonalakról, sőt a komolyabb mellékvonalakról szintén. Ha kisebb állomáson jársz, vagy régen nagy forgalmún, akkor ott rohadnak a darabárúraktárak, és az ilyen olyan rakodók. Egyébként ha munkaidőben, munkanapon előfordul heti 1-2 tehervonat, hát akkor milesz? 15-30 perces személyvonati közlekedés mellett csúcsidőben üde színfolt. (A zajról azt tudom mondani, hogy a tehervagonok esetén komoly zajkibocsájtási szigorítás van folyamatban, persze felmenő rendszerben, a fékpor kérdése ott is előtérbe került. https://iho.hu/hirek/zajcsokkentes-masfel-milliard-forintert-nem-hallja…)
3: Igen, ezt támadták a helyi önkormányzattól. Vajh az nem zavarja a népet, hogy ha bemegy Bp-re melózni, akkor a gatyájuk rámegy a parkolásra?
4: Igen, ezért kéne oda nagyon a fejlesztés. :) Ahogy írtam, alultervezés...
5: Sajnos máshol is, nagyon ki van számolva a Flirt (helyesen FLIRT, mert egy remek svájci német mozaikszó) flotta.
Szóval a cél az lenne, hogy elsőre nagyon komoly közösségi közlekedési fejlesztés, azok amiket leírtál abszolút problémák, ezért jönne második vágány, felüljárós keresztezés kápmegyer elején. Erősítés a gördülőállományban ésatöbbi. Szóval maga az, hogy komoly (térugrás szerű) fejlődés van, az maga "terel" a tömegközlekedésre, és ha már az jó, akkor lehet egyéb eszközökkel "finoman jelezni", hogy esetleg tömegközledni kéne, mert van és jó (tényleg jó..., csak ritkán sikerül). Máshogy nem megy, csak a 10-20-30 éves koncepciókkal, és folyamatos fejlesztéssel. Ehhez képest jegelték ezeket, legalábbis remélhető, hogy nem teljesen törölték.
Ez most kiemelt példa, de ezek több helyen jelen lévő problémák. Sőt Lajosmizse felé a vonatok állapota sem mindíg nyerő, hiszen az dízeles vonal.
Sorry az offért, a közlekedés minőségét elég jelentős figyelemmel kísérem. A látszat ellenére sem ragaszkodnék mindenhol ugyanahhoz a szentgrál szerű megoldáshoz, de jellemzően az óriási első lépés nagyon hasonlóra jön ki, mert nagyon régen beégettek a mostani állapotok.
De hát a te általad számonkért mondás arra volt reakció, én azt mondtam, hogy arra bizony amilyen az adjon isten, azért olyan. Nem a te válaszodra vonatkozott, hanem arra, hogy értsd, hogy miért olyan az,amilyen.
Úgy értem a nem működiket, hogy kevésbé elegáns, hogy mindenki hozzám igazodjon, mert ha nem akkor ő egy rohadék ökoterrorista. Azért van dugó budapesten igen nagy részben, mert a) rohadtul oda van központosodva minden, szóval "muszály" bemenni, b) a tágan vett belvárost leszámítva a tömegközlekedés rohadtul nem reális alternatíva.
És azért jó budapesten élni, mert oda van központosodva minden, és minden közel van. Aztán bubuka felköltözik a jóba mondjuk bivalybasznádról, és utána háborog, hogy hát itt büdös van, és neki ne legyen büdös, aki nem az ő kompromisszumát választotta, az szopjon hosszan, mert neki joga van nem büdösben lenni közel a jóhoz, az egy igen állszent hozzáállás.
Egyébként meg a dugódíj önmagában faszt se oldana meg. Amíg igény van rá, hogy emberek bemenjenek, addig be fognak menni, max nekik lesz valamivel rosszabb, én a jelenlegi helyzetben simán figyelembe venném ezt bértárgyaláskor, aztán szevasz. És ameddig igény van rá (márpedig az nem várható, hogy az autómentesen működő városrész lakossága kiszolgálja a cégeket, és azok elengedhessék az azon kívül élő talent poolt), addig ez simán ki lesz fizetve.
Ahhoz, hogy érdemben változást legyen, ahhoz: a) csökkenteni kell a mobilitásra az igényt (rohadtul nem kéne a vízfej, a fasz se akar bejárni, csak hát amíg odabent van a rendes munka, meg a rendes szórakozás, meg egy csomó állambácsi dolga) b) érdemben javítani kéne az alternatívákon (sokkal jobb tömegközlekedés, átgondolt Home Office, bár ezt a COVID egész jól megoldotta). Akkor van értelme ellensúlyként dugódíjjal operálni, hogy javítsa ezeket az alternatívákat comparatíve, de ezek nélkül hacsak nem baszod fel annyira a dugódíjat, hogy a cégek nagy tételben költözzenek el a picsába kintebb, akkor nem lesz érezhető hatása.
A dugódíj hozhat változást. Csak nem önmagában, ahogy az locsemege kolléga vizionálta. ("be kell vezetni a dugódíjat, és a probléma meg van oldva"). Egy normálisan tervezett változás csomag részeként tud működni, idővel, de önmagában szart se ér. És sajnos nem látszik, hogy a többi dolog érdemben történne. Van néha egy-egy pozitív megnozdulás, de elég esetleges, és időnként egyet előre kettőt hátra érzése van az embernek (zonázó menetrend kivezetése, valaki).
A pénz meg külön mókás, én szoktam mondani, mikor vki előveszi a nem Budapest baja, csináljon az agglomeráció amit akar kártyát, hogy akkor viszont az iparűzési rám eső részét is oda kérném.
A Duna túloldalán -3 szintes mélygarázsok vannak. Igaz, a part és az irodaházak közt van egy HÉV vonal meg egy sétány, de azért elég közel vannak a Dunához. Persze egy 6-7 emeletes épület alá -3 szinttel is korlátozott a parkolási lehetőség, a MOL toronynál nyilván még rosszabbak az arányok.
Amíg az erste székház mellé jártam melózni, Árpád híd pesti oldala, az irodaházban csak -1 volt a parkolónak. Mikor 2013-ban a nagy árvíz volt, nálunk a -1-en is állt a víz.
2013-ban egy műemlékvédelem alatt álló épületben dolgoztam (fő telephely) a Váci úton a 13. kerületben. A pincében 1-1,5 méter magasan állt a víz. Mentek a szivattyúk éjjel-nappal. Megvolt a havaria terv is, hogy hogyan költöztessük át a teljes IT-t a másik telephelyre, ha beüt a krach.
Úgy általánosságban, az NDA betartatásáért fizetnek amúgy cserébe, v. ha nem írod alá, majd találnak másik balekot aki ingyen bevállal mindenféle titoktartást? (Tudom tudom, még arról se szabad beszélni h. miről nem szabad beszélni) Ha megszűnik a munkaviszony adott cégnél, az NDA-s hallgatás hány évig kell tartson még utána? Azért viszont plusszban fizetnek? Ugye olyat nem lehet h. utána ha elmentél, akkor halálodig tartsd a szád. Mármint persze mindent lehet akarni munkáltatói oldalról, de nem mindennek van realitása.
Pénz... Mindig csak az a fránya pénz lebeg mindenki szeme előtt...
Életem végéig tart. Mi ebben a meglepő?
Egyrészt ha kiderül, hogy én szivárogtattam ki (akarva / akaratlanul), akkor szénné perelhetnek. Másrészt bűncselekményt is elkövetek bizonyos esetekben.
Továbbá nekem sem feltétlenül érdekem, hogy XY intézmény / hivatal / cég bizalmas információit kiadjam, ha használom a szolgáltatásaikat (közvetve vagy közvetlenül).
Pesti oldal, Lágymányosi híd mellett majdnem, -3 szint a munkahelyemen. Tény, én csak a -1-re megyek le a bringával, de nem találkoztam árvízzel. Kb. 11-12 éve költöztünk oda. Persze lehet, hogy a -3-on már víz alatt álltak az autók, de ez engem nem érint, szóval #worksforme. Bár feltehetően hallottam volna róla :)
A Duna Tower irodaházban dolgozom, kb 50 méterre lehet a Dunától, és -3 parkoló szintje van. Nem emlékszem az ott töltött 15 évem alatt, hogy elázott volna.
Valószínűleg be is áznak időnként. Mint például a BME I épület garázsa is, a BME R épület pincéi. Nem véletlenül "Lágymányos" a terület neve budai oldalon. Egyfajta küzdelem ott a megfelelő vízszigetelés.
Biztos meg is kérik az árát a környéken, tudva h. a mol-nak nincs pénze parkolót építeni. Más nem nagyon van közvetlen azon a környéken h. kelljen neki rendszeres parkoló.
De van: Infopark. BME + ELTE. Bár az ELTE-nek van saját parkolója. A BME I és Q épület alatt meg korlátozott a hely.
Továbbá az Infoparkot körülvevő utcákat tavaly nyáron tették fizetőssé. Azóta legalább nem roncsautó bontó kinézete van a Neumann János utcának.
Azt csak a joisten tudja, nekem peldaul valamiert brutto ~1.1 millio forintot gondolt realisnak felajanlani a recruiter egy senior .NET fejleszto poziciora, es ez 2023-as adat.
Basszus, ha én ezt tudom, akkor elvállaltam volna bruttó 700e Ft-ért is az IT infra senior architect pozíciót 2021-ben. De a heti 1 HO, a 10 %-os éves bónusz, a 13. havi fizetés, magas éves cafetéria keret nem győzött meg. Tudom, bennem van a hiba... :D :D :D
Hagyomanyos bankoknal ez sosem fog megvalosulni. Amig a menedzsment ujratermeli a semmirekello nagyon fontos(tm) meetingeken ulo onmagat, amely retteg barminemu agilis szemlelettol, addig marad az a szemlelet hogy az IT egy szukseges rossz, amit naluk meg informatikanak hivnak, es banannal fizetnek.
Amíg mancibacsi/mancibacsijelszava-123 usernév/jelszó párossal fog Manci néni és a párja mindenhova _is_ regisztrálni, addig ha megfeszülnek sem fognak tudni az ilyen, máshonnan kikerült user/jelszó adatbázis alapon működő támadás ellen sokat tenni. A 2FA ezen mondjuk tudna segíteni, de... Van már a magyarországponthu-n és az azt használó rendszereken kötelezően 2FA...? Na ugye...
Webes bejelentkezésnél volt egyáltalán MFA a Simple-ben?
Gondolom nem véletlenül tiltották le a webes bejelentkezéseket..
Tájékoztatás a Simple-fiók bejelentkezés átmeneti szüneteltetéséről
Tájékoztatunk, hogy a simple.hu felületen átmenetileg szünetel a felhasználói Simple-fiókba való bejelentkezési lehetőség. FIókodat a Simple vagy Simple Classic alkalmazáson, vagy az ügyfélszolgálaton keresztül tudod kezelni:
Hja már megint az pöffeszkedés h hát a user a hülye, közben felhasad az igazság, h a bank folyamatosan megtéveszti az ügyfeleit amikor azt állítja magáról h biztonságos, és persze a káresemény bekövetkeztekor nem akar jót állni, hanem az ügyvédeit uszítja az ügyfélre. Jó irányba kéne felülni már a lóra, ha a felhasználók 99% 1234 jelszót használ, akkor kritikus rendszereket nem üzemeletetünk jelszó bekéréssel - vagy ha igen. akkor minden káreseménynél jót kell állni ügyvédkedés nélkül! Ilyen a box!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ezzel csak az a baj, hogy akkor kötelezik az ügyfelet az okostelefon használatára, ami egy kötelező plusz költség, illetve sérül a privacy. Miért vegyek meg egy drága készüléket, ami a nyomkövetőm egyben, miért fizessek még net elérést is hozzá? Azért, hogy ahhoz a pénzemhez hozzáférjek, ami az enyém, amiért megdolgoztam, ami után már adóztam?
Feltételezem hogy inkább fizettél volna havonta 500 Ft-ot az SMS alapú MFA-t tartalmazó Simple csomagért,
amennyiben tájékoztattak volna hogy egyébként nincs garancia rá hogy nem viszik el az adataidat...
Nem, a valódi probléma az, h a bank nem-biztonságos szolgáltatásának igénybevételére köteleznek mert átutalással kapod a fizut. Ezért mondom mindig, h kötelezően kpben kéne kiadni a fizetést! Utána ha valaki akarja, akkor berakhatja a pénzét a bankba. Ez tiszta helyzetet teremtene.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Igen, így ezzel egyetértek. Vagy valóban utalhat a cég is, de ne ez legyen az elvárt vagy az alapértelmezett. De tudom, ha már megengedjük, akkor megy a nyomásgyakorlás, ami alárendelt viszonyban nem túl jó.
Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve, a jelenlegi jogszabályi környezet és az ügyfelek számára is nagy tételben rendelkezésre álló, könnyen használható eszközökre építve.
Kaphatod, pontosabban kérheted kp.-ben, csak akkor a munkáltatónak legyen lehetősége a kp.kezelés teljes költségét rádverni - ahogy azt korábban kitárgyaltuk.
Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve
Nálad tudjuk, hogy ez azt jelenti, hogy kötelező okostelefon-használat.
Amúgy pont most jött szembe velem egy Allianzos 2FA - webes bejelentezés után kirak egy QR kódot, és hogy használjam okostelón a Google Authentikátort. Miközben a QR kód nem más, mint egy URL TOTP seeddel, így egy QR kód olvasó és az oathool --totp -b XXX paranccsal máris megvan a 2FA kódom. Itt miért köteleznek az okostelóra? Miért nem mutatja meg a TOTP seedet a QR kódon kívül? Security by obscurity, nem más ez.
Ez kb. ugyanaz a kamu, mint amikor egy levélmelléklet vagy letölthető dokumentum PDF-ben van, és azt hazudják, hogy "Adóbé Ríder kell a megnyitáshoz". Az ember meg találgat, hogy butaságból hazudnak, vagy rossz szándékból. (És vajon melyik a rosszabb...)
A felhasználók döntő részének az Adobe Reader teljesen jó a jelszavas pédéefhez, ahogy a 2FA-hoz is a GA vagy a Microsoft hasonló mobilos alkalmazása a standard megoldás - ezekhez van meg a másik oldalon szükséges támogatáshoz az ismeret.
A PDF-ek döntő része nincs titkosítva (pl. BKK menetrendek, netes vásárlások számlái, termékadatlapok, PDF formátumú e-könyvek, szinte bármilyen letölthető PDF doksi), de a jelszavazást még a muPDF is kezeli, pedig én kinéztem volna belőle, hogy nem tudja. (Ha már inkompatibilitást kéne emlegetni, akkor én a PDF-űrlapokat meg a PDF aláírását említeném, de előbbi szerencsére sokszor megy mással is, utóbbi meg hál'Istennek ritka.) Mindezzel együtt netó hazugság, hogy PDF megnyitásához Adobe kell. Az esetek ~95+%-ában nem kell.
Semmiképpen sem "bankolénk" a telefonon. Ez valami olyan úri huncutság, amit nem merek magamnak megengedni. Egy tömegek által használt oprendszer és az ahhoz kötelezően letöltendő app kifejezetten céllá teszi a támadások ellen.
Kösz, inkább a desktop-omon végzem el az utalásokat. Nem látom értelmét, hogy miért kéne a villamoson utazva utalgatni.
+1.
Én is ezt vallom. És az emberek 99 %-a nem érti, hogy miért nem bankolok mobilról, ha megoldható másképp is. Akármennyire is biztonságosnak vélik a mobilokat, mobil OS-eket.
"Egy tömegek által használt oprendszer és az ahhoz kötelezően letöltendő app kifejezetten céllá teszi a támadások ellen." - Gondolom, akkor Linux/Windows/MacOS alól sima böngészővel sem bankolsz...
"Nem látom értelmét, hogy miért kéne a villamoson utazva utalgatni." - Mert mondjuk nem viszed mindenhova magaddal a nem tömegek által használt OS-t futtató desktop-odat...? (Pl. nyaralás, hosszabb szabadság...)
csoportos beszedésekre ránézés is benne van a bankszámla mobilról történő kezelésében...
Ritkan ertek egyet locsmegevel banki temaban, de nyaralas alatt tenyleg ne a csoportos beszedest nezegesd. Az pont azert lett kitalalva, hogy ne kelljen nezegetni.
Majd felelek, ha hazaertem a nyaralasbol, addig varjon a szolgaltato turelemmel.
Amugy nagyon kemeny, hogy tud valaki ennyire rettegesben elni. Mert mi van, ha nem fizetek idoben? Ram vernek szaz forint kesedelmi dijat? Es akkor mi van?
Egy példa volt, de nyugodtan kapaszkodj bele. És igen, ha megáll egy csop.besz. akkor te, mint üf. felelsz érte, és például neked veszik el a késedelmes fizetés miatt a kedvezményedet.
Oke, semmi gond, majd a kovetkezo honapban visszaadjak.
El is kepzelem magam, ahogy fekszem a tengerparton, kezemben a haromezer forintos tularazott sor, es azon aggodom, hogy vajon kapok-e 500 forint buntetest a szolgaltatotol, mire hazaerek.
Most peldaul van 100 forint tartozasom egy konyvtarban, mert 2 nap kesessel vittem vissza egy konyvet, de kit erdekel? Akkor ur egy ur, ha pazar!
Mondjar konkret problemakat, es akkor lesz valaszom rajuk.
A kartyalimit az egyetlen, valamennyire valos felvetesed a felsorolasban. Valtasi arfolyam, hogyne mar, majd az alapjan dontom el, iszom-e egy sort a strandon, hogy mennyi az euro.
Fura, ha én nyaralok, ilyeneket mind nem csinálok. Okostelefonom nincs, a kis, 11.6"-os notebookomat szoktam vinni, de leginkább zenehallgatás, filmnézés, környékbeli programok keresése, térkép miatt. Eszembe nem jutna bármilyen banki művelet, de régebben számítógépet sem vittem magammal. Nyaraláshoz nem kell semmilyen informatikai eszköz.
Te aggódsz, hogy a FULL offline működő TOTP-vel a magánéletedet mindenestől elviszik... Én nem agódom, csak mondatm több okot, hogy miért a mobilos bankolás - ebből egybe kapaszkodott bele az olvtárs...
a FULL offline működő TOTP-vel a magánéletedet mindenestől elviszik
Nem ez volt az aggodalom tárgya, hanem az, hogy csak okostelefonnal, bagy csak valamelyik amerikai multi cég közreműködésével lehet elintézni egy rakás dolgot.
a bank folyamatosan megtéveszti az ügyfeleit amikor azt állítja magáról h biztonságos
+1
Van magyarorszagi bank, ahol letilthato az SMS, mint masodik faktor? Nincs.
Van magyarorszagi bank, ahol van FIDO2? Nincs.
Van magyarorszagi bank, ahol van legalabb valami proprietary hardveres token? Nincs.
Az SMS, mint fallback van a push mellett elég sok helyen, ergo ha nem akarod, nem használod. A hardvertokennel két gond van. Az egyik, hogy drága, a másik - és ezt egy másik topicban szerintemmár írtam - rengeteg extra adminisztrációval, szabályzattal, folyamatokkal jár. Mert ha a bank veszi meg, akkor azt valahogy megfelelően dokumentálva ki kell adnia az ügyfélnek, nyilván kell tartania, hogy kinél,melyik eszköz van kint, ha gondja van az üf.-nek vele, akkor személyesen elérhető supportot kell adnia (minden bankfiókban legyen arra megfelelően kioktatott munkatárs?), ha az üf. hozza, akkor nagyon alaposan specifikálni kell, hogy mit, milyen verziót fogad el a bank, és ha nem az, nem olyan, akkor az üf. nem panaszkodhat.
Azért ez nem egy megugorhatatlan feladat a banknak. Pl: K&H sokáig adott kártyaolvasót chipkártyával vállalkozóknak. És működött, soha nem volt vele gondom.
Egyébként meg árazza be ezt a bank. És akkor oda viszem a pénzem, befektetéseim, megtakarításaim.
Nem mondtam, hogy adott szűk ügyfélkörre nem lehet megoldani, de mindenkire kiterjedően azért elég meredek összegekről beszélhetünk, akár egy közepes bank esetében is. És azt sem szabad elfelejteni, hogy az ügyfél kényelmet, egyszerűséget szeretne. Nem olyat, hogy ott a mobil, rajta az app, ami kér biometriát, és utána még azt a kis kütyüt is rakjam oda az nfc-olvasó közelébe, hogy minden jó legyen... (Bizony, 2023 van, lassan 2024 - és a mobilos felület használata bizonyos területeken bőven megelőzi a desktop/böngészős használatot, úgyhogy _elsősorban_ mobilos app/szolgáltatások irányába megy minden bank...) Ha meg csak opcionális a tokenes ba...akodás, akkor meg nagyon az fog kijönni, hogy minimális számú ügyfélre kellene elkölteni több zsák pénzt.
...aztan amikor megkapja az egyszeruseget, es levesznek 30 millat a szamlajarol, akkor megy picsogni az indexhez, hogy kerem ujsagiro ur, engem megkarositottak.
Nem olyat, hogy ott a mobil, rajta az app, ami kér biometriát, és utána még azt a kis kütyüt is rakjam oda az nfc-olvasó közelébe, hogy minden jó legyen...
De lattal mar fido tokent? Itt van a kulcstartomon. En csak annyit kerek, hogy amikor egy csaladi haz arat elutalom, akkor ne egy fiszemfaszom SMS koddal kelljen szorakozni, hanem a kulcstartomat kelljen odatartani a telefonomhoz.
Az, akinek ekkora összeget elvittek, az jellemzően a kellő gondosság témában eléggé alacsony szinten járt.
"lattal mar fido tokent? Itt van a kulcstartomon." - Az enyémen is van egy... (Anno SecureID-ból volt, hogy 2-3 darab is kellett a napi munkához, ez legalább pici...)
"a kulcstartomat kelljen odatartani a telefonomhoz" - Tehát a biometria _mellett_ (vagy helyett?) legyen egy plusz eszköz is. Oké. Neked ez kényelmes, de milyen értékhatár, milyen tranzakciótipus, esetleg milyen egyéb körülmény(ek) figyelembe vételével kérjen a mobilos app illetve a webes felület harmadik (vagy a biometria helyett fido-s) faktort? Mert gondolom egy 300Ft-os utalás esetén nagyon nem szeretnél ilyennel ...akodni...
És ezt kéretik lefejleszteni a mobilbanki/netbanki rendszer minden érintett rétegében...
És ezt kéretik lefejleszteni a mobilbanki/netbanki rendszer minden érintett rétegében...
Karbonlábnyomra bezzeg van idő/pénz.
Egyébkén egy bizonyos értékhatár felett nyugodtan lehetne hardware tokenes kötelezettség, az, hogy több millió forintot el tudsz baszni 5 sec tapizással, az inkább ijesztő, mint kényelmes.
Az SMS, mint fallback van a push mellett elég sok helyen, ergo ha nem akarod, nem használod.
Nem erted. Peldaul az apple/google pay hijacking alapja, hogy a user kap egy SMS-t, azt kell megszerezni, es maris rakerul a kartyad tokenje a filippino scammer telefonjara. Emiatt szeretnek olyan beallitast, hogy ne lehessen fallback authkent sem hasznalni az SMS-t. Ha elvesztem a soft/hard tokent, bemegyek a fiokba ujat kerni. SMS nem kell, koszi.
Az egyik, hogy drága
Kifizetem!
rengeteg extra adminisztrációval, szabályzattal, folyamatokkal jár.
Nekem anno volt hardveres tokenem mezei folyoszamlahoz, majd a bank rengeteg extra adminisztracioval, folyamatvaltoztatassal, szabalyzat-atirassal kivezette.
Volt -> nem volt. Es most azzal ervelsz, hogy melos lenne bevezetni. Hat talan nem kellett volna kivezetni, lol.
Az sms fallback-el az a baj, hogy oké, hogy te nem használod, de a támadó, ha már kompromittálta az sms elérésed, akkor saját maga kéri a banktól az sms fallback-et és máris ugyanott vagy: ő is megkapja és már authentikálta is magát vele.
De nyilván valamilyen net független failback kell, szerintem egy totp is jobb lenne az sms-nél.
Milyen a piaci igény rá? Légyszives adj egy becslést hozzá... mert a "kéne" az messze van attól, hogy érdemes legyen akár csak brainstorming-szinten foglalkozni vele.
nekem nincs olyan svajci online bank hozzaferesem, ahol ne lenne kotelezo 2FA. es nincs SMS fallback. a sajat authenticator appjukkal kell QR kodot scannelni. szoval ne terelj.
Magyarországról volt szó... És az SMS fallback kivezetése majd akkor jöhet elő, amikor az ügyfeleknél lesz megfelelő eszköz. Az opcionális kivezetése meg megoldható, de az is fejlesztés, és amíg a nagytudású, aranyszájú, mindenben mindenek felett álló MNB egyéb f...ságokkal szivatja a bankokat, amiknek ugyanígy megvan a nem kicsi fejlesztési/bevezetési költsége, addig ilyesmire kevés esélyt látok, hogy valaki belevágjon.
Ha tömegével jeleznék az ügyfelek, akkor lenne rá érdemben lehetőség/akarat, hogy az üzlet elindítsa ennek a fejlesztésnek az átgondolását, "beárazását", de addig, amíg ez nincs, nem hiszem, hogy rárepülnének akármelyik banknál...
És a másik, hogy egy megoldás nem megoldás, ergo az SMS-es fallback kikapcsolása/tiltása esetén mi lenne a tartalék második faktor? A QR-kód vagy épp TOTP irány jó is lehetne, de megint csak az a kérdés, hogy mennyibe kerülne? Mondjuk SCA sms-ek költségén (nem hárítható át az ügyfélre) lehetne spórolni vele, az biztos...
És a másik, hogy egy megoldás nem megoldás, ergo az SMS-es fallback kikapcsolása/tiltása esetén mi lenne a tartalék második faktor?
Az eredeti szemelyi igazolvanyom, a lakcimkartyam, es a sajat fizikai valom bemutatasa a bankfiokban. Ez nem eleg tartaleknak?
Megprobalom leegyszerusiteni a problemat, hatha ugy jobban atmegy. Van egy szamlam. (Tobb is, de most egyszerusitunk.) Ezen annyi penz van, amennyit egy atlag magyar egy elet munkaja utan sem tud felretenni. Azt szeretnem, hogy ehhez a penzhez csak megfeleloen biztonsagos modon lehessen hozzaferni. Nem kell SMS fallback, nem kell backup, nem kell B-terv.
Ha tokent kell cserelnem, majd bemegyek a fiokba. Ha uj telefont veszek, majd bemegyek a fiokba. Ha lemerul a hardvertoken akksija, bemegyek a fiokba. Nem erdekel. Az erdekel, hogy a penzemet nehez legyen ellopni. Szarok az SMS-re. Nem kell fallback. Van most erre lehetosegem? Nincs. Miert?
Az OSSZES banki scam arra epul, hogy a usertol megszerzik a user-pass-SMS kombot. Mikozben az egesz infosec ipar azon porog, hogy biztonsagosabb authentikacios lehetosegeket talaljon ki, ami phishing-proof. (Hello, FIDO2!) Es mit csinal a bankbiztonsag, az IT, az a magassagos uzlet a Jo magyar Bankban, hogy erre megoldast talaljon? Semmit.
Az kellene nektek, hogy legyen egy olyan szabalyozas, mint amit az angol regulator agyalt ki, az osszes csalasbol keletkezett kart le kell verni a bankon, aztan jonapot. Lenne am haddelhadd! Meg kene ismerkedni a modern infosec megoldasokkal es trendekkel!
Teljesen mindegy, amikor ilyen tobb tizmillios osszegeket lopnak el, az nem kartyaval megy amugy sem. Raadasul amugy sem folyoszamlan kell tartani a szazmilliokat, de a pelda szempontjabol tokmindegy, az ertekpapirszamlara is ugyanilyen authentikacio van legtobb helyen.
Ha ellopjak a kartyam, es leszednek rola egy napi limitnyi osszeget (300k talan?), az kellemetlen, de nem fogok sirni miatta.
Az OTP banknál például baromira nem mondják el az ügyfeleknek, hogy ez egyébként nem véd az átutalás ellen, DE a bankfiókba be lehet állítani egy határt ami a napi tranzakciós limitre vonatkozik, átutalásokkal együtt. Alapértékben tudod mire van állítva? Végtelen. Nehogy megzavarjuk az ügyfelet.
Az OTP banknál például baromira nem mondják el az ügyfeleknek, hogy ez egyébként nem véd az átutalás ellen, DE a bankfiókba be lehet állítani egy határt ami a napi tranzakciós limitre vonatkozik, átutalásokkal együtt. Alapértékben tudod mire van állítva? Végtelen. Nehogy megzavarjuk az ügyfelet.
SW token, ebből szerencsére kettő is lehet két külön eszközön Csak arra kell figyelni, hogy ne egyszerre cseréljem le a tabletet és a telefont, így bármelyiket cserélem, a másikkal hitelesítve tudok új sw-tokent generálni. Nincs jelszó, nincs fallback.
Én még most is víg banki hardvertokenes felhasználó vagyok. A hardvertoken kb fél éve prüntyög, hogy low batt. A bank annyit mondott semmi tennivaló, jelentkezzek, ha már nem működik. Más miatt behívták feleségemet a bankba, ugyanott bankolunk, épp együtt mentünk, és ha már itt voltunk rákérdeztünk a hardware tokenre, hogy továbbra is az-e az ügymenet, hogy majd ha lemerült jelentkezzünk? Merthogy már fél éve low batt vagyunk... hölgy közli, hogy tulajdonképpen már nincs hard tokenjük, a beszállító megszűnt és még nincs új szerződés, talán majd márciusban... lesz, vagy nem lesz...
Erre közöltem a hölggyel, hogy akkor most mindketten keresünk másik bankot, ahol még képesek működő hard tokent hozzálőni a netbankhoz, majd visszajövünk, ha megvan az új számla, ezt megszüntetni...
Úgy látom az Unicreditnél még van hard token... körülnézek, hátha van még más is a "piacon". Ugyanakkor nevetségesnek tartom, hogy visszafele fejlődünk, és a "biztonság" egy-két intézményre korlátozódik, mert sok ember "nem érzi át", hogy ez jó valamire....
Valaki tud még bankot, ahol létezik még "unobtainium" magánember usernek? (hard token)
En pontosan tudom, hogy az IT hogy szokta elmagyarazni az uzletnek a problemakat, mivel eleg sokaig volt az a dolgom, hogy tolmacsoljak a ketto kozott. :)
Lehet ezt a kerdest ugy talalni, hogy az uzletnek a kedvere valo legyen.
Az üzlet egy dolgot fog kérdezni: mennyibe kerül, milyen piaci előnyünk lesz belőle. És amiko rmeghallja, hogy jog, szabályozás, folyamatok, fejlesztés, üzemeltetés, és még a marketing is zsákszámra öntheti bele a pénzt meg az időt, akkor nem biztos, hogy rá fog bólintani...
En roppant kivancsi lennek, mennyivel volt olcsobb megcsinalni egy 1st party taknyolast ahelyett, hogy egy szabvanyos megoldast valasztottak volna, amit a magyarorszagi kereskedelmi bankokon kivul mindenki mas is hasznal a vilagon a Google-tol a random harmadik vilagbeli weboldalakig.
Ehelyett valaki elhitette az uzlettel, hogy
kidobatni(tm) a userek altal hasznalt hardvertokent (amiert meg havidijat is fizetett a user!), es
osszeganyolni es supportalni valami sajat """megoldast"""
olcsobb, mint megmaradni szabvanyos iparagi megoldasok mellett. En nagyon-nagyon szeretnem megnezni annak a beszelgetesnek a felvetelet, amikor valami nagytudasu elmagyarazta, hogy sajatot epiteni valamibol olcsobb, mint egy kesz megolasra felulni.
Imadom, amikor az osszes banki fejlesztes valami lehetetlen dologkent van itthon eladva. Multkor is amikor szovatettem, hogy talan nem lehetne-e felhivni a usert, mielott kienged a bank egy csaladi haznyi lovet, akkor is az volt a valaszod, hogy hat az nem, meg draga, meg amugy is sok a melo vele. Lopikulat mar, hat teljesen rutinszeruen mukodik mar mindenhol, hogy mondjuk pontozott alairok kellenek egy utalashoz, hat nem olyan nagy melo erre rapiteni egy olyat, hogy ne tudj magadnak teljes alirast adni egy adott osszeg felett.
Olyan inkompetens megnyilatkozasokat meg szakmai temaban nem lattam, mint amit itt neha levagtok banki IT temaban. Nem csodalom, hogy szarul fizetnek itthon a bankok, ezert a teljesitmenyert en sem adnek tobbet.
Hogy a K&H miért vezette ki a csipkártyás dolgot, arról talán őket kéne megkérdezni.
"nem lehetne-e felhivni a usert, mielott kienged a bank egy csaladi haznyi lovet, akkor is az volt a valaszod, hogy hat az nem, meg draga, meg amugy is sok a melo vele."
nem olvasol alaposan. Az, hogy adott tranzakciót hogyan adja fel az ügyfél (IG2 vagy IG3 - ez utóbbi a default belföldi 20M Ft alatti utalás esetén), az ott van a felületen (Azonnali vagy időzített - előbbi IG3, 5s-en belül a célszámlán elérhetőnek kell lennie az összegnek, utóbbinál az üf. által megadott időben kerül bele a "kosárba", és az azt követő IG2-es körbenkerül továbbításra), azonban egy harmadikat, hogy "hívjanak fel, mielőtt..." belerakni, mint lehetőség, _és_ az ilyen tranzakciót megakasztani, _és_ kirakni az telebanki operátor elé, az bizony a netbankban és a mobilbankban egy plusz ág az átutalások között, annak minden kapcsolódó dolgával együtt - kezdve a folyamat szabályozásától a hirdetmény/ÁSzF/jogi anyagokon keresztül egészen a CC-s munkatársak oktatásáig.
Vaaagy esetleg talan bele sem kell tenni az utalast a queue-ba, amig nincsen rajta approval, lasd tobbalairasos utalasok. En hiaba utalnam at a sajat szamlamra egy egyesulet komplett megtakaritasat, ahhoz kell talalnom egy cinkostarsat, aki meg alairja az utalast, mielott a bank kiengedi.
Nahat, ja hogy ez mar le van fejlesztve! Meg nalatok is! Te, es nem volt bonyolult megcsinalni? :)
Tehat roviden: nem-lakossagi szamlahoz mar implementalva van a feature nagy resze, azt kell portolni a lakossagi szamlakhoz => a melo nagy resze pipa, pedig meg el sem kezdtuk.
Lakossági számlánál egy tulajdonos van, és ahhoz adható jogosultság (bankja válogatja, hogy milyen granularitással). A számlatulajdonos egyedüli rendelkezési joga nem tudom, mennyiben és hogyan korlátozható, de egy lépést hátrébb lépve nehezen képzelhető el az az állapot, hogy a mondjuk férj számlájáról indított _valamennyi_ tranzakciókhoz a fér _és_ a feleség jóváhagyása is szükséges legyen.
Gondolom, egyszerűbb volt a mobiltelefonhoz kötött sw-token. Tudtommal a chipkártyaolvasót és a kártyát nem fizettették ki a felhasználóval, ráadásul a chipkártyás megoldás némileg behatárolja a használatot. Nem minden gépben van olvasó, a külön olvasóból pedig jellemzően csak egy van, időnként frissíteni kellett a drivert, az se mindig volt triviális, szóval volt vele kényelmetlenség. A KBC Securities (a csoport brokercége) egy ideig Digipasst használt HW-tokennek - az annyival könnyebb, hogy oda nem kell olvasó, ők is lecserélték SW-token megoldásra, azóta beépítették a mobilbroker alkalmazásba, de ugyanaz használható PC-s bejelentkezésre is, ha böngészőből lép be a user. Gyanítom, hogy a mobiltokenes megoldásnak alacsonyabb a licencköltsége, illetve a felhasználónak is kényelmesebb. Persze mondhatjuk azt is, hogy a költség egy részét áthárították az ügyfélre (aki megveszi a mobiltelefont).
Szánalommal nézem, amikor a világszinten huszonkettedik magyar senki vállalat erőlködik, miközben ott van mellette számos jól bejáratott, működő megoldás ... de nem,erőtltetjük a saját sz*runkat, aztán meg vannak lepődve, amikor a felhasználó elvárná ugyanazt a stabilitást, mint a nagy nevektől, hiszen arra gondol, azért vágtak bele egy nulláról történő fejlesztésnek, mert valamit még a nagyoknál is jobban tudnak, aztán jön a koppanás, hogy egy eső-kelő sz*rt tákolnak napi szinten. (Lásd a Mávinform kétnapi-háromnapi értesítését arról, hogy a SimplePay karbantartása miatt már megint nem lehet majd jegyet venni, csak papíralapon, a pénztárban.)
Hasonló az Indavideo, emlékszem, egy időben ki is volt írva a videók elején, hogy ha külföldről akarod nézni, akkor a szaggatás feature, mert külföld felé egyszerűen nem vettek elég sávszélt. Tessék mondani, ha ennyire nem megy, akkor minek erőltetni? Olyanokról nem is beszélve, hogy sem az indavideon sem a videan például a mai napig nem lehet időkóddal megosztani videót, (ami a Youtubnál a &t= xxx) mert egyszerűen nem kezelik.
Vagy a budapesti jegy? Londonban ott van az Oyster kártya, de Münchenben vagy Bécsben már a papíralapúval is megoldották, ami Budapesten még mindig az űrtechnika kategória. Ehelyett megy a bohóckodás a QR kóddal, amit olvassál le kívülről (!!) a felszállás előtt, és nem egyszer láttam, amikor a Blaha Lujza téren, a délutáni csúcsidőben emberünk vergődik a QR kód körül, hogy lefotózza majd reméli, hogy a villamosvezető nem csukja be az orra előtt az ajtót. Legalább már arra rájöttek, több mint egy 1 év után, hogy esetleg ne szúrjunk ki az utassal és ugyan hadd olvashassa le felszállás után, a járművön belül a QR kódot. Aki lógni akar, az így se, úgy se fog QR kóddal bohóckodni.
(Lásd a Mávinform kétnapi-háromnapi értesítését arról, hogy a SimplePay karbantartása miatt már megint nem lehet majd jegyet venni, csak papíralapon, a pénztárban.)
Jaja, ismeros, es meg veletlenul sincs egy backup szolgaltatoval leszerzodve, ne adj' Isten kulfoldrol, hogy ne az OTP legyen a szuk keresztmetszet. Neeeem, napokig nincs kartyas fizetes, nem baj, a buzi utas oldja meg, ahogy akarja, ha meg nem sikerul, legalabb lehet potdijazni.
Videa-n nem az volt h. nem is nagyon töltött be bármilyen nem-magyar IP-ről évekkel ezelőtt, mikor utoljára próbáltam?
YT időkódos megosztást az android app-ban szerintem én soha nem láttam. De webes kliensben sem jelenleg. Ahhoz ájfón kell vagymi? Kézzel, ha jól értesült ("hekker") vagyok, bele tudom gyógyítani az URL-be. De ezzel a felhasználók 0,00001%-hoz tartozok, aki tud róla h. ilyen is létezik.
Igazad van, de mondom, hogy nem olvastam utána. Ez úgy szivárgott be a mindennapokba, hogy észre sem vettem, mégpedig ezért:
1) Átlag felhasználónak van okostelefonja, Google fiókja, de ha nincs, csinál magának egyet. Átlag felhasználó nem olvas ÁSZF-et, adatvédelmi nyilatkozatot, hanem azt tudja, hogy ha beteszi az „elfogadom” szó elé a checkboxot, akkor neki minden működni fog. Az átlag megoldások tehát működnek minden nehézség nélkül, fogalma sincs az átlag felhasználónak sem arról, mi az a TOTP, azt csinálta, ami oda volt írva. Kivéve azt, hogy olvassa el az ÁSZF-et, adatvédelmi nyilatkozatot, mert azt nem csinálta. Átlag felhasználó eladta testét-lelkét az ördögnek, de nem aggódik ezen, mert el sem olvasta, min is kellene aggódnia, egyébként meg csak egészség legyen és térerő, holmi szabadságra nincs igénye, a privacy-ről meg azt sem tudja, melyik földrészen keresse.
2) Aki ezzel szemben érzékeny a privacy-re, nincs okostelefonja, az azt tapasztalja, kihúznak alóla olyan technológiákat, amelyek korábban működtek. Aki olvas ÁSZF-eket és adatvédelmi nyilatkozatokat, az ezekből megtudhatja, hogy gátlástalanul minden személyes, szenzitív, intim információt gyűjtenek mindenről. Életmódról, kapcsolati hálóról, szokásokról, tartózkodási helyről, mindenről, és harmadik féltől beszerezve is. Akinek nincs okostelefonja, annak meg kell dutakolnia, hogyan lehet MS-free, Google-free, Facebook-free módon megoldani Android és iOS nélkül ezeket a dolgokat úgy, hogy az ne legyen használhatatlanul körülményes.
Az Android es az iOS kliensek nem tartalmazzak ezt a featuret, de weben, siman a jobb gombos menuben a copy video url at current time alatt megtalalod.
Az androidos apprból beszélek, amin az ember ott általában a youtubeot nézi.
Böngésző egyébként van, jobb klikk viszont nem igazán :) De megnéztem neked, böngészőből ha nyomom hosszan (amire általában előjön a "jobbklikk" menü) ez esetben gyorsabban játszik le (egyébként konzekvensen az appal).
De úgyse használsz ilyet, nem rohadt mindegy neked?
A támadónak ehhez tudnia kell a jelszavamat. Amit viszont sose használok, mert mindig tokennel lépek be az e-bankba (igazából nem is tudom a jelszavamat, sose használtam). Ennek hiányában nem sokra megy az SMS fallback-kel.
Azt mondod téged az véd meg, hogy még te sem tudod a e-bankhoz való jelszavadat? Ez esetben nem is kell 2FA, elég biztonságot ad az "ismeretlen", fix jelszó.
Mondjuk telefoncserénél vagy egyéb esetekben érhet némi meglepetés, amikor mégiscsak kellene tudni és beirni valahova azt a jelszót.
Ezt már leírtam máshol. Van két eszközöm, egy telefon és egy tablet. Mindkettőn van egy SW-token. Eszközcsere esetén új tokent kell generálni. ilyenkor a másik eszközzel belépek, és azzal hitelesítem az újat. Jó párszor váltottam már így, mióta a chipkártyáról átállt a rendszer SW tokenre, kétszer cseréltem tabletet és vagy háromszor telefont. Nem kellett a jelszó.
Ez igaz. Persze a CVV is, de az is megszerezhető. Ennek viszont nem sok köze van ahhoz, hogy a webes/mobilos banki alkalmazás belépése tokennel működik-e vagy sem.
Ott azért van néhány kör, amit végfelhasználóként nem látsz... És van, hogy nem digitalizálható a kártya onnan és úgy, ahogy szeretnéd. És mindegy, hogy wallet-ből vagy banki mobilalkalmazásból indítod a folyamatot.
Ezt mondd azoknak, akiknek a kartyait viszont sikerult digitalizalni a filippino scammernek. Azt tudom, hogy en nem tudok csak ugy fizetni a kartyammal az EU-ban, szerencsere a harmadik vilagbeli orszagokban ez pont nem issue.
Marmint mi? Ez az egyik legpopularisabb scam manapsag. Jon SMS-ben egy kamu link (Foxpost, akarmi), bekeri a bankkartyaszamodat, azzal elkezdik a tuloldalon az Apple Pay onboardingot, arrol ugye kapsz egy SMS-t, amit a kamu oldalon bekernek a usertol. A kodot meg ugye beirja a hulyegyerek a tuloldalon, es kesz a digitalis kartya.
Ez nem bankfuggo, meg ismerosi korben is volt, aki beszopta, mit tudom en, melyik banknal van.
Ha feldobna az app egy kerdest, hogy figyelj, Kenyabol probalja valaki epp egy iPhone 12-re digitalizalni a kartyad, akkor a user jobb eselyekkel indul, mert mondjuk eleteben nem jart Kenyaban, es iPhone-ja sem volt soha.
Na akkor mégegyszer... Mi az a módszer, ami a legtöbb felhasználónál rendelkezésre áll. Na az kell legyen a default fallback. (És a kártya digitalizálásánál a kliens IP-je alapján (GeoIP) a fraud simán adhat(na) sárgát, hogy tesséh telefonálni a bankba a digitalizálás befejezéséhez.)
Mi az a módszer, ami a legtöbb felhasználónál rendelkezésre áll. Na az kell legyen a default fallback
Az egyetlen dolog, ami mellett itt kampanyolok, hogy a default fallback legyen opcionalis. Erted, hogy legyen opt-out lehetoseg. Ha neked jo a default, akkor nincs teendod, hagyd bekapcsolva.
És a kártya digitalizálásánál a kliens IP-je alapján (GeoIP) a fraud simán adhat(na) sárgát, hogy tesséh telefonálni a bankba a digitalizálás befejezéséhez
Igazából nem mindegy. Most sajnos elég sokszor kellett kártyát digitalizálnom (elveszett a táskám, kártyák letiltása után új igénylés), és amikor a mobilbanki alkalmazásból indítottam a digitalizálást, akkor csak azt kérdezte, hogy a telefonra vagy az órára tegye rá, a többit elintézte az alkalmazás. Ha meg a walletből indítottam, akkor kártyaszám, lejárat, CVV + a megerősítő SMS kód kellett hozzá.
Attól, hogy "elintézte az alkalmazás" még a folyamat nagyjából ugyanaz. A mobilbanki alkalmazás ismeri a kártyaadatokat, de attól még a tokenizálási folyamat lényegét tekintve azonos, ugyanott tud elhasalni/megakadni.
Nekem, mint felhasználónak nem mindegy. Ja, és abból a szempontból sem, hogy nem volt szükség SMS-azonosításra. A folyamat 'nagyjából' ugyanaz. Mindig attól függ, milyen távolságból nézzük.
Szerintem te nem láttál nagy pénzintézetet belülről - az Isten pénzét is elverik ezek IT-ra. Akkora összegek repdesnek hogy lefordulnál a székről ha hallanád.
Félreértetted! Nem a banki melós kapja azt a pénzt, hanem a bank baszik el temérdek milliót mindenféle outszorszolt 3rd party cégnek kifelé. A banki alkalmazott(ak többsége) esélyesen aprópénzért csinálja a (szar) munkáját. Plussz bónuszként ott van az összes pénzintézetre jellemző nehézkesség, impotens bürokrácia, bezártság, 0 innováció, 0 lehetőség up-to-date tech dolgokkal foglalkozni. Azaz kb. a saját sírodat ásod minden ott töltött évvel, elvesztegetve h. máshol kurrens értékes(ebb) tudásra is szert tehettél volna ugyanezen idő alatt.
Amig a babzsakos menedzserek napi 4 faszveros meetingben elvernek excelben rahedli penzt mindenfele kurva fontos plecsnire, certre, hogy folfele kipipaljak a checkboxot addig marad a fostakolmany, mert egy ambiciozus fejleszto sem fog szart lapatolva burokraciaval viaskodni.
”Azaz kb. a saját sírodat ásod minden ott töltött évvel, elvesztegetve h. máshol kurrens értékes(ebb) tudásra is szert tehettél volna ugyanezen idő alatt.“
Tobbsege pont ezert megy oda. Leulom a napi fix semmitevos oramat, csak gondolkodni ne nagyon kelljen, foleg ne tanulni.
Ha ezer milliárd EUR-s (háromszáznyolcvanezer milliárd Forint) asset állományt kellene felügyelned akkor valószinűleg te is kétszer meggondonád hogy mit cselekszel.
Nagyvállalati pénzintézetek általában nem "a felkúrok egy új webservice Simple néven, MFA nélkül mert úgy olcsóbb fejleszteni" kategóriában játszanak.
OTP a nagyvállalati pénzintézeti IT megkerülésére létrehozta a kis start-up inkubátorát, ez a poszt ennek az eredményéségéről szól.
Épp az agyament menedzsment szokta nyomatni az Edzsálylt és egyéb vallásos baromságokat (SCRotUMvakarás, Bimbam stb.), ezzel is "segítve" a (valóban) dolgozókat.
Az OTP megkeresésünkre közölte, hogy más, nem OTP-s felület(ek)en eltulajdonított felhasználónév/jelszó kombinációkkal digitális adattolvajok robotizált módszerrel több ezer felhasználó fiókját valóban feltörték, és megváltoztatták a regisztrált e-mail címeket.
Nem az OTP hibája, hanem a usereké. Nem történt semmi "feltörés", hanem a balfaszoknak leakelődött a jelszava (feltehetőleg más platformhoz is ugyanaz a mail + pw van) és a bot belépett vele. Azért egy "IT" portálon lehetnénk kicsit szofisztikáltabbak is.
Aláírás _Franko_ miatt törölve.
Jákub egy .
neut @
Hm, az e-mail cím megváltoztatásakor nem kéne a *régi* címre küldeni egy levelet amelyben van *valami* ami az új címre átíráshoz szükséges? Értem, hogy ez arra van, ha valaki alól kiment az e-mail szolgáltató (vagy a fiók :-) ), node akkor is.
Egy-két embernek mondtam, hogy ellenőrizze le. Meglepődtek.
Nekem is van spamgyűjtő e-mail címem, ami kiszivárgott. Az egyik a Dropbox, a másik a Kickstarter megtörésekor. Jó tisztában lenni ilyesmikkel. Nyilván, fintech alkalmazásokban nem ezeket a megtört e-mail címeket használjuk a pénzünk védelmében. Ezek pont erre vannak, hogy vigyék, ha akarják.
Vagyis nem az emberek a hülyék, hanem aki azt állítja, h az IT rendszer biztonságos a bankoláshoz. Öszintén szólva, a monitor szélére kiragasztott postit "jelszókezelő" tűnik lassan a legbiztonságosabbnak!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
De bammeg, az userek a hülyék. Sajnos nem tanították meg nekik az oskolában (ahol persze a dél-dakotániai Fütyimatyi királyságának az összes lényegtelen adatát be kell se&&elni, ahogy azt is, hogy Miskanéni,mint költő mire gondolt amikor leírta, hogy "'szomba"...). Maguktól meg nem tanulnak, nem próbálnak agyikag fejlődni . megmaradnak az agyilag zokni szinten...
Egyszer csekkoltam ezt az oldalt úgy, hogy csináltam egy vadiúj emilcímet. Kb. 10 perccel később ez az oldal már asszonta, hogy bizony ez az emilcím is "pwned". Innentől valahogy nem tudtam komolyan venni...
Jó ez az oldal. Ja, nem egészen. Az rendben, hogy megmondja, hogy egy, két, három, valamennyi site-on kompromittálódott az adott login, azt viszont nem írja ki, hogy hol. Mivel a jelszavaim különbözőek, de az email cím nem, így hogy találom meg, hogy hol (és mikor) került ki az adat?
Én valamit nem értek. Ez az oldal azt írja, hogy az emailcímem (trécéhá/protkómél) szerepel egy helyen valami Gravatar-ról kiszivárgott dumpokban. Én meg azt se tudtam a mai napig, hogy van ilyen oldal, hogy Gravatar. Direkt odamentem, hogy lecsekkoljam, hogy nem csak elfelejtettem-e, hogy valamiért egyszer bereggeltem ide valamikor (kizárt: amire ad-hoc bereggelek valami miatt, aztán megy az account a levesbe, meg a feledésbe, ott én is valamelyik spamgyűjtő szemétládámat adom meg), de a view profile-hoz beírva az emilemet azt kapom, hogy "There is no profile associated with this email address.", ha meg be akarok lépni, akkor meg ugyan küld egy verifikációs linket, de a subject nem login, hanem sign up, a content meg az, hogy köszi, hogy csatlakozol, azaz nem vagyok regisztrálva. Akkor hogy szivároghatott ki innen az emilem, ha egyszer sose regisztráltam be ide vele? (Sőt, a jelek szerint más se tette meg helyettem.)
Nem mintha fontos lenne: össze-vissza mindenféle kriksz-kraksz jelszót használok az accountjaimnál - csak nem értem.
Akkor az rosszul szivárgott ki. :) De komolyan, a bűnözők is hibázhatnak, pláne, ha anyagi érdek is motiválja a dolgot: még több logint eladok, amiből 10% valós.
Ahá, szóval valaki a lescrapelt cuccokba véletlen generált emailcímeket is belepakolt, az én háromkarakteresemet meg nem nehéz még véletlenül se eltalálni. Thx, ez nem jutott eszembe.
Vagy bevezetik a tufát, változik az ÁSZF, az adatvédelmi irányelv, amelyet a user nem fogad el. Nekem így szűnt meg az összes gmail-es címem. Pedig volt egy pár.
Nekem ez vörös posztó, ilyenkor szoktam eldobni a szolgáltatást. Egyrészt benne van az, hogy hülyének néznek, azt vélelmezik, hogy 123456 a jelszavam, vagy ennél picit erősebb ugyan, de mindenhol azt használom. A másik, hogy nincs okostelefonom, azok a megoldások kapásból kiestek. A harmadik, ha esetleg lehet SMS-ben, nagyon nyűgös. Hogy lesz? Elindítom a Claws Mail klienst, s 10 percenként, amikor lehozza a leveleimet, vagy megnyomom a get mail gombot, jön egy SMS, és be kell írnom az üzenetben kapott kódot valahova?
Továbbá belefutottam abba, hogy utalni akartam, de már kikapcsoltam a telefonom. Eléggé felcseszett, hogy jó, akkor ágyamról telefon felvesz, bekapcsol, PIN beír, vár, SMS-ből kód beír, remél, hogy nem timeout-ol, felület használ, SMS töröl, telefon kikapcsol. Mindez azért, mert van néhány polgártársam, akinek 123456 a jelszava.
Ezen a területen valóban nem, mert ez félelmetes számomra azáltal, hogy öles léptekkel számolja fel a személyes szabadságot, s tesz mindenkit életmódja és minden mozdulata tekintetében kontrollálhatóvá, egyúttal kiszolgáltatottá.
Mert sohasem jutok odáig, egyelőre kényelmetlenül ugyan, de ki tudom kerülni ezeket a sz.rokat. Majd ha már kényelmetlenül sem tudom, felteszem itt a kérdést, mik az aktuális trendek, s mivel lehet a privacy-t leginkább kímélő módon megoldani ezt.
Majd ha a statikus user/pass párosod kiszivárog valahonnan, és ott megszemélyesítenek/kizárnak, és fájni fog, akkor talán rádöbbensz, hogy miért jó a -gyakorlatilag minden loginnál új/más jelszót jelentő- 2FA...
vannak desktop megoldások 2fa-ra, igaz kicsit "defeat the purpose"
Azért asztali gépen még mindig könnyebb biztonságban tartani a jelszavakat meg tufakódokat. Ráadásul ha jól látom, az Auhty valami kláudos cucc (legalábbis felhőbe ment), innentől kezdve ez kuka. Bitwardennek is csak akkor lehet értelme, ha magának szolgáltatja az ember (saját vasról, sajátnak mondható ingatlanból), felhőből használva az is felejtős.
Érdekel, mert ilyen telefonom van, bár csak GSM, azaz 2G-s, tehát nem LTE változat. A másik, hogy ne menjünk bele, mert megint le leszek szúrva, hogy kínáltátok a megoldást, csak nem foglalkoztam vele. És valóban, most nem érdekel még. Amúgy meg nem szeretnék semmilyen Google szolgáltatást elfogadni, tehát csak akkor érdekel, ha Google-free, MS-free a cucc. Kell hozzá valamilyen hálózat? Bluetooth a számítógéppel? Vagy GSM-en (2G)?
Nézz utána, keress rá, hogy mi ez és hogyan működik -de ezt már a másik topicban korábban n+1 alkalommal leírták/tuk neked... _Semmilyen_ külső kommunikáció nem kell neki, csak az indulásnál kell valamilyen módon a kezdő hash-t megadni neki, amit jellemzően egy QR-kód beolvasásával csinálnak meg az alkalmazások, de lehet úgy is, hogy a QR-kódból kinyered a hash-t, és odaadod az alkalmazásnak egy stringként.
Hash nem lehet egy random szám a /dev/urandom-ból? Mondom, azért ne beszéljünk erről, mert a korábbi alkalmak részleteire is azért nem emlékszem, mert annyira félelmetesnek tartom ezt az egészet, annyira a szabadság végének, hogy nem foglalkoztam vele, mert fáj. Ha valamiért már muszáj lesz, akkor fogok kérdezni, addig megpróbálom ezt odázni.
ert annyira félelmetesnek tartom ezt az egészet, annyira a szabadság végének, hogy nem foglalkoztam vele, mert fáj
Ha egyszer végre hajlandó lennél foglalkozni vele, akkor rájönnél, hogy a félelmeid (viszonylag) megalapozatlanok. Lehet privacy sértő módon is csinálni, de speciel pont elég sok dolog van, ahol egészen konkrétan feature a privacy. Veszel egy hw tokent, azon jól tárolva vannak a secretek, és működő második faktort tud adni önmagában, a szolgáltatásra egyedileg. De a TOPT is alapvetően teljesen privacy mellett is használható megoldás. Vannak rossz gyakorlatok (pl sajnos elég sok helyen nyitnak azzal, hogy telefonszámot próbálnak kunyizni, meg nem lehet rögtön FIDO-t állítani, meg ilyenek, de ezek alapvetően nem technológiai, hanem policy korlátok.
Ha valamiért már muszáj lesz, akkor fogok kérdezni, addig megpróbálom ezt odázni.
Csak mi lenne akkor, nem kürtölnéd folyamatosan bele a szócsőbe, hogy ez egy rakás szar, és fujj és rossz, miközben saját bevallásod szerint sincs fingod se róla?
Az irány rossz. Régen jó volt a felhasználónév, jelszó. Ma is jó lenne, ha nem akadékoskodnának a szolgáltatók, nem találnák fel a langyos vizet. Azt értem, hogy vannak, akiknek lenyúlják a jelszavát, de ez olyan, mint az az ember, aki a megtakarított kétmillióját odaadja egy futárnak, hogy segítsen a balesetet szenvedett unokáján, és csak a pénz átadása után gondol bele, hogy nincsenek unokái.
Régen jó volt az openrelay SMTP is, gyakorlatilag bármilyen SMTP-t be lehetett állítani, és elment a mail a címzetthez. Szóval az, hogy régen mi volt jó, már régen nem jó érv :)
QR-kód beolvasásával csinálnak meg az alkalmazások, de lehet úgy is, hogy a QR-kódból kinyered a hash-t
Hogyan? Nincs okostelefonom. Van egy nagyon régi fényképezőgépem. Arról felmásolom a QR-kód képét a desktop gépre, s megkínálom egy alkalmazást vele? De mondom, ne most, mert amikor tényleg érdekelni fog, azt fogod mondani, olvassak vissza, s nekem akkor kell majd a segítség, nem most.
Lehet egyszerűbb, ha a desktop gépen copyzod ki a képet. :) Szerintem a TOTP pont a szabadság mert nem kell hozzá semmilyen 3rd party (google/faszbook/amazon...), egyszerűen van egy közös titkod a serverrel ahova loginolsz, amit soha többé nem küldesz át a zsinóron, csak abból + az aktuális időből készült nagyon rövid hasht (általában 6-8 karakter). Desktopon is megy, nem kell hozzá okostelefon. Igen persze ez a közös titok ellopható, ha bénán tárolják, az ellen nem véd. De kitalálni az átküldött számsorból nem lehet (ha elkapod hálózati forgalomban, sms-ben, keyloggerrel, vágólapról stb).
A QR kód nem szerves része semmi ilyesminek, az alapvetően csak egy kényelmi funkció, hogy az összes faszott paramétert, meg a preshared keyt kényelmesen lehessen beállítani a kliens applikációdon, jellemzően egy TOPT paraméterei vannak benne. Én még nem láttam olyat, ahol ne lenne gomb arra, hogy "nincs qr kód olvasóm, mutasd a paramétereket", és aztán ne lehessen belepötyögni az authentikátorba kézzel.
Egyébként pedig tippre van egy köbvödör qrcode olvasó lib, gondolom van hozzá valami offline tool is magában.
A srác csinált is nekem tavaly egy javítást, mert a másodperc nem állítható a telefonom óráján (Sony-Ericsson P1i), ezért csinált egy Time Configuration beállítást, amivel igazíthatom, hogy PONTOSAN mennyi az idő. (+/- 60mp, ugyanis a TOTP-hez pontos idő kell.)
Semmi Google, semmi mobilnet, ez csak egy algoritmus ami percenként csinál egy hatjegyű számot amit bekér a weblap a név/jelszó után. A banknál nincs ilyen, de vagy 20-25 egyéb helyen használom.
Sajnos mivel sok weblap QR kódot rak ki és nem az ezekbe beírandó KRIX-KRAX-OT (ú.n. TOTP secret), ezért okostelefont előszedem a fiókból, bekapcsolom, leolvasom, és abból kiírom a "secret"-t a P1i-be. Az okostelefonon AndOTP nevű proggit használom és arról készül a biztonsági mentés is, hogy meglegyenek a TOTP kódjaim. Illetve, csináltam a PC-n egy KeePassXC adatbázist, amibe szintén beírom ugyanezeket a "KRIXKRAXOKAT", az is egy biztonsági mentés. Ezeket sose veszem elő, csak amikor újabb TOTP-t regisztrálok, legyen meg a mentés.
Én imádom ezt a kényelmetlenséget, hogy fel kell venni a telefont, feloldani, megnyitni a TOTP app-ot, beírni a 6 számot. Lelki megnyugvás. ;-) (Pedig mindenhol más a jelszavam és kb 20 karakteres random vackok.)
Igen, rohadt régen próbáljuk neked elmagyarázni, hogy egy alapvető TOTP/HOTP authentikációhoz nem kell semmi network magic, meg bármiféle nagytestvér. Benne van az RFCben, hogy miből mit kell számolni.
egy gyors dnf search ezt dobta: numberstation, adj neki egy dnf installt, aztán nézd meg. Gyors gugli dobta még ezt: https://github.com/yitsushi/totp-cli. Ugyan nem C, mert go, de na.
Nem jobb. Csak egyrészt nem foglalkoztam vele mélyebben, másrészt a gyakorlatban az emberek igen sok százaléka okostelefont illetve Google szolgáltatást használ ilyenre, harmadrészt weblapokon olyanokat látok, hogy lépj be Google-lal, MS authentikátorral, Facebook-kal, s nem látok olyat, hogy lépj be papír-ceruza módszerrel, terminálban futó számolós alkalmazással, mindenhol QR-kódok vesznek körül, amivel nem tudok mit kezdeni, mindeközben céges levelezés eléréséhez eddig simán meg lehetett nyitni, hogy SMS-ben kérem a második faktort, már csak egy apróbetűs link visz az oldalra, ahol SMS-ben kérhetem a második faktort, a default az, hogy azt látom-e az okostelefonomon az authentikátorban, amit mutat a weblapon. Tehát megy az átnevelés, átterelés, nyomásgyakorlás, felkészülés a kivezetésre. És akkor azt mondod, indokolatlan az aggodalmam.
Ha azt mondjátok, lesz megoldás okostelefon nélkül, s az nem csak elméleti, azaz nem használhatatlanul körülményes, akkor megnyugodtam.
Hosszan tudnék írni, de felesleges, szóval igyekszem elég röviden. Az emberek nagy része immár legalább 10 éve okostelefont és google szolgáltatásokat használ. Te meg nem, és nyeffegsz, hogy nem igazodik hozzád a világ, hanem ezek vannak minden hova odaírva.
A 2FAra pedig folyamatosan öntöd a félelmedet privacy szempontból, miközben az ipari szabvány technológiák pont hogy tervezésüknél fogva privacy awarek, és félelmeiden tisztán látszik, hogy tények helyett képzelgéseken alapulnak. Ha kapsz róla infót, olvasnivalót, akkor elhesegeted azzal, hogy ez nem segít, mert ez téged nem érdekel. Mivel mérnökemberként minden kvalitásod megvan hozzá, hogy maximum pár óra alatt megértsd az egész hóbelevancot, ezért az a következtetés, hogy te ezen rettegni akarsz, ahelyett, hogy megértenéd a valós kockázatokat. Lelked rajta, csak ne csodálkozz, ha hülyének néznek. Jelen helyzetben erősen hasonlítasz a kisgyerekre, aki a fülére tett kagylóra formázott kézzel dobol a fülén, és közben fejhangon kántálja, hogy pa-pa-pa-pa-pa-pa-pa-pa....., hogy nehogy bármit meghalljon, amit a felnőtt mondana neki.
Különösen vicces, hogy ragaszkodsz ahhoz, hogy hülye maradj a témában,de volnának elvárásaid, hogy hogyan kell ezt csinálni, hogy ne legyen szar, de közben kikéred magadnak, hogy a te torkodon toljanak le dolgokat, mert mások hülyék.
Mondom, azért nem ásom bele magam, mert frusztrál, félelemmel tölt el. Ha muszáj lesz, akkor előveszem a témát, addig csak a szorongásom nő, mert a limitációk egyre magasabbra teszik a lécet. Egyelőre megoldás volt, hogy megváltam előbb a Skype accountomtól, később dobtam a Gmail fiókjaimat. Az összeset, pedig egy csomó helyen hivatalosan is azt adtam meg elérhetőségnek. Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel. Egyelőre.
Másfelől te is bizonytalanságban tartasz. Egyfelől azt mondod, nem kell okostelefon, Android a tufához, másrészt
Az emberek nagy része immár legalább 10 éve okostelefont és google szolgáltatásokat használ.
Lehet, hogy okostelefon nem kell, de ha Google kell - tényleg, kell? -, akkor visszakerültem a start mezőre. :(
Mondom, azért nem ásom bele magam, mert frusztrál, félelemmel tölt el.
Így van, és ahelyett, hogy megértenéd mi ez, meglátnád, hogy a félelmeid közül melyik teljesen légből kapott, és melyik valós, és tudnál ez alapján egy számodra elfogadható cselekvési tervet építeni inkább félsz és frusztrálódsz, kb konstansan, ami egy meglehetősen szar élethelyzet (közben ráadásul simán még lehet szopatod is magad, mert információ hiányában matchetével vagdalkozol magad körül). Segíteni úgy lehet ezen, hogy a félek mert nem értem, de biztos sárkányok vannak ott helyett elzavarod a benned lakó gyereket a kormánytól, és megkéred a felnőttet, hogy kormányozzon már most ő egy kicsit, és legyen kedves racionálisan viselkedni.
Lehet, hogy okostelefon nem kell, de ha Google kell - tényleg, kell? -, akkor visszakerültem a start mezőre. :(
Ezt félreérted, csak azért mondtam, mert jöttél azzal, hogy nem az van a reklámokon, hogy hogyan kell ezt cliből csinálni. Persze, hogy a reklámon az lesz, ami a nagy többség valósága.
Ráadásul neked erősen összemosódik a gonosz multik elveszik a privacymat félelmed a 2FA-val, ami miatt nehéz. Konkrétan egészen úgy tűnik, hogy nálad a "2FA == mindenképp egy csúnya gonosz multi közreműködése kell hozzá", illetve (és következésképp) a "csúnya gonosz multit kell használnom == azonnal javíthatatlanul csorbát szenved a privacy "egyenlőségek vannak a fejedben. És bár kétségtelenül léteznek privacy problémák mindkét területen, de ez a két egyenlőség egyáltalán nem állja meg a helyét, főleg nem az első.
Az általam látott szolgáltatások túlnyomó részében a 2FA valami szabványos megoldást használ. Ezek privacy szempontból nem rosszak, sőt az újabbak kifejezetten jók. Mivel szabványosak, ezért jelenleg is, és várhatóan a jövőben is lehet őket saját infrastruktúrán üzemelő saját szoftverekkel kezelni. Granted, helyenként bizonyára kényelmetlenebb lesz, meg nehezebb lesz beállítani, mintha a spoonfed megoldást használnád, ami neked nem elfogadható kötődésű.
Az okostelefon = gonosz amcsi multi sem igaz így. Vannak alternatív OSek, ezzel elérhető készülékek. Bőven van hardware, amin google szolgáltatás mentes androidot lehet futtatni, itt a hupon is egész sokan vannak, akik -- valószínűleg többnyire hozzád hasonló privacy aggályoktól vezérelve -- ezt teszik. Sőt, a dolgok jelenlegi állása szerint pl a huawei, egyébként egészen mainstream gyártó cuccain sincs google, mert az amcsik kitiltották. Szóval itt is vannak lehetőségek. A 2FA megoldások ezekkel is fognak menni.
Vannak, lesznek persze kivételek, amikor valami vacak köti az ebet a karóhoz (a bankok és banki appok egyébként pont ilyenek, kötik az ebet a karóhoz, meg a saját inhouse szarjukhoz, és a csakazeredeti google a jó telefonhoz, benne is van a topicban, hogy gelei felemeli emiatt a középső ujját nekik), de ameddig leragadsz ott, hogy minden, ami 2FA az eredendően gonosz, addig nem fogod tudni ezt érdemben kezelni.
Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel
Tehát a gonosz Google nem jó, mert az algoritmusa marketing célra adatot gyűjt, de:
- a netszolgáltató lyukas és karbantartatlan levelezőszervere, amire évente 1x néznek rá, amikor már a Mátrix folyik le a képernyőn, annyire egyértelmű, hogy felnyomták - az megfelel?
- a freemail, ami egyébként tök biztonságos, mert oda aztán tutira nem kapsz meg semmiféle fontos levelet? Ezzel az erővel mehetne a /dev/null-ba is.
- a yandexKGB-re inkább rábízod a személyes adataidat, mint egy ugyan pénzéhes, de alapvetően viszonylag civilizált törvények szerint működő multira?
Az megvan, hogy aki bent van az emailfiókodban, az kb. bárhová bejuthat az életedbe? Csak egy jelszóemlékeztető távolságra van tőle, főleg ha a 2FA-t nem használod - avagy Password reset is the new login.
azért nem ásom bele magam, mert frusztrál, félelemmel tölt el.
Azt javaslom, keress magadnak más okot a félelemre - mert a fentiektől sokkal inkább kellene félned.
Mit értesz a mailbox felnyomásán? Miért vagy ennyire rossz véleménnyel az internet szolgáltatókról, akiknek szinte más dolguk sincs, mint az üzemeltetés? Mennyiben rosszabb egy magyar ISP üzemeltetése, mint a Google-é, és miért?
tutira nem kapsz meg semmiféle fontos levelet
Nem ez a tapasztalatom, bár számlaértesítőt valóban nem várok a freemailre.
Mi a bajod a Yandexszel? Amúgy nem KGB, hanem FSZB és SZVR. A Google nem egyszerűen pénzéhes, továbbá világhatalmi törekvései az USA-nak vannak, Oroszország csak regionális hatalmi ambíciókkal bír. Azok a civilizált törvények olyanok, amelyek alól épp kivételt képeznek azok szükségessége esetén, szóval inkább hagyjuk. A népek altatására van, de semmire sem jó.
Az megvan, hogy aki bent van az emailfiókodban, az kb. bárhová bejuthat az életedbe?
Ez nincs meg, de talán majd elmondod. Továbbá a szolgáltató mindenképp hozzáfér, de ha lehet, ez lehetőleg ne az USA cége legyen. Így sem megúszható, ha ellenben a partnernek gmailes címe van.
a fentiektől sokkal inkább kellene félned
A te világnézeteddel, amennyiben elhiszed azt, hogy a Nyugat jó, mindenképpen. Én viszont nem hiszem ezt el, látva, hova tart a világ, látva, amikor a valóságot tagadva hoznak az állampolgárai érdekeivel szembenő döntéseket nyugat-európai vezetők, látva, hogy nem az élet, hanem a halál mellett érvelnek és kardoskodnak a világhatalmi érdekek kiszolgálóiként és a még több pénzért.
"Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel. Egyelőre." - bammeg... A Google nem, de a frííímél/netszolgáltató/yandexpontru az igen... Aaazigen... #facepalm
"Lehet, hogy okostelefon nem kell, de ha Google kell" nem, nem kell hozzá... Az, hogy a legelterjedtebb platformokra a GA és az MS authenticator app az, ami a legismertebb, az egy dolog, de egyik sem kell, sajátot is összerkhatsz, az RFC tartalmazza a referenica-implementációt is...
"lépj be Google-lal, MS authentikátorral, Facebook-kal" - Identity provider a kifejezés, amit keresel.
"céges levelezés eléréséhez eddig simán meg lehetett nyitni, hogy SMS-ben kérem a második faktort" - céges levelezéshez jobb helyen user+pass(+2FA) és kliens cert van már régóta... Ha saját magának csinálja a cég - ha G/MS szolgáltatást vesz, akkor meg a 2FA természetes követelmény, hogy a jóskapista user ellopott jelszavával ne lehessen megszemélyesíteni jóskapistát...
Van kliens cert, akartam is csinálni magamnak a Claws Mailhez, de valahol a vége felé elakadtam. És erről beszélek, hogy annyira el van bonyolítva az egész, hogy egy éjszaka, dokumentációt olvasva lépésről lépésre haladva csináltam végig az egészet, majd eljutottam egy hibaüzenetig, amire persze nem adott választ a doksi. És ekkor elfog az érzés, hogy abban a világban szeretnék élni, amikor a levelező kliens beállításához egy felhasználónév és egy jelszó elegendő volt, és ez így működött is.
A lap alján a Step 4-ben a copy the full URL you were redirected to into the Authorisation code field résznél akadtam el, mert itt hibaüzenet jött vissza a böngészőben.
Aztán győzködtök, hogy ez így van jól, de hát nem, mer b.szik működni! Marad a vékonykliens megoldás, belépek böngészőből, de marha kényelmetlen és gyűlölöm, de biztos így jó, mert néhány f.sz ezt így találta ki. Remek.
Ahol nekem kellett ilyet összerakni (on-prem webmail), ott a szerver oldalon be lett állítva a tls-t végződtető komponensen, hogy milyen CA-val aláírt kliens certeket fogadhat el, a kliensekre (mobiltelefonok) meg a támogatók felrakják az egyedi, userre generált, jelszavazott p12 fájlt, telepítik belőle e kulcsot+certet, majd törlik a p12-t, így a user használni tudja, de kinyerni és lementeni már nem a certet+kulcsot.
Amíg nem fogod fel, hogy a csak usernév/statikus jelszó alapon megvalósított azonosítás önmagában miért rossz, addig nem fogsz tudni előbbre lépni.
Azért rossz, mert vannak naiv emberek. Azok, akik annyira naivak, hogy kiszolgáltatják személyes adataikat, életük minden mozzanatát a világ legagresszívebb állama fedőcégeinek, azok ki fogják adni az adataikat bárkinek, rosszindulatú hekkereknek is. Ezen többség miatt rossz a felhasználónév jelszó páros, meg azért, mert ugyanazt használja sok helyen, meg azért, mert 123456. Viszont attól, hogy ezt értem, nekem még mindig csak egy nyamvadt hibaüzenet jött vissza, amikor a Claws Mailt be akartam állítani a céges levelezés kliensének, szóval annyira azért nem vagyok előrébb, ráadásul elszúrtam vele kb. háromnegyed órát az életemből. Mindhiába.
"Azért rossz, mert vannak naiv emberek. Azok, akik annyira naivak, hogy kiszolgáltatják személyes adataikat, életük minden mozzanatát a világ legagresszívebb állama fedőcégeinek, " - Nem. Azért rossz, mert ha elviszik a jelszavadat, egyrészt baromira nem fogod észrevenni, másrészt azzal adott helyen (vagy a hülyéket máshol is) meg tudják személyesíteni úgy, hogy csak azt veszed/veszik észre, hogy valaki más csinált valamit a hozzáférésüket használva.
Nekem a fentebb megadott módszernél nagyjából 2 perc volt a teljes folyamat mindenestől, onnantól kezdve, hogy a p12 fájlt átküldtem az érintett user telefonjára, odáig, hogy meg tudta nyitni a levelezését. Akinek meg volt olyan jogosultsága, hogy desktop-ról is elérje a levelezést, annak meg csak fel kellett pakolni a certet+kulcsot, a böngészőben megnyitni a webmail-es felületet, a böngésző máris kérdezte, hogy kliens certet kér a túloldal - és feldobta az ablakot, ahol kiválasztotta a megfelelő kliens certet, és máris nyomhatta a webmail-en a logint.
Google apps fiókhoz valóban sajtreszelő lehet a vastagkliens - megmondom őszintén soha nem próbáltam...
Az O365/MS365 webmail-es felülete szerintem kifejezetten jó. lehet sajtot reszelni, de szerintem ott is fölösleges. A levelek on-prem mentését/tárolását meg nem a klienseken kell megoldani.
Már megint az van, más akarja elmondani, nekem mi a jó. Az a baj, hogy ezt azok is szentül hiszik, akik ezeket az authentikációkat megálmodják, webes mail klienseket kitalálják.
Nekem nem jó a webes felület, mert minden belépéskor SMS-t kell olvasgatnom. Nem jó, mert vigyáznom kell, nehogy véletlenül bezárjam a böngészőt, vagy a webmail fület. Nem jó, mert nem egységesen ugyanazt látom, mint az összes többi mailboxom esetén, ahogyan a Claws Mail megjeleníti, hanem van egy attól teljesen eltérő felület. Továbbá, ahogy írod is, az offline elérés, a lokális tárolás, vagy ennek beállíthatósága is szempont.
Neked az nem jó, hogy a webmail elszáguldott pár évtizeddel melletted, míg te leragadtál az SMS-nél, és NAGYON nem akarod felfogni, megérteni, hogy a TOTP nem ördögtől való, nem veszi el senki a magánéletedet vele (sőt, mi több, az SMS-hez kell egy mobilszám, amihez rendelt SIM nálad kell legyen, miközben a TOTP esetén tényleg semmilyen plusz adatot nem kell a szerver oldalon tárolni rólad...)
A Claws felülete teéjesen más, mint a mutt volt, ergo sz@r, mert nem úgy mutatja a leveleimet, mint... :-P
Most a felülettel érveltem. Megpróbáltam megcsinálni, hogy menjen Claws Mail alatt, nem voltam rest doksit olvasni, csak hát hibaüzenettel örvendeztetett meg. Erre mi a korszerű megoldási javaslatod? Mert nagyon korszerű akartam lenni, a baj épp csak az, hogy nem működik!
Fogalmam sincs, de ezekkel a rém korszerű dolgokkal épp az az egyik problémám, hogy még az sem derül ki, mitől nem megy valami, hadd csesszem el az időmet számolatlanul.
A felhasználónév jelszó páros működött, tehát az jó. Ez tényleg ennyire egyszerű empirikus alapon.
"Fogalmam sincs, de ezekkel a rém korszerű dolgokkal épp az az egyik problémám," - Akkor első feladat: megkeresni a supportot, és megkérdezni, hogy hogyan tudsz SSL-es IMAP-on 2FA nélkül menni?
"A felhasználónév jelszó páros működött, tehát az jó." - DE nem elégséges, ez az egyik, a másik meg az, hogy vajon az adott r=1 usered jogosult-e nem 2FA-val menni?
Nem tudom végiggondolni, mert nem ismerem a technológiát. Adalékok:
céges MS Office szolgáltatásról beszélünk
munkahelyen saját tulajdonú linuxos gépem Thunderbird klienséből megy a levelezésem, arról használom, nagyon ritkán, kb. félévente kér második faktorként SMS-t
itthon nem tudtam fellelkesíteni a Claws Mail-t ezirányú működésre, mert megakadt valamilyen authorizációs hibával
itthon webes felületen minden belépéshez kér SMS-t, amelyet méla undorral vagyok kénytelen megadni neki, ha home office-ban dolgozom
Szóval fogalmam sincs, mi van, de hogy ez ezerszer rosszabb, mint a jól bevált username, password páros, az biztos. Az üzembiztonság az olyan, hogy egyes helyekről, configokról megy, másokról nem megy, ha kér félévente MFA-t, akkor rájövök, hogy ugyanabban a levelezésemben vannak a login adataim, amelynek az eléréséhez meg kell adnom a login adataimat és a második faktort. Mert ne gondolja senki, hogy ekkor csak a második faktort kell megadni, de a logint is. Aha, csak az a mail szerveren van, amelyről ötletszerűen épp kizárt az MS, mert jó ötletnek tűnt szerinte.
"itthon webes felületen minden belépéshez kér SMS-t" - nem SMS-t kér, hanem TOTP-t, ami lehet SMS _is_, azoknál, akiknél a naptárban az év az 19x-szel (vagy maximum 200) kezdődik...
Az, hogy _saját_ tulajdonú gépről dolgozol, az felvet néhány kérdést, de mindegy, ezért fájjon a cég megfelelő felelőseinek a feje...
Mégis milyen kérdéseket vet fel? Ott van az asztalomon a céges gépem is. Ha nem bízik bennem a cég, ne alkalmazzon! Nem a fizetett ellensége vagyok, hanem az a mérnök, aki úgy gondolja, közös érdek, hogy menjenek a dolgok. Én pénzt kapok, a cég a munka eredményét. Szabotázst céges gépről is el tudnék követni, valamint azt akárhonnan követném el, gazdasági bűncselekmény lenne, simán perelhető lennék érte.
Szerk.: sőt, két saját gépről dolgozom. Home office esetén az itthoni desktopról, a szervert VPN-en érem el, bent a kis linuxos gépemről, Windows-only software-ek használata esetén pedig a céges windowsosról.
Azt, hogy a cégnél a DLP, meg úgy általában az adatbiztonság témakör khm. vagy erősen alulszabályozott, vagy van ugyan szabályozás rá, de betarta(t)ni azt nem...
Céges adatot, információt tárolni saját, privát gépen, amit bármikor elvihetsz, amire semmilyen ráhatása nincs a munkáltatódnak...
Miért ne lehetne? Ha valaki feldug a hüvelyébe egy pendrive-ot, akkor mi van? Ha lenyelek egy SD-kártyát? Van céges know-how, de arról egy A4-es lapra rajzolva egy kocsmában is beszélhetnék, nem? Vagy az agyamat is törölni kellene minden nap, amikor haza indulok?
Nem minősített államtitkokkal dolgozom, hanem hardware fejlesztő vagyok. Tény, hogy sokat árthatnék a cégnek, de mondom, ha ennyire nem megy a bizalom, azzal az a probléma, hogy elmondhatom a titkokat szóban is.
Az esetek nagy részében a cég megbízik a dolgozóban annyira, hogy az nem fog szándékosan kárt okozni (azért ez ellen is fel kell készülni, de nyilván megvannak a korlátai). Azonban arra is fel kell készülni, és lehetőség szerint kivédeni, hogy az alkalmazott véletlenül, gondatlanságból okozzon kárt. Ebbe már sok minden belefér, pl. az is, hogy céges adatok csak céges gépen forduljanak elő, megelőzendő a véletlen adatszivárgást. (kötelezően titkosított SSD, pendrive, SD kártya tiltása, és lehet fokozni)
Ebből a szempontból elsősorban pont a túlzottan magabiztos emberektől kell védekezni a cégeknek. Amilyen te is vagy.
Céges notebook-ot biztos nem fogok hurcolászni, mert nehéz, nem autóval járok. Értem a szavakat, amit mondasz, hogy tőlem kell elsősorban védeni a céget, csak azt nem, hogy miért. Nem tettél mögé semmilyen érvet.
Már rég letettem arról, hogy téged bármiről is meggyőzzelek. Az, hogy neked bőven elég az, hogy jelszóval védesz mindent, elég sokszor leírtad. Ahogy azt is, hogy innentől kedve te tökéletesen védett vagy, mert a jelszavadat csak te tudod. Ez a hozzáállás pedig jelzi, hogy túlzottan bízol az egyébként messze nem bombabiztos védelemben. Tehát ezt nem nagyon kell bizonygatni, erre írtam, hogy magad vagy az érv.
A "miért" az a tapasztalat. Egy X1 Carbon töltővel együtt sincs másfél kiló... Egyébként én sem autóval járok, igaz, nem minden nap cipelem a gépemet, de a notebook.os "dolgozós" hátizsákom alaphangon több, mint három kiló (gép+töltő+egér+USB-s lomok+headset+...), igaz, ebben egy 15.6"-os notebook van, nem egy 14"-os apróság.
Ahogy a 2FA (MSauthenticator) kapcsán írtam, én cégvezetőként ezzel kapcsolatban is az ott jelzett két opciót kínálnám fel...
Ezért nem dolgozom nálad. (Bár gondolom, ez a „cégvezetőként” úgy értendő, hogy ha cégvezető lennél.) Nehogy már az legyen a munkavégzés feltétele, hogy lemondatnak a személyiségi jogaimról. Ezzel az erővel kezdhetnénk úgy a munkavégzést, hogy ezen a munkahelyen és annak 5 m-es körzetében érvénytelen a Munka Törvénykönyve.
Bingo. Ezt már legalább 1234 alkalommal próáltuk leírni neked... Igaz, hogy a pécén tárolt shared secret nem lesz biztosnágban annyira, mintha kifejezettenilyen célra kialakított tárolóba kerülne, dehát valamit valamiért...
Mert hülye is vagy - már bocs. A statikus user/pass páros eltulajdonítása/harmadik fél általi megismerése után a következő jelszócseréig meg tudnak személyesíteni, akár úgy is, hogy te nem tudsz róla. A 2FA ezt kockázatot zárja ki azzal, hogy gyakorlatilag minden bejelentkezésed során más a jelszavad.
Az SMS-t 2. faktornak használni egyébiránt ősi dakota szokás, máshol már kitárgyaltuk, hogy nagyon nem való/nem jó most már erre a célra.
Azt is kitárgyaltuk, hogy az SMS tufa azokat érinti, akik okostelefont használnak, s screenshottal ellopják a képet, vagy akiknek a SIM-jét a támadó a sajátjára cseréli, a szolgáltató meg nem ellenőriz személyazonosságot, az áldozat meg nem veszi észre, hogy „nincs térerő”. Szóval az az ősi dakota szokás teljesen jó.
Értem, hogy szerinted hülye vagyok, csak eléggé rossz megoldások vannak. Vagy valami amerikai cégnél tárolt kulcsok vannak, vagy nem nyílt forrású megoldások, vagy okostelefon szükségesség, vagy nem Linux desktop kliens, és így tovább. Talán a YubiKey tűnik egyedül jónak, remélem, ahhoz van linuxos interface.
"Vagy valami amerikai cégnél tárolt kulcsok vannak, vagy nem nyílt forrású megoldások, vagy okostelefon szükségesség, vagy nem Linux desktop kliens, és így tovább. Talán a YubiKey tűnik egyedül jónak, remélem, ahhoz van linuxos interface."
Ha a Google Authenticatorra gondoltál, akkor nagyon mellé ment a dolog a 2FA kérdésben, mert nem kell neki semmilyen hálózati kapcsolat, nem tárol semmit az eszközödön kívül. Ugyanezt a funkciót n+1 alkalmazás tudja (https://en.wikipedia.org/wiki/Comparison_of_OTP_applications), és mivel az algoritmus nem zárt, így te is le tudod fejleszteni a kedvenc programozási nyelvedet használva.
A Yubikey más jellegű 2FA eszköz - tessék utánanézni a TOTP, HOTP, Fido és hasonló dolgoknak.
Az SMS-sel az is a gáz, hogy nem garantált szolgáltatás(!), a TOTP app meg futhat bárhol, ahol a secret (a kiindulási hash) megfelelően védett módon tárolható (Ezért javasolt Android/iOS okostelefon, mert ott van erre megfelelően védett tároló.
Ha a Google Authenticatorra gondoltál, akkor nagyon mellé ment a dolog
Nem hiszem, hogy egy autonóm szolgáltatásba a magyar állam vagy egy magyar cég felveheti a Google nevet csak úgy, tehát azt bizony a Google nyújtja, azaz nem ment mellé.
nem tárol semmit az eszközödön kívül
Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!
A Yubikey más jellegű 2FA eszköz
Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű.
Az SMS-sel az is a gáz, hogy nem garantált szolgáltatás(!)
Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!
javasolt Android/iOS okostelefon
Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem.
Az, hogy a Google csinált egy alkalmazást, ami a TOTP funkciót nyújtja, az annyit jelent, hogy ők rakták össze Android-os telefonokon lehet használni, de ennyi köze van a Google-nek hozzá, semmi több.
"Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!" - Azt írtam, hogy az eszközödön _kívül_ nem tárol semmit. Értő olvasásból elégtelen. Az idő alapú egyszer használatos jelszóhoz kell egy adathalmaz, ami alapján az időtől függő egyszer használatos (helyesebben megadott rövid ideig (legfeljebb percekig) érvényes), azonosításra szolgáló kódot (hat jegyű szám) ki tudja számolni.
"Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű." - Olvasni, tájékozódni kéne a témában - más a "shared" infromáció, illetve más az algoritmus, amit a felek használnak az egyszer használatos kód előállításához.
"Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!" - Ilyen alapon valóban, csak ha megnézed, az SMS célba érkezését semmi és senki nem garantálja...
"Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem." - Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.
Mint említettem volt, semmilyen kommunikációra nincs szükség a GA-t futtató telefon és a külvilág között - oké, ha nem pontos az órája, akkor azt néha helyre kell húzni, de arra a GPS (ami passzív eszköz, azaz csak futásidőt mér, visszafelé nem kommunikál) is tökéletes megoldást ad.
annyit jelent, hogy ők rakták össze Android-os telefonokon lehet használni
Tehát kell hozzá androidos telefon, Google ÁSZF elfogadás, van benne GPS, egy kémgép az egész.
az eszközödön _kívül_ nem tárol semmit
Ezt gondolom, úttörő becsszóra mondja a Google, ezért nekem el kellene hinnem.
Olvasni, tájékozódni kéne a témában
Valóban, de az egész annyira nyomasztó, annyira lehúz, hogy amíg nem muszáj, kerülöm.
az SMS célba érkezését semmi és senki nem garantálja
Ahogyan egy TCP csomagét sem. Akkor sem, ha épp ez az UDP-hez képest a mássága. De nem, mert ha kihúzzuk alóla a fizikai réteget, varázsolni a TCP sem tud. A valóság nem olvassa az RFC-ket.
Akkor használj pécét
Ezt teszem.
abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni
Azért lehet, nekem megteszi a file-ban tárolás is. Valahogy a /etc/shadow is képes hash-t tárolni a gépemen. Látod, még azt is megmondtam, hol tárolja.
GPS (ami passzív eszköz, azaz csak futásidőt mér, visszafelé nem kommunikál)
A GPS nem. Az csak meghatározza a helyet, a telefon meg elmondja a Google-nek hálózaton, hogy hol van. Ha véletlenül nem lenne GPS, megteszi ezt a környező SSID-k alapján. A környék többi telefonja majd elmondja, azok az SSID-k milyen GPS koordináták közelében vannak.
Mindettől függetlenül van egy olyan gyanúm, hogy hamarabb kell Google ÁSZF-et és adatvédelmi nyilatkozatot elfogadnom, mintsem bármit csinálhatnék a telefonnal, továbbá nem tudom kontrollálni, hogy ne kommunikáljon egyáltalán hálózaton.
Értő olvasásból már a második elégtelenedet írhatod be magadnak... NEM kell hozzá semmilyen online kapcsolat, és offline-ban, wifi meg mobilhálózat nélkül, az apk-t mondjuk blútyúkon ráküldve ki nem sz@rja le, hogy az asztalon pihenve (mert ugye csak azstali gép az istencsászárkirály, és csak onnan bármit is) milyen adatokat tárol a nemmozgatásáról, a nemnyomkodásáról...
"Ahogyan egy TCP csomagét sem. Akkor sem, ha épp ez az UDP-hez képest a mássága. De nem, mert ha kihúzzuk alóla a fizikai réteget, varázsolni a TCP sem tud. A valóság nem olvassa az RFC-ket" - az SMS az nagyjából az UDP szintje, valaki elindítja, fizet érte(!), és vagy odaér a címzett SIMID-t tartalmazó eszközhöz, vagy sem. De erről semmilyen visszajelzést nem fogsz kapni.
"A GPS nem. Az csak meghatározza a helyet, a telefon meg elmondja a Google-nek hálózaton, hogy hol van. Ha véletlenül nem lenne GPS, megteszi ezt a környező SSID-k alapján. A környék többi telefonja majd elmondja, azok az SSID-k milyen GPS koordináták közelében vannak."
Leírom lassan: a TOTP működéséhez semmilyen hálózati kapcsolat, semmilyen más eszközzel történő kommunikáció nem szükséges. Az eszköz sem nem fogad, sem nem küld adatot, kizárólag a preshared secret az, amit be kell valahogy tolnod a készülékbe, például úgy, hogy QR-kódot olvas le az eszköz, akár full offline módban.
"nem tudom kontrollálni, hogy ne kommunikáljon egyáltalán hálózaton." - SIM-et nem raksz bele - mobilhálózatra nem tud hozzád vagy bárkihez kapcsoltan feljelentkezni (hiszen nincs benn előfizetőazonosító modul, azaz SIM), csak a segélyhívásokat tudja kezdeményezni. WiFi-hez nem adsz neki adatot - wifi-re sem fog tudni feljelentkezni.
De sokadszor (és újabb elégtelen értő olvasásból...) leírom, hogy ez csak egy kényelmes és biztonságos lehetőség a presared secret tárolására és abból idő alapon TOTP kód generálására - megteheted, hogy te raksz össze egy alkalmazást a pécéden, és ott tárolod azt az adatot, amiből a TOTP kódot generálod.
"Azért lehet, nekem megteszi a file-ban tárolás is. Valahogy a /etc/shadow is képes hash-t tárolni a gépemen. Látod, még azt is megmondtam, hol tárolja." - és aki root tud lenni a gépen, az viheti is... Vagy viszi a gépedet mindenestől...
aki root tud lenni a gépen, az viheti is... Vagy viszi a gépedet mindenestől...
Na, dehát az épp én vagyok! Ha viszi a gépem, akkor már mindegy. Ha az ujjamat levágja, akkor van ujjlenyomata, ami az enyém. Ez ilyen.
Nem az a gondom, hogy ne hinném el, hogy a TOTP-hoz nem kell hálózat, hanem az, hogy ha vennék egy ilyen sz.rt - eleve miért költsek rá súlyos tíz- esetleg százezreket -, a bekapcsolása után szerintem a bejelentkező képernyő, hogy elfogadom a Google ÁSZF-ét és adatkezelési szabályzatát. Gondolom, csak OK opcióval, Mégse gomb nélkül, hogy növeljük a felhasználói élményt, nehogy eltévedjen a felhasználó. És akkor vihetem vissza a berendezést azzal, hogy elnézést, nem működik ez a sz.r, kérem vissza a pénzem. Továbbá nem tudom majd használni a TOTP-ot sehogyan sem. Ráadásul itt sem adtok majd tanácsot, mert ezt az esetet még senki sem próbálta ki, de örömmel olvassátok az erről szóló tapasztalataimat.
Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.
Használjon akkor egy külön, air-gapped, azaz offline PC-t vagy laptopot a TOTP kódjainak tárolásához. Ezt a gépet tárolja egy páncélszekrényben és csak arra az időre vegye elő, amikor éppen belép vele a bankba, illetve amikor utal. Biztonságos lesz, de kényelmes nem.
Nézd, egy OS beépített jogosultsági rendszere, aminek az a dolga, hogy authorizációt végezzen az accessen, az bizony minden emberi értelmezés szerint " protected against unauthorized access and usage."
Azt elhiszem, hogy neked ez nem tetszik, mert szerinted ez kevés, mert szerinted kizárólag a mobilos secure storage a megfelelő, a valóság ezzel szemben az, hogy ezt az általad idézett félmondat maga sorolja explicit a nem kötelező kategóriába. Az, hogy szerinted a chmod szarabb access control, mint amit egy mobil OS csinál, az az rfct nem érdekli, ha lol, ha nem.
(Azt az öngólt meg hagyjuk is, hogy ha az ember nem root az eszközön, akkor ez az egész kevés, miközben kedvenc bankjaid a safetynetes színházzal aktívan nem hagyják, hogy root legyél ;) )
Ez így van. Valamiért az RFC mégsem megy bele ebbe alaposabban. Illetve egy kicsit de:
We also RECOMMEND storing the keys securely in the validation system,
and, more specifically, encrypting them using tamper-resistant
hardware encryption and exposing them only when required: for
example, the key is decrypted when needed to verify an OTP value, and
re-encrypted immediately to limit exposure in the RAM to a short
period of time.
The key store MUST be in a secure area, to avoid, as much as
possible, direct attack on the validation system and secrets
database. Particularly, access to the key material should be limited
to programs and processes required by the validation system only.
A másodikból következik egy külön service user, vagy a megfelelő selinux/apparmor policyk. Attól függően, hogy hogyan értelmezed a tamper-resistantot az elsőben, esetleg rá lehet fogni, hogy az már mondjuk az adathordozó fizikai védelmét jelenti (sav tabletta, nyitás riasztó, stb), és a data-at-rest protection titkosítás még a másodikba értendő. De tekintve a "particularly" példát, ami runtime dolgot feszeget, nem hiszem, az az én megítélésem szerint már a tamper-resistant részhez tartozik (egyébként a példád már egyértelműen az első, a disk kivétele mindenképp tamper).
Vegyük észre, hogy
az első csak SHOULD, szóval indoklással megengedi az rfc, hogy ettől eltérj
Mindkettő kifejezetten a validation, vagyis a szerver oldallal kapcsolatban fogalmazza meg, amiből bizony következik, hogy ezek nem elvárások a kliens oldallal szemben.
Szóval értem én, hogy nem tetszik (bár van véleményem arról, hogy egyébként miért ilyen "laza" ez), de bizony az RFC-ből akkor is az következik, hogy a "szokásos" authorization az elvárás (és indokkal még attól is el lehet térni!), márpedig az linuxon a chmod és a chown.
Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.
Tehát az okostelóm, amihez még rootjogom sincs, biztonságosabban tárol bármit is, mint a gépem, ahol titkosított merevlemezen, titkosított állományokban (Tomb és tsai.) titkosított jelszóadatbázisokan tárolhatok dolgokat, és titkosított mentéseket tudok csinálni (mindezt akár testre szabva, nem úgy, mint okosteló esetén)?
Igen, így van. A pécéden egy root jogú processz mindenhez hozzá fog férni, a memóriában ott lesz a titkosított fájl kinyitásához szükséges adat, ahogy a fájl tartalma is részben vagy egészben elérhetővé válik a feloldást követően.
Próbáltál már Android-os telefonra felrakott privát kulcs+cert (klienst ezzel azonosítja a túloldal) párost kinyerni Android-os telefonról?
A gépemen elvileg csak nekem van rootjogom; a telefonomon nekik van, nekem nincs. Ez így minden, csak nem megbízható. Ja, és valószínűleg nem erre gondoltál, de egy nem Gugli által szállított tufaalkalmazásból tudtam magamnak mentést csinálni a gépemre; anno ez a Gugli-tufával nem sikerült, mert ők jobban tudják, és nem kell az nekem.
Igen, nekem is ezzel van bajom. Nem bízom meg egy olyan eszközben, amely fölött nem én gyakorlom a kontrollt, amelyhez nem lehet root jogom, ami tele van szenzorokkal, ami epedve várja, hogy hálózaton kommunikáljon az anyacéggel, ha akarom, ha nem.
Részlet a Microsoft honlapjáról, de ennél jóval több van ott (böngészési előzmények, érdeklődési kör, partnerek és kapcsolatok, tartózkodási hely):
Az általunk gyűjtött adatok a következőket foglalhatják magukban:
Név és kapcsolati adatok. Az Ön vezetékneve és utóneve, e-mail-címe, postai címe, telefonszáma és egyéb hasonló kapcsolatfelvételi adatai.
Hitelesítő adatok. Jelszavak, jelszó-emlékeztetők, valamint a hitelesítéshez és fiókeléréshez használt hasonló biztonsági adatok.
Demográfiai adatok. Az Ön életkorával, nemével, országával és választott nyelvével kapcsolatos adatok.
Fizetési adatok. A fizetések feldolgozásához szükséges adatok, ideértve a fizetési eszköz (például hitelkártya) számát, valamint a fizetési eszközhöz társított biztonsági kódot.
Előfizetési és licencelési adatok. Előfizetésekkel, licencekkel és egyéb jogosultságokkal kapcsolatos információk.
Rövidebben: mindent gyűjtenek mindenkiről, mindenhonnan, gátlástalanul. És ez csak az MS, nem a Google.
A telefonon ahhoz a tárolóelemhez, amibe a kritikus/érzékeny adatokat pakolja az Android, te tudsz hozzáférést adni az alkalmazásoknak azzal, hogy azonosítod magad - célszerűen biometriával. Nagyon másképp vannak a jogosultságok, mint a (ugo)x(rwx), de az UID=0 mindent visz szint...
"Gugli-tufával nem sikerült, mert ők jobban tudják" - Igen, jobban tudják - ugyanis a gépeden nem tudsz olyan biztonságos tárolóelemet alárakni a mentés alá, amit az Android és az alatta lévő hardver tud.
Egyrészt ne csináljunk már úgy, mintha !mobil OS-en ne lehetne biztonságosan tárolni érzékeny adatot, vagy ne lehetne akár hardwares megoldást dugni bele, ha nagyon kell, ne szórakozz már, konkrétan veszel egy yubit, vagy bármi más tokent, másrészt meg igen vicces, hogy odalent mi van ha a selinuxot megnyomják, bezzeg androidon, ahol ugyanaz a selnuxal megvalósított access control, az az überkirályság.
Semmit nem fog számítani, az átlag user amíg személyesen nem érintett, pont szarik az egészre, tök mindegy milyen a bank, a kiszolgálás, a szolgáltatás vagy mennyik a költségek.
Ugye a nagy kérdés, hogy ez melyik app - mert OTP Simple app-ból csak a Google Play-en van kettő is (régi és az új) - vagy esetleg maga a háttérrendszer?
A tipped valószínűleg helyes. Idézet a frissített Telex cikkből:
Frissítés 23:29-kor
Az OTP megkeresésünkre közölte, hogy más, nem OTP-s felület(ek)en eltulajdonított felhasználónév/jelszó kombinációkkal digitális adattolvajok robotizált módszerrel több ezer felhasználó fiókját valóban feltörték, és megváltoztatták a regisztrált e-mail címeket.
Értem, tehát azért, mert más hülye, sz.pjak én. Avagy, mert más nem zárja be az ajtaját, vagy a lábtörlő alá teszi a kulcsot, hegesszük be minden reggel, távozásomkor az én ajtómat is. Remek.
Szerk.: Szerintem jobb az, amit én csinálok. Mindig eseti bankkártyás fizetés, nem regisztrálok fiókot.
Mindig eseti bankkártyás fizetés, nem regisztrálok fiókot.
Ezé' a kommenté' jöttem. :) Hozzátéve, hogy általában sem mentem el semmilyen oldalon/alkalmazásban a kártyaadataimat,
mert értékelhető haszna nincs, a kára viszont nagy lehet.
Most jött az üzenet, hogy a 2FA-t bevezetik 2023. dec. 11-től. Ezzel kicsit elkéstek egy olyan szolgáltatás esetén, ahol kártyaadatok vannak tárolva akár részben is.
Szerencsére nem használom az app-ot (régen használtam), nincs tárolva egy kártyám sem, valószínűleg nem bíztam már akkor sem semmilyen OTP-s megoldásban.
Mondd annak a balfasznak, aki 430-nál bevásárolt belőle, hogy most 379-nél semmi baj, lehet, hogy egyszer majd valamikor a pénzénél lesz. Én a te bölcsességeidért járok ide, főleg az üzletiekért :D :D
Amíg ezek a szerencsétlenek arra várnak, hogy visszakapaszkodjanak a "0-ra", addig én röhögve keresek évi 20% körül. Szólj ha meglesz nekik a "0"-n vagyok :D
Kínodban feldobtál magadnak egy hazugságot? Vagy mi?
Ingatlanok, luxus ingóságok, állampapír, egyéb értékpapír befektetéseim vannak, hogy csak a nagyobbakat említsem. Fogalmam sincs, hogy az alternatív világodban mik vannak meg velem kapcsolatban.
Lehetnek kellemetlen kérdések, ettől még szerintem meg fogják szivatni azt, aki azt állitotta, hogy az ő rendszerüket törték fel, mert nem ez történt. Fogyatékos userek, nehogy banki, de általános internetes használatra alkalkatlan jelszavakat használó fiókjaiba léptek be.
Egy banki rendszer feltörése ettől irgalmatlan messze van.
Egy banki rendszer megtörése pontosan így néz ki. Mert a ne legyen MFA, mert nem felhasználóbarát az pontosan ide fut ki. A felhasználó szemszögéből a bank van megtörve, ha nincs meg a pénze. Akkor is, ha ő a hülye az IT-hoz.
Az OTP alkalmazása. Varázsolhatsz köré mesét, de ezért is népszerű. És a user-ek - mivel OTP - simán megadják a rendes bankkártyájukat is. (Egyébként a fintech nem a megoldás: a lesajnált Revolut-nál pl. van MFA.)
Egyébként nem olyan rég ez volt az etalon fintech app nálad. Mi változott?
Nezopont kerdese. Nekem, mint OTP kliensnek az OTP leanyvallalata altal szallitott appot hasznalva - aminek a problemaival kapcsolatban nem az OTP mobil, hanem az OTP bank nyilatkozott - eleg eroteljesen banki alkalmazas.
Error: nmcli terminated by signal Félbeszakítás (2)
Banki rendszer volt a kinyilatkoztatás. Semmiféle banki rendszert nem törtek meg. Sérülékenységet használtak ki? Jelen infók szerint nem. Mit használtak ki? Hanyag userek hanyagságát.
A bank megengedte, hogy a felhasználók nem biztonságos jelszavakat használjanak. Pluszban nem használnak ezt a problémát enyhítő egyéb megoldást mint pl az MFA.
A mai világban nem elég a jelszó komplexitást erőltetni. Aktívan kellene nekik is nézni, hogy elérhetőek a felhasználók jelszavai nyilvános adatbázisokban, nem használnak-e olyan gyakran használt olyan jelszavakat amik a komplexitási kritériumoknak megfelelnek.
Semmit sem jelent. Balfaszság feltörésről beszélni, amikor az ajtón mentek be a hozzávaló kulccsal (jelszó). A kulcsot a tulaj hagyta el. Az ajtót nem kellett feltörni. Az más kérdés, hogy a belépés illetéktelen volt, de itt vastagon van felelőssége a tulajnak is.
Erre írtam, hogy igen, az OTP csinálhatta volna jobban. De, kérdeztem is: van ilyen kötelezettsége? Pont azért könnyítettek (szerintem) a használaton, mert
ez egy kényelmi app (nem banki)
vannak beépített korlátozások (mert nem banki app)
A túl bonyolult használat pont azt ölné meg, amire ezt a fintech appot létrehozták: a gyors és kényelmes fizetést
Nem az ő kötelességük ellenőrizni, hogy jogosulatlanul ne lehessen hozzáférni a szolgáltatáshoz?
Ahhoz, hogy biztonságosan lehessen használni nem kötelező, hogy bonyolultabb legyen. Mivel applikációból használják gondolom sokan, meg regisztrált böngészőből, milyen kényelmetlenséget okoz a napi használatban, ha nem engedik új eszközről (telefon, böngésző) csak másodlagos azonosítás után használni???
Tudták, hogy a fehasználóik jó része hordozza ezt a kockázatot, de nem tettek semmit sem ellene miközben
lehet ellene tenni
az ő felelősségük azonosítani a felhasználókat és csak a jogosult felhasznállást engedni.
Ha fintech ha nem akkor is van banki hátterük.... így még cikibb a dolog...
Kérdeztem. Törvény, jogszabály akármi előírásuk van rá? Ha nincs, akkor nem. Azt sem kell ellenőrizniük, hogy te a bankkártyádra alkoholos filccel ráírod-e a PIN-t, utána pedig ott hagyod az ATM-en a leolvasó padon.
105. Service Provider informs the User, that with respect to the Simple Card service, Service provider acts as tied agent on behalf and for the benefit of OTP Bank Plc., pursuant to 10. § (1) ab) of Act CCXXXVII. of 2013 on credit institutions and financial enterprises; moreover, that with respect to said tied agency, Service Provider falls under the authority of the National Bank of Hungary. The National Bank of Hungary’s records on financial intermediaries may be accessed and viewed by the User at the following address: https://alk.mnb.hu/bal_menu/piaci_szereplok/nyilvantartasok/penz_kozv_lekerdezo
106. Regarding the tied agency of the Service Provider, the consumer protection information and the complaint regulations of this GTC shall apply accordingly.
elhagyta valahol az e-mail címét (nem használunk ilyen helyen spamgyűjtő e-mailt)
olyan szar jelszót használt, amit már megadott olyan helyen, ahol vagy cleartext tárolták / vagy olyan fos, gyakran használt volt, hogy könnyen feltörték
Ez mind oké, de szolgáltató oldalról megtették a 2023-ban minimum intézkedéseket, hogy az ismert felhasználói szokások következtében bekövetkező illetéktelen hozzáférést megakadályozzák?
Kérdeztem már többször, hogy milyen minimális intézkedések vannak előírva rájuk. Mit kellett volna betartani? Mit lehet rajtuk számon kéni bíróság előtt? Amíg erre nincs válasz, nem lesz válasz a kérdésedre sem.
Annyi időm nincs, hogy ezt kutassam neked itt. A szakmai oldalról (ez egy szakmai portál) viszont ez vérciki.
Ha ellopták eközben a személyes adatokat és a kártya adatokat (amiket ők kezeltek) akkor lehetne mit kapargatni.
(és miért ne tették volna, hiszen hozzáfértek a Simple rendszerében ezekhez)
Beperelni nem érdemes őket emiatt mert nem keletkezett ügyféloldalon nagy kár azon kívül, hogy az ügyfeleknek javasolt átgondolnia, hogy a kártyaadatai illetéktelen kezekben lehetnek és költségek merülhetnek fel a kártya cserékkel kapcsolatban.
Szerencsére nem vagyok ügyfelük, mert nem bíztam meg bennük ;-)
Amit tudok, hogy szakmailag nem védekeztek egy ilyen esemény ellen pedig lehetett volna.
A viselkedésük alapján gyanús, hogy érzik a problémát ők is. Bíróságot felesleges idekeverni a fentebb írtak miatt. Nem érte az ügyfeleket jelentős kár. Személyesen meg nem vagyok érdekelt.
Most majd tesznek ellene, mert üzletileg sem kifizetődő egy ilyen akció utáni takarítás. Főleg nem mert a jelenlegi rendszerrel változtatás nélkül tuti, hogy elő fog fordulni időnként újra és újra...
Ezt nem csak az ügyfelek szívták meg hanem maga a Simple is. Reputációs kár is keletkezhetett valamekkora, de munka is van a helyzet megoldásával bőven gondolom...
Itt a szolgáltatói oldal is ugyanolyan balfasz volt (sőt)...
Több ezer OTP Simple-felhasználó fiókját törték fel, de a bank szerint anyagi kár nem történt
Ebből mi a nem igaz? Az ügyfelek egy jelentős részét megszemélyesítették és jogosulatlanul hozzáfértek a rendszerhez és az abban tárolt személyes és bankkártya adatokhoz. Az szolgáltató egyáltalán nem védekezett ez ellen a nagy valószínűséggel bekövetkező és könnyen kivitelezhető (és könnyen kivédhető) általános támadási forma ellen.
Az OTP simple ugyanannyira - ha nem jobban - felelős a helyzetért mint a felhasználók. Ezt közösen hozták össze.
Tevőlegesen itt nem adták oda a kulcsot a felhasználók senkinek.
Az történt, hogy a polgármester olyan lakásokat építetett ahova a bejárati ajtóhoz a kulcsot nem egyedileg adta oda a felhasználóknak hanem megengedte nekik, hogy hozzák a saját megbízhatatalan kulcsaikat is amit máshol is használnak. A máshol használt kulcsot és azt az információt is megszerezték hogy ezek a lakások így épültek és védtelenek. A vége az lett, hogy bementek. Sokakhoz...
Igen a topic címe az félrevezető. A credential stuffing sem mai dolog a NIST-be 2017ben került be. A credential stuffing cikkek szerint a felhasználók 60+%-a használ azonos felhasználónév/jelszó párost különböző szolgáltatásoknál. Ez kvázi egy adottság amihez alkalmazkodni kell. Ide adminok járnak azért koncentráltam a szolgáltatói felelőssége és a védekezésre.
Afelelőtlen felhasználókat oktatni kell, remélhetőleg ebből az esetből is tanulnak. Aki menthetetlen az meg...
az ismert felhasználói szokások következtében bekövetkező illetéktelen hozzáférést megakadályozzák?
Akkor a MÁV-nak meg kellene akadályozni, hogy az öngyilkos jelöltek ne üttessék el magukat a vonattal? A késgyártóknak élvédő tompulással kellene kést gyártani, így legalább késként sem funkcionálhatna? Vagy hogy?
A MÁVnak azt nem, de tehet a balesetek ellen pl.: sorompóval védett vasúti átjárók. A gyalogosok, bicikliseknek épített vezető korlátok. Jelzőberendezések stb... (és tesznek is)
A késgyártók is úgy tervezik a késeket, hogy szándékolatlanul ne okozzanak sérülést. (pl megfelelő markolat)
Én inkább a gyorshajtás miatt bekövetkező baleseteket hoznám példának. A gyorshajtásról nem sikerült leszoktatni a népeket, de sokat javított a biztonságon a biztonsági öv és a légzsák is.
"Nem az ő kötelességük ellenőrizni, hogy jogosulatlanul ne lehessen hozzáférni a szolgáltatáshoz?" - Ellenőrizték. Azzal, hogy az user által javasoltan csak ott használt valid jelszóval lépett be a fiókjába.
Azért álljunk meg. Hol lesz a komplexitás határa? Minimum 16 katerrel és minimum 3-4, nem egymás melletti speciális karakterrel? Egyébként nem a jelszavak minősége, hanem a kiszivárgása volt a probléma. Ha a szuperkomplex jelszó kiszivárog, és mindenhol ezt használja az illető, akkor a hajára kenheti a komplexitását meg a hosszát.
Ezt te sem gondolod komolyan, hogy minden szolgáltató majd azt vizsgálja, hogy a kedves juzer jelszava az merre hova szivárgott ki.
Dehogynem. Több értelme van a kiszivárgott jelszavakat vizsgálni a saját usereknél mint a komplexitással bohóckodni egy szint fölött.
Lehet akármilyen komplex ha ellopták valahol - és nyilvánosan hozzáférhető. Nem kéne ezt minden szolgáltatónak vizsgálnia csak azoknak akik adnak a biztonságra ;-)
(kb ugyanazt mondjuk)
Alternatívaként nem csinálnak olyan rendszert ahol a sima user/pass párossal azonosítanak mint a múlt században... (és akkor mindegy, hogy kiszivárgott.e vagy nem)
Az első linken levő szolgáltatás jelszót kér - ugye az a probléma hogy a user jelszavát neked nagyon nem szerencsés plaintext tárolni, tehát lookup-t sem tudsz csinálni ha a lopottjelszókereső nem fogad el hash-t.
... ergo akkor kell lekérdezni, amikor még megvan plaintextben, tehát a felhasználó épp begépelte. Ahogy a megfelelő jelszóbonyolultságot is akkor ellenőrzi a rendszer.
.. ergo ez fél - egyév múlva már irreleváns lesz - meg egyébként sem ártana egyrészt már a kliens oldalon hash-t generálni, másrészt informálni a usert hogy elküldöd a jelszavát valahova (ami aztán valamit csinál vele).
Husz evvel ezelott irtam egy gagyi weblapot, volt user kezeles, regisztracio es chapta. Ami jelszot a user begepelt, abbol lett egy md5 hash, ehhez hozzafuztem egy szerverrol kapott egyedi stringet, ebbol ujra md5, es ez utazott vissza hozzam. A jelszava nem hagyta el a bongeszojet. Aki ma, 20 ev mulva a jelszavamat kikuldi az internetre, az IMHO rohadjon meg.
Jogilag elég ingoványos területnek tűnik lopott jelszók milliót tárolni.
Egyébként YleGreg arról írt hogy a hash a kliensen jön létre, ott biztosan nem lehet lopottjelszóadatbázist tárolni.
A Simple (legalábbis részben) mindenképpen banki program. Az a része, amely a kártyaelfogadási funkciókat végzi, az banki program, mert az banki tevékenység, azok is kötelezően használják, akiknek nincs Simple fiókjuk, csak olyan helyen vásárolnak valamit online, amely az OTP-vel kötött kártyaelfogadói szerződést. (BKV, Volán, MÁV-jegy) Ebből a szempontból ráadásul választásom sincs, hogy használom-e vagy sem, ha BKV-jegyet kell vennem, akkor rákényszerülök. Szóval ez nem fintech alkalmazás, hanem a bank kártyaelfogadói szolgáltatásának része. Az, hogy Simple fiókok is vannak, ez ettől független, de az OTP szándékosan egybevonta a kettőt.
A többivel egyetértek, bár a 4. ponttal csak részben. Valóban nem kötelessége a sajtó felé bejelenteni a dolgot, viszont jól felfogott érdeke ezt megtenni. Szerintem meg is tették, különben nem lenne a cikkben ez az információ.
Ha ezeket tudná, nem kellene az OTP mobilbank alkalmazás. Nem véletlen kettő alkalmazás a kettő. A Simple egy fintech app, ami az online bankkártyás és azonnali fizetési megoldásokra specializálódik. Nem banki alkalmazás és legfőképpen nem banki rendszer, ahonnan indultunk.
Nem világképről van szó. Egyszer kijelentette, hogy ez nem banki alkalmazás, ezek után már minden eszközzel kidumálja magát, illetve a valós érvek leperegnek. Fenn kell tartani a tévedhetetlenség mítoszát. Mindenesetre én leszarom.
Nem egészen. A CBA a sarkon elfogadja a kártyát. Ennek érdekében szerződést köt egy bankkal, (pl. OTP) amely rendelkezésére bocsát ehhez kártyaolvasót, és folyamatosan nyújtja a kártyaelfogadói szolgáltatást. Ugyanezt a szolgáltatást nyújthatja a bank online kártyaelfogadáshoz is, az OTP esetében ehhez felhasználja a Simple alkalmazás egy részét.
Nem biztos hogy baj volna ha tájékozódnál kicsit (és nem csak hallomásból) hogy a paypal mit gondol magáról mielőtt ilyen kijelentéseket teszel.
Az se lenne baj ha meg tudnád különböztetni a kártyaelfogadás és a kártyaadat-tárolás funkciókat és a mögöttük húzódó hatósági és egyéb követelményeket.
Persze lehet hogy ez utóbbi túlzó elvárás és csak a ténylegesen a területen dolgozóktól elvárható - ebben az esetben viszont fogadd el az infót azoktól akik ezt élik minden nap.
Arra akarok kilyukadni hogy alábecsülöd a paypal-t. Kezelnek azok kártyaadatot, pénzt meg még hitelt is adnak. Minden szempontból több nagyságrenddel nagyobbak mint a simple.
Újabb blabla. A kártyaelfogadási szolgáltatást az OTP nyújtja. Az OTP bank, tehát banki app. Ennyi. Az, hogy más pénzintézeti vállalkozás is nyújthat kártyaelfogadási szolgáltatást, nem változtat azon, hogy az OTP mint bank nyújtja a szolgáltatást.
Igen, te mindig azt hiszed, hogy ha bármit leírsz 20-szor, akkor az igaz lesz, mert te leírtad. Ez persze tévedés, de ez téged nem szokott zavarni. Most hagyok helyet, hogy még 20-szor leírd.
A SIA-CE (leánykori nevén GBC) ebben alvállalkozó. Adott esetben ő biztosítja a személyzetet a terminál kihelyezéséhez (nem feltéltenül persze), valamint biztosítja a kommunikációt - vagy annak egy részét, de a kártyaelfogadói szerződést jellemzően a bankkal köti meg az elfogadó.
(ha jól tudom, pont az OTP nincs szerződéses viszonyban az említett SIA-CE-vel)
Sokszereplős a sztori.
Vásárló, bolt, kártyaelfogadó (ke), bank1 (vásárló bankja), bank2 (bolt bankja).
Amit írsz az úgy igaz.
Én egy másik szitura gondoltam:
- vásárló vásárol a bankban és mondjuk bank2 le van szakadva
- ekkor vásárló nyugodtan elmehet, részéről a tranzakció letudva
- ke már zárolta bank1-nél az összeget
- ke meg majd bank2-vel lerendezi amikor sikerül
- bank1 leszakadása jó kérdés, ke és bank1 közötti szerződéstől és megvalósítástól függ hogy ilyenkor is sikerülhet-e a tranzakció
Amikor a banki számlavezető rendszer zárt állapotban/offline-ban van, akkor meghatározott szereplő az, aki authorizál, a zárt állapot/offline kezdetekor megkapott egyenlegek alapján.
Ez egy EU szabályozás alatt működő Emoney (EMI) szolgáltatásról beszélünk a Simple esetén (főként azért, mert van pénztárca funkciója is) Magyarországon ezeket egy név alatt "pénzforgalmi intézmény"-nek hívják.
Itt elérheted ki a szolgáltató, és milyen tevékenységei vannak:
Nyugodtan javítgathatsz, a HUP adatbázisban sok minden elfér. Továbbra sem lesz banki app, sem banki rendszer.
Nem is véletlen, hogy sokkal kevésbé védik. Nézd meg az OTP banki appját és találd meg a lényeges különbségeket köztük. Beleértve a biztonsági funkciókat is.
Legalább magad ne cáfold meg, ez egy *banki rendszerrel egyenértékű rendszer* a szabályozás szerint. (itt pont van, vitát képtelen vagyok nyitni róla)
Az hogy megtörték. Én ezt a szót nem értem. Nem tudok semmit az aktuális eseten kívül mint amit itt olvastam, ezért az összes *következtetés* az alapján történik. Én itt azt látom, a szolgáltató szerint a felhasználói mulasztottak.
Amit te írtál az maszatolás. Ennek a rendszernek hasonló biztonsággal kell üzemelnie mint egy bank belső rendszerének.
Nem is volt baj a biztonsági rendszerével, nem törték meg a Simple-t. Van néhány user, aki odaadta másoknak a login adataikat, s mások azt felhasználva beléptek.
Teljes mértékben a topic címében jelzett témáról írtam. Attól, hogy kinyilatkoztatsz valamit, itt azt, hogy offtopic a hozzászólásom, az még nem válik igazzá.
Hát, hogyne :D Abban, amiben az ukránok mindjárt nyernek, a Tesla-t nem kell szervizelni, amelyikben az állampapíron nem lehet keresni, amelyikben a nem létező ellenzék a többség és még a végtelenségig sorolhatnám a hülyeségeket, amik a párhuzamos világaitokból jönnek. Ilyen pl. az is, hogy megtörték az OTP Simple rendszerét :D
Most miért nem azzal érvelsz, hogy azért beszélek baromságot, mert: (és itt szakmai érvek szerepelnek pl. hogy te tudod mi a különbség a bank és a EMI közt és ezek emiatt más követelmények vannak). Nem azzal, hogy más, szerinted általam kritikusan képvisel véleményem ütközik a tieddel? Vagy eddig tartott az igény a szakmaiasságra?
Nem neked. Trey, megtérték -> megtörték, érdemes javítani. Jó, válaszolhattam volna neked is, rád nem vonatkozik, hogy csak addig szerkesztheted, amíg valaki nem válaszolt rá. :)
Nagyon nem. Banki rendszer megtörése úgy néz ki, hogy még a normális user (egyedi, erős jelszó stb) számlájához is hozzáférnek, mert nem a user belépési adataival bohóckodnak, hanem a backend-et képesek vezérelni.
Itt még csak hasonló sem történt.
De gondolom - ha van bármi közöd az informatikához - amikor a laikusok arról beszélnek, hogy felnyomták valaki facebook-ját, akkor te sem arra gondolsz, hogy felnyomták a facebook biztonsági rendszerét, hanem egy tökhülye user belépési adatait szerezték meg és zárták ki a fiókjából. Hát is pont ezt történt.
Banki rendszer megtörése úgy néz ki, hogy még a normális user (egyedi, erős jelszó stb) számlájához is hozzáférnek, mert nem a user belépési adataival bohóckodnak, hanem a backend-et képesek vezérelni.
Ez a te definíciód rá? (nem támadólag)
Sztem a "feltörték/megtörték" szó használata a butaság jelen esetben.
Az adott eset (az üzemeltető szerint) olyan sérülékenység amely a felhasználó oldaláról jogosan elvárt körültekintés elmulasztására mutat vissza.
Ha ez maradéktalanul igaz, még mindig lehetséges, hogy lesz kapargatni való a szolgáltató háza táján. Ha nem igaz, hanem a rendszerek a rendszer sérülékenységéből fakadóan kerültek ki (ugye erre vonatkozóan csak a szolgáltató álláspontját ismerjük ami szerint nem így van, amit következő információig elfogadunk) akkor egész más a helyzet.
Akkor lehetne beszélni arról, hogy megtörték a banki rendszert, ha úgy tudnál egy felhasználó fiókjához hozzáférni, hogy nem ismered a felhasználó autentikációs adatait, viszont találtál biztonsági rést, amin keresztül autentikációs adatok hiányában is tudsz tetszőleges felhasználó nevében eljárni.
Az nem feltörése a banki rendszernek, ha Jóska leírta egy papírra a netbank jelszavát, és te utána beléptél vele.
Elvárható - nem lepődnék meg ha jogszabályi követelmény is lenne - lenne hogy személyes és bankkártyaadatokat elvárható védelemmel lássák el, ez itt nem történt meg.
Legkésőbb 2021. január 1-től az uniós jogszabályokkal összhangban minden banknak be kell vezetnie az erős ügyfélhitelesítést online bankkártyás vásárláskor.
Ilyennek számít az is, ha a Simple alkalmazásban vagy a SimplePay felületen fizetsz bármely bank által kibocsátott bankkártyával.
Az erős ügyfélhitelesítés azt jelenti, hogy az online fizetési felületeken a kártyaadatokon kívül egy további biztonsági kódot kell megadnod, vagy banki mobilapplikáción keresztül kell megerősíteni a vásárlási szándékot.
A bankok tehetnek kivételt egyes tranzakciókkal, például a Simple-fiókban elmentett, erős ügyfélazonosításon már átesett kártyákkal, de bizonyos időközönként még ezeknél a kártyáknál is kérni fogják az erős ügyfélazonosítást. Ennek gyakorisága bankonként eltérő lehet.
Hát nézd, ha a sajtó este ~9 körüli kezdésről tud, és fél 12-kor már épkézláb információkat kap az otptől, amiből kiderül, hogy ismerik a támadás módját, az érintett felhasználókat, ezek védelmére már hoztak intézkedéseket, megtörtént a kárfelmérés legalább első lépése, és folyamatban van a tájékoztatás az érintetteknek, akkor azért nem hiszem, hogy olyan nagyon kellemetlen lesz ezekre a kérdésekre válaszolni.
Erdekesseg, hogy a Telekom most kuldott SMS -t, hogy ha kaptam SMS -t linkkel, akkor ne nyissam meg, hanem haladektalanul toroljem. Namost ok is a Simple -t hasznaljak... lehet, hogy ez nem is user hiba?
Error: nmcli terminated by signal Félbeszakítás (2)
Ha a simple fiókodban van rögzítve telefonszám _is_, úgy a bot, ami bement, az ahhoz is hozzáfért, és azzal, meg az összeszedett egyéb információkkal simán elképzelhető, hogy célzott támadást indítsanak a felhasználók felé - például SMS-scam...
Van rogzitve, ugyanakkor a Telekomnal mar tortent olyan, hogy valamelyik kiszolgalojuk login adatait benne felejtettek a forraskodban, ha nem csal az emlekezetem.
Error: nmcli terminated by signal Félbeszakítás (2)
Egy kérdésem lenne: hogy tud BÁRMILYEN szolgáltató védekezni az ellen, ha egy adott felhasználójuk nem teljes körültekintéssel jár el > pl. azonos felhasználói azonosító/jelszó használata különböző szolgáltatók esetében
Ha bármelyik szolgáltató komprommittálódik, akkor az összes többi szolgáltatáshoz hozzáférést nyer az adatot megszerző. Ez ellen természetesen lehet védekezni multi-faktor azonosítással, stb de ez sem jelent teljes körű védelmet.
Lásd pl egyéb manapság népszerű telefonos/netes csalások ahol a userek ÖNKÉNT adják meg a visszaéléshez szükséges adatokat és/vagy saját maguk hagynak jóvá olyan tranzakciókat, amiket nem Ők kezdeményeztek.
Lehet ekézni bármelyik bankot/szolgáltatót/stb/stb/stb de MINDIG az ember lesz a leggyengébb láncszem.
Gondolod? Akkor a hw és fw fejlesztéshez nem lenne kényelmes? Most azon túl, hogy személyeskedsz egy jót, mi a hozzászólásod hozadéka? Jólesett így ebéd után?
Konkretan tobbszor leirtuk mar neked a kulonbozo megoldasokat, keresd vissza, nem kell minden 2FA-topikot spammelni ezzel az tettetett ertetlenkedessel.
1) Mivel ugyan egyre nehezebben, de meg tudom oldani - pl. SMS -, nem vetődött fel bennem valós kérdésként, csak elkezdünk beszélgetni róla, mondhatni, belesodortok a beszélgetésbe, ugyanakkor továbbra sem nézek mélyebben utána, még a fogalmakat sem értem mert jelenleg nem érdekel mélyebben, aztán meg azt mondod, ezzel spammelem a fórumot. :( Lehet, azt kellene, hogy nem reagálok. Nyilván a kíváncsiságom miatt visszakérdezek, s máris nyakig benne vagyunk.
2) Akkor mondjátok a különböző megoldásokat, ha ezt valóban kérdezni fogom. Mert az nem jó, hogy csak szőr mentén belesodródunk a témába, úgy élitek meg, hogy segítettetek, miközben egyelőre csak a félelmeimet fogalmaztam meg, de nem kértem segítséget. Eljön majd az a pillanat, amikor konkrétan segítséget kérek, olvasni fogok doksikat, kérdezni fogok fórumon, mert szükségem lesz rá. Most nem én kérdeztem, ti mondjátok akkor, amikor még nem jegyzem meg, amit mondtok. Fiatalon anyám csinálta ezt, hogy elmondott valamit, ami akkor és ott nem érdekelt, amikor már érdekelt, mert kellett az infó, megkérdeztem tőle, majd szóvá tette, hogy már mondta, miért kérdezem. Hát azért, mert akkor mondta, amikor még semmi szükségem nem volt az infóra. Akkor mondja, ha kérdezem!
Teljesen jogos a "félelme". Akárhányszor írjátok le, hogy tufához nem kell okostelefon (ami eivben igaz is), van, ahol csak QR-kódot írnak ki, és neked kell bohóckodnod, hogy ezt telefon nélkül beolvasd; ill. van, ahol kizárólag saját mobilalkalmazással lehet tufázni. (Pár éve kerestem kedvezőbb bankszámlákat; az egyik bankot akkor dobtam a jelöltek közül, amikor megtudtam, hogy náluk a 2FA az szigorúan és kizárólag a saját alkalmazásukkal lehetséges. Asszem, erre mondják, hogy "instakuka".)
Tehát van pár eset, ahol mobiltelefon nélkül be kell olvasni egy QR kódot (ami teljesen szabványos, felrakod a zbar-t aztán odaadod neki a képet, vagy bármi mást, gondolom van még egy köbvödör), és van néhány szolgáltatás, aki ragaszkodik valami házibarkács szarhoz, ezért teljesen jogos a félelem hogy 2FA=a google meg az ms megszekszuálja a privacymat. Jogos a fenét.
Nem az a félelem jogos, hanem az, hogy 2FA (sokszor) = korlátozás. (De nyilván egyszerűbb szalmabábozni, mint érvelni.) A "néhány szolgáltatás"-hoz meg annyit, hogy helyből két bankról tudok, aminek a netbankjához kell saját alkalmazás, itt máris kicsesztek a tudatos ügyfelekkel. (Meg lehet nézni az alkalmazások értékeléseit...) Az meg, hogy QR-kód mellé nem írnak karakterláncot is, az megint elfogadhatatlan. Elvégre nem egy nagy kunszt, sokan meg is tudják oldani, mások képtelenek rá (vagy csak nem hajlandóak). (Részben hasonló eset: pár hónapja volt valami félnapos gebasz a BKK mobiljegyes vackával. Mit mondtak? A helyreállításig tessenek papíralapú jegyet venni. És hol lehet jegyet venni? Jegypénztárból már alig maradt pár, tehát oda először el kell jutni, az automaták számát pedig csökkentették, így ott többet kell sorban állni... Engem nem érintett, mert "papírt" veszek, de a bátor H. Aladárok megszívták.)
Nem az a félelem jogos, hanem az, hogy 2FA (sokszor) = korlátozás.
De hát ő ezt mondja, nem disztingvál. Ráadásul folyamatosan.
(De nyilván egyszerűbb szalmabábozni, mint érvelni.)
Szóval ne gyere ezzel, nézd meg csak ezt a topicot, hányan próbáltunk neki valami fényt tölteni a fejébe. És nem először, másodszor, vagy harmadszor. Erre az a reakció, hogy de ő nem érti meg, mert ő fél és szorong és ezért szerencsétlen (iróniamentesen, kurva szar érzés ez, én egészen konkrétan azért nem megyek el mellette, hogy hátha egyszer végre elovassa, amit el kéne, és nem szenved tovább) szajkózza a saját képzelt világképét, és explicit elmondja, hogy ő nem is akarja ezt megérteni. Szóval légy oly kedves, és ne nekem told, hogy szalma bábozok, mikor ő csinálja.
A felvetéseid jogosak, de ha eljutna idáig, már tudna vele mit kezdeni, mert ezek már kézzel foghatóak, nem a gonosz mumus az ágy alatt.
- Úgy tűnik, a világ jelentős része támogat TOTP-t vagy FIDO-t. Ezek szabványosak, keresek egy nekem szimpatikus authentikátor megoldást (van pár), használom azt. Esetleg veszek egy FIDOt tudó hw kulcsot, mert az kicsit secureabban tárol, és kényelmesebb. És olyan szolgáltatásokat keresek, ahol ezt be tudom állítani. Mivel elég elterjedtek, valószínűleg lesznek használható alternatíváim az esetek nagy részében.
- Nincs a qr kód mellett karaktersor (mondom, én ilyet még nem láttam, de biztos), márpedig ezért nem akarok mobilt venni. Igen, ez kellemetlen, hm, a QR kód egy szabványos valami, keresek rá megoldást, ami megy a gépemen, nem tűnik haváriának, maximum kicsit kellemetlen lesz. (Konkrét probléma megoldását megnéztem az előbb, három perc alatt találtam valamit, amit simán fel dnf installol a fedorájára, és kész. De pl az általam használt authentikátor tudna screenshotról olvasni (csak épp szar a waylanden, hehe, viszont ezért tudom, hogy még nem kellett eddig egyszer se qrkódból kipiszkálnom a konfigot).
- Igen, a bankok nagy része valami saját szart hajtogat, ráadásul szopatnak a "gyári" androiddal. Ez valóban nehézkes lesz, ezt át kell gondolnom. Körbenézek, és keresek olyat, ami támogat valami értelmeset, és lehetőleg minden van a webes felületen. Megnézem, nem ad valaki valami hardware tokent valami prémiumabb kategóriában. Ha nem találok, keresek valamit, ahol még jól van sms, és reménykedek, hogy egy ideig megmarad. Átgondolom, lehet, hogy akkor a bankolást ezentúl Telebankon keresztül intézem, keresek olyat, ahol ez jó. Kényelmetlen ugyan, de nekem számít ennyit a privacym. Megfontolom, hogy mégiscsak veszek valami olcsó androidos mobilt, amit dedikáltan erre tartok, otthon, a fiókban, alapból kikapcsolva. Esetleg utána nézek, hogyan lehet a mindenféle nekem nem tetsző dolgokat korlátozni.
- Ráadásul sokszor erőltetik, hogy meg kell adni a mobil számomat. Én ezt nem szeretem. Lehet, hogy kéne venni valakitől egy erre dedikált számot valami fos olcsó előfizetésben. Hmm, ha úgy is így áll a helyzet, lehet fentebb mégiscsak inkább a dedikált mobilnál maradok.
És így tovább. Én nem azt mondom, hogy könnyű dolga van annak, aki érzékeny a privacyjára, de ha megértem, hogy mi történik, akkor tudok megoldást találni, amivel tudok együtt élni, lesz kontroll a kezemben. Ha maradok annál, hogy 2fa=mordor, google/ms=mordor, okostelefon=mordor, és ha meglátom ezeket a sztringeket akkor félek, szorongok, és elszaladok, akkor folyamatosan egyre szarabb lesz nekem, mert a világ nem fog megfordulni.
hányan próbáltunk neki valami fényt tölteni a fejébe
Ez nagyon kedves, csak azért nem világosodom meg, mert egyelőre nem igazán kérdeztem ezt, legfeljebb belesodródtunk erről való beszélgetésbe. Akkor mondjátok, ha nyitok arról topikot, hogy sürgősen meg kell oldani, mert nem férek hozzá a bankszámlámon a pénzemhez, nem tudom megnézni a céges levelezésem, meg a többi. Addig hiába, mert még a szavakat sem értem. De mondom, fog érdekelni, mert szűkül a mozgásterem.
De, ha már itt tartunk, van abban valami félelmetes, hogy az egész olyan, hogy egy érettségivel vagy általános iskolai végzettséggel ez nem tudható. Úgy értem, mindenhol az van, használd az okostelefonod, a Google fiókod, ne törődj azzal, mi fog történni. Egyáltalán van erről részletes, magyar nyelvű dokumentáció onnantól, hogy rövidítések, fogalmak definíciója, odáig, hogy hogyan működik, netán mi az algoritmus, hogyan implementálhatom magamnak?
Gondolom, az azért megvan, hogy az ÁSZF és adatvédelmi nyilatkozat elfogadására azért kérdeznek rá, mert ott lehet szabadon választani az elfogadás, és nem elfogadás között. Utóbbi esetben viszont nincs mód az okostelefon használatára. Erre az esetre is kell lenni megoldásnak, mert az utalásokat, vásárlást, levelezést valahogyan meg kell oldani azoknak is, akik nem fogadják el a Google ÁSZF-ét és adatvédelmi nyilatkozatát.
Egyébként a felsorolásodban igazad van, ebbe az irányba fogok mozdulni, ha már muszáj lesz.
helyből két bankról tudok, aminek a netbankjához kell saját alkalmazás
Melyik ketto? Itt picsogok mar napok ota, hogy mindenhol kotelezoen engedelyezett az SMS, mint opcio, te meg kettot is tudsz, ahol csak soft token van? Melyik az?
Az egyik talán a Rafi vagy az Erste volt. Egy akkor ott dolgozó kollégától kérdeztem is, hogy tényleg csak a mobilalkalmazásukkal lehet-e belépni a netbankjukba, és ő is megerősítette. A másik az OTP lenne, aminél én még a régi netbankot használom, de megerősítéseknél kiírja, hogy aki az új rendszert használja, annak már az OTP-s mobilalkalmazással kell(ene) QR-kódot beolvasnia. (De ha nem így van, annak nagyon fogok örülni.)
Erste-s voltam regen, akkor meg nem volt lehetoseg az SMS-t letiltani, mindenkeppen letezett, mint fallback opcio. (Piros pont, hogy ok legalabb magukat is beazonositottak az SMS-ben.)
OTP-nel biztosan van SMS fallback, ha azt hazudod, hogy nincs nalad a telefon.
Őszintén, sztem ennyi pont belefér, meg néha kell is az ilyen hírverés. De azért lássuk be, hogy a topic tárgyában jelzett visszaélés azért nem a Simple miatt következett be, hanem szükség volt a userek balfaszságára.
Biztosan másképp gondolnám ha érintett lennék, de szerencsére én már korábban megégettem magam, még az internet hajnalán, az ilyen típusú hozzáállással > azonos user/pass mindenütt.
Tanultam belőle, csak kérdés, hogy azok is tanulnak-e ebből akik most érintettek...
Ha megvan, hogy mit csináltak a támadók az egyes felhasználók esetében, akkor abból a mintázatból ki lehet szedni olyan infókat ami alapján lehet keresni a logokban.
Illetve lehet IP alapján is szűrni, mivel gondolom nem nagyon foglalkozott a bot azzal, hogy IP-t cseréljen.
szerk:
Illetve ahogy olvasom a weboldalra léptek be és ott mókoltak valamit. Magamból kiindulva, bár használom a Simple alkalmazást, de idejére sem emlékszem, hogy mikor léptem be a weboldalra.
És gondolom azért más-más log keletkezik az egyes helyeken (app, website, stb)
Ha megvan, hogy mit csináltak a támadók az egyes felhasználók esetében, akkor abból a mintázatból ki lehet szedni olyan infókat ami alapján lehet keresni a logokban.
Beléptek és kiszivták a személyes adatokat, landing page-ből egyetlen kattintás.
Nem tűnik egyedi pattern-nek, talán még naplózva sincs.
Illetve lehet IP alapján is szűrni, mivel gondolom nem nagyon foglalkozott a bot azzal, hogy IP-t cseréljen.
Az ország nagyobbik fele már NAT mögül éri el a zinternetet, ki lehet a bűnös? :)
"..Amelyik felhasználói fiókba be tudtak jutni, ott megváltoztatták a kapcsolattartási emailcímet, feltehetőleg azzal a céllal, hogy azon keresztül eltereljék a szolgáltató és a felhasználó közötti kommunikációt...."
Hidd el, hogy naplózva van az. Ez nem a PC-Kuckó Bt weboldala.... :)
Ez ugye nem zárja ki hogy tömegesen vannak fiókok ahol csap loptak adatot?
Ez nem a PC-Kuckó Bt weboldala.... :)
De, ez egy MFA nélküli hulladék, ami arra sem képes hogy alapból értesítse a felhasználót ha valahol bejelentkeztek. A könyebb átláthatóság és managelés kedvéért két publikus release-t maintainelnek, azonos funkcionalitással és UI-al.
A mikor, honnan mit csinált infók alapján... (Ha pl. volt 1-2 órán belül tranzakckiója/bejelentkezése Bivalytöcsködről (GeoIP), és az e-mail cím cseréje viszont 300km-rel odébbról volt, akkor az minimum gyanús. De elég, ha a lecserélt címek valamilyen algoritmussal készültek, azt máris le lehet listázni, hogy adott időszakban kinek lett olyan jellegűre lecserélve a címe...
Ami pedig elvileg kellene hogy MFA-t támogasson, bár felületes rápillantás szerint inkább ez a belső rendszerek védelmére vonatkozik, nem a user oldali hozzáférésekre.
2. Jelszó erősség policy (hogy ha valahonnan hashelt jelszavak szivárognak ki, ne legyen könnyű dolguk és legalább kicsi legyen a blast radius)
3. Gyanús belépési próbálkozások elleni védelem (valószínű, hogy a rosszemberek szokatlan IP címekről és sok hibás jelszóval próbálkoztak)
4. Fel kell iratkozni egy lopott jelszó aggregátor szolgáltatásra (mint pl. a haveibeenpwned) és naponta végigszkennelni, hogy lett-e nyilvános olyan belépési infó, amivel hozzájuk be lehet lépni, és azt a júzert rögtön letiltani, tessék bemenni a bankfiókba azonosítás és fejmosás céljából
Ha van normális SOC team, van SIEM + egyéb szokásos toolok (pl: IDS, IPS, behavoiur and log analysis, Splunk), akkor elég gyorsan pirosan kellett volna villognia a SOC kolléga képernyőjének: nagy tömegű belépési kísérlet, nem magyar IP-kről (feltételezés), rövid időn belül, sokszor hibás jelszóval (feltételezés).
Csak esélyes, hogy
- sem normális SOC team nincs
- sem normális toolok nincsenek
- sem emberek nincsenek, akik ezeket konfigurálják és használják
Nem tudhatom pontosan, hogy itt most mi történt, de feltételezem:
1. Gonoszember szerez egy jelszó dumpot
2. Kinyeri belőle a belépési adatokat
3. Belép az adatokkal és az nekünk rossz
Ugyanezt megtehetné a bank, az 1. és 2. lépés ugyanaz, a 3. pedig a júzer kitiltása.
Én azt értem, hogy a jelszó dumpok egy részét darkweben adják-veszik és nem publikus, evvel a bank se tudna mit kezdeni. De egy jó részük viszont publikus, így szerzi meg a haveibeenpwned is. Tehát a bank is beállhatna a vevők sorába.
Azt is megértem, hogy ez nem könnyű, nem olcsó, stb. De ha a gonoszemberek meg tudják csinálni, akkor a bank meg tudja csinálni még könnyebben. Ha a gonoszembereknek megéri, akkor a banknak még jobban megéri.
Az a gond vele hogy ezek nem hash-t kérnek hanem plain text jelszót - az egy nagyon jó kérdés hogy miért van szükségük plain text jelszóra egy lookup-hoz.
Amikor a usered megadja a jelszót, akkor ezt neked még kliens oldalon illik hashé változtatnod, onnantól pedig nem fogod tudni lookup-olni.
A másik probléma hogy a usert tájékoztatnod kell arról hogy az általa megadott jelszót elküldöd valahova, ami csinál vele valamit.
> Az a gond vele hogy ezek nem hash-t kérnek hanem plain text jelszót - az egy nagyon jó kérdés hogy miért van szükségük plain text jelszóra egy lookup-hoz.
Vonatkoztassunk el attól, hogy a webes lookup oldalak hogyan működnek. A bank nem őket hívná direktben.
> Amikor a usered megadja a jelszót, akkor ezt neked még kliens oldalon illik hashé változtatnod, onnantól pedig nem fogod tudni lookup-olni.
Tévedés. A publikus dumpból kijön a cleartext jelszó. Ekkor a banki robot megpróbál belépni avval a jelszóval. Teljesen ugyanúgy, mintha a rosszember lépne be. Csak meg kell őt előzni.
> A másik probléma hogy a usert tájékoztatnod kell arról hogy az általa megadott jelszót elküldöd valahova, ami csinál vele valamit.
Nem. A jelszót a bank szerzi be a feketepiacról, és rápróbál a saját bejelentkezési felületén, saját magának küldi.
A tapasztalatom szerint a bankok idióták, ilyen szempontból persze nem. De én avval kezdtem, hogy ideális esetben egy komoly cégtől mi lenne elvárható. Ez is a pentesting egy formája.
Nem a technikai megoldást látom problémásnak hanem azt hogy egy pénzintézet lopott credential-ök tízmillióit tárolja és használja. Életszerűtlen hogy erre a jog lehetőséget biztosít neki.
Amúgy meg ki kell szervezni egy pentester cégnek, és ők meg azt csinálnak, amit akarnak, meg ami szakmailag elvárható. Biztos megvan ennek a jogi alapja. Ők majd szépen szereznek "valahonnan" adatokat, és szólnak előre, hogy X időpontban Y IP-ről lesz Z millió belépési próbálkozás, kapcsolják ki az alerteket és tűzfalakat (már ha volt, ugye...).
Ha én ilyen helyzetben lennék, rögtön indulna a bank oldaláról egy phishing kampány is. Amelyik ügyfél megadja az adatait, azt kötelező tréningre küldjük a phishing veszélyeivel kapcsolatban :). Orange team néven fut ez sok cégnél.
Miért ne tehetné meg? Önmagában egy jelszó nem személyes adat. Akár azt is megtehetné, hogy szótárakat tárol, és nem engedi a szótár-alapú jelszavakat.
Én el vagyok képedve, hogy vannak itt olyanok, akik ezektől a módszerektől úgymond megijednek vagy életképtelennek tartják. Pont azt kell csinálni, mint a hekkerek, csak még jobban és gyorsabban, különben sosem lesz biztonság.
It's Larry here from the Customer Success Team. Thanks for getting in touch and for sending this report.
We'd like to clarify that one of the features OnePageCRM offers is the ability to create web forms. Our customers can generate web forms that they can use to collect contact information to save them in their CRM accounts. You see the web form URL including OnePageCRM, but this happens as the web form is generated from within our application.
Please keep in touch should you have any other questions/feedback.
Kind regards.
Larry
És ezért szeretjük a "versenyszférát", amíg az Outlook web accessre hajazó form náluk nem abuse, vagy nem értik mi a baj vele és ezért verseny. Addig lesznek hülyék akik kitöltik a crm formot. (Customer is always right...)
Tehát, akkor a sok feleslege szócséplés helyett a következőket javaslom:
A Simple app-ba hozzám hasonlóan virtuális kártyát rögzítsen mindenki, amin max. néhány ezer forint van folyamatosan, ami bőven elegendő a micropayment-ekre. Ha pedig nagyobb kiadást kell rendezni a Simple-ön belül (én pl. tegnap vettem állampapírt vele), akkor a vásárlás előtt helyezzen csak el rajta annyi zsozsót, ami éppen akkor kell. Ez az OTP banki appjával (ugye-ugye) kb. 20 sec. alatt megoldható.
Ez függetlenül attól javasolt, hogy van-e 2FA vagy nincs. Ugyanis a 2FA sem golyóálló.
Ilyen setup mellett a 2FA is kb. opcionális. Ugyanis nincs mit elvinni belőle.
Nem felejtjük el, mert ugyan érintéses fizetésre nem, de egy csomó helyen és dologra kényelmesen lehet használni. Én éles kártyát oda sem adok meg (G Pay). Ott egy ingyenes Revolut kártyát használok proxy-nak (mert amikor még még nem volt támogatva az OTP, már akkor is ment, azóta meg még nem cseréltem le, de oda is mehetne az OTP virtual már (nem teszteltem)), ugyanis én senkiben sem bízok.
Ja, és ennek a megoldásnak az a kurva nagy előnye, hogy univerzális. Sehol nem adok meg éles kártyát. Sehol. Erre vannak az eldobható/virtuális bankkártyák. Immár 10-15 éve.
Bár az eset kipattanása után az kezdett el terjedni, hogy „feltörték a Simple-t”, szerencsére nem ez történt
Ki hitte volna!
Bármennyire is kényelmes, nem jó ötlet több online szolgáltatásnál is ugyanazt a jelszót használni, mert így, ha egy helyről ellopják a felhasználói adatokat, rögtön sérülékennyé tesszük magunkat más alkalmazásoknál is.
Ki hitte volna!
Az OTP tájékoztatása szerint a támadás 4300 Simple-fióknál járt sikerrel, ami soknak hangzik, de ha a több mint 3 millió regisztrált felhasználóhoz mérjük, azt látjuk, hogy alig több mint az egy ezreléküket érintette.
Dehá', dehá' ... főtörték a renccert!!! Ne'? Nem, jenőke. Nem.
A bankkártyaadatokhoz nem tudnak hozzáférni, azokat titkosítva és egy nagyon szigorú szabvány szerint tároljuk.
A kártyaadatokhoz se ...
Az elővigyázatossági ellenőrzésekhez használhatjuk például a Have I Been Pwned
Egy zseni vagy, mivel ezzel egyezett meg a szolgáltató tájékoztatása is (az írásodat megelőzően). Arra várjunk egy picit, hogy a körülményekben találnak e a szolgáltatónak felróhatót a szabályozó szervek.
annyira birom, hogy ami a te pofadbol omlik, az mindig teny, esetleg szakertelem; amit mas mond, az pedig a velemeny - hazugsag - osszeeskuves elmelet skalan bir mozogni. Magadba nezhetnel egy kicsit, nemde?
Mint mondtam, egy igazi HUPper nem olvassa el azt amirol ir, igy nekem sem kell tudnom, hogy mirol van szo, ahhoz, hogy tudjam, igazam van. Az onbizalom nagyon fontos dolog, es az enyem nagyobb mint a tied. Ugyhogy most kerlek elegedj meg azzal, hogy nekem van igazam, kesobb lehet, hogy majd elmondom, hogy miert, miutan rajottem, hogy egyaltalan mirol beszulunk. :-)
Ezt csak most lattam. Jo nagy kula fejlesztoi vannak ennek a fosnak. Gondolom Indiaba outsourceoltak a fejleszteset.
Azert erre meg regen is gondoltak az emberek modern 2fa elott, hogy megvaltozott bongeszo/netszolgaltato/ip/orszag/barmi eseten megerosito emailt kuldenek loginhoz. Szegyen szaradek banda. Azert fejlesztok, hogy a fogyatekos, olvasni is alig tudo emberek helyett is gondolkodjanak.
De mondjuk nem is varnek mast pl ilyen utan. Gondolom hasonlo pro emberek fejlesztik azt is.
A támadás során a hackerek több felhasználó adatait is megszerezték.
EZT AZZAL BIZONYÍTOTTÁK, HOGY A LEVÉLBEN LEÍRTÁK A CÍMZETT SIMPLE JELSZAVÁT IS.
Az angol nyelvű levél többek között az OTP-t „banki pöcegödörként” jellemezte, és azzal vádolta a pénzintézetet, hogy „extra adót szednek” és „nem képesek biztonságban tartani a felhasználók adatait. Az email kitért Magyarország politikájára is: a támadók azt állítják, hogy Magyarországon ellopták az EU-s pénzeket, az ország pedig a népirtást elfogadva Izraellel kötött szövetséget.
Hát ez igaz, de nem a teljes igaz: kimaradft még devizahitelezés, meg a kilakoltatások, az ügyvédkedés a károsultakkal szemben...stb
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
1, Nem bizonyítottak semmit, csak annyit hogy rendelkeznek a jelszóval.
2, Bankok nem szednek adót, OTP se
3, Az vita tárgya, hogy biztonságban tudják e tartatni az előfizetői adatokat, a fiaskó mérete arra utal (4300 személy) hogy valami mód tudták, hogy van OTP Simple hozzáférése az adott felhasználóknak, ellenkező esetben a nagy mértékű sikeretlen próbálkozás számának növekedését az Simple szolgáltatás üzemeltetőjének is fel kellett volna tűnni, de ez nem jelenti azt a hozzáférést tőlük szerezték volna meg.
4, A "levél" belekeveri a politikát is
Ha idősebb mint 9 éves a levél írója, akkor komoly gondok vannak vele.
Honnan gondolod, hogy nem árulják egy ideje ezeket bejelentkezési adatokat? Miért gondolod, hogy a "levélíró" nem csak egy vásárló ebben a szituációban?
Megint egy "second hand anonymous"
Nem kell érteni az IT biztonsághoz mindenkinek, de ha nem értesz hozzá és a nettó gyűlölet amit fel tudsz mutatni a témában, sztem kár szakérteni.
Hát ez kb mindegy is, ért-e hozzá mindenki vagy sem. Lassan már úgy is arra sorsa jut mint mondjuk a SEO. Immunisak lesznek az emberek az illyesmivel házalókra! És a [mielöbbi] jövőben kritikus rendszerek nem az "IT biztonsághoz" értők által lesznek védelmezve remélhetően - mert ez a fogalom ha jelent is valamit egyáltalán, az biztos h az elvárt feladatnak soha nem tudott megfelelni.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ismét feltörték pénteken az OTP Simple rendszerét.
Félelmetes, hogy még mindig nem érti itt se, meg az újságírók között se, hogy nem törték fel.
Istenem, ennyi balfaszt.
A jogellenes belépési kísérletek megakadályozására és a Simple-fiókok valamint az ott tárolt személyes adatok további védelmére az OTP Mobil bekapcsolta a kétfaktoros azonosítást valamennyi, már meglévő felhasználói fiók esetében.
Most meg majd jön a sírás a sok balfasztól (ahogy szokott), hogy minek a 2FA. Sajnos a pénzügyi/IT analhabéták ellen az se véd. Csak az ilyen script kiddie "támadások" ellen, max. Vagy se.
Bár valóban igen szórakoztató, de ez a megoldás valójában nem őket, hanem azokat védi, akiknek nem kompromittálódott a címe.
Így elesett accountokon elméleti síkon sem tud segíteni egy második faktor utólagos bekapcsolása, hiszen az új faktort a régi csatornán kéne lekommunikálni.
A simplenek egyébként azért valamennyi esélye van, olyan usereknél, akiknél rögzítve van a telefonszám, lehetne azt használni (de ez ugye pl locsemege inkompatibilis :)), annak hiányában kb még azt tudom elképzelni, hogy egy korábban sikeres tranzakcióra használt bankkártyával újra lehet hitelesíteni az accot, ez még talán mehet egy jó nulla forintos tranzakcióval, kötelező 3DS mellett.
Ha csak egy e-mail volt, az bizony igazából IJ, ott max azt lehet csinálni, hogy a hónod alá csapod az irataid, besétálsz, aztán Mancika a régi mindenféle tranzakcióból vagy elhiszi, hogy a tied, vagy nem....
(és halkan jegyzem meg, hogy azt nem tudjuk, hogy az elesett accokkal is simán ez történik-e)
Miért ne lehetne egy új csatornán kommunikálni? Triviálisan adódik a humán ügyfélszolgálat, videós azonosítás.
Semmiben nem más mint egy vadonatúj (banki) ügyfél azonosítása.
Mert egyáltalán nincs meg, hogy kivel? Az új ügyfél más, ott az azonosított üf kap egy új számlát. Ha a simple annyit tud, hogy bubuka@gmail (ami potenciálisan törött), akkor el se tudja érni azt, akiről aztán a videótól nem tudja megmondani, hogy ő az eredeti tulaj.
Hát, ha a mailbox tulajdonosa adja hozzá a személyijét meg az új ÁSZF szerinti felelősségét akkor lelke rajta, nem?
KYC alapokból most fog vizsgázni a Simple - eddig nem tették meg.
Félelmetes, hogy még mindig nem érti itt se, meg az újságírók között se, hogy nem törték fel.
Ezt most egyedül a Simple állítja.
Vagy elhiszed nekik hogy közel 10 ezer felhasználó jelszava meg volt már egy lopottjelszó adatbázisban, vagy
azd gondolod hogy plaintext tárolták.
A regisztráció mihez kell? Van olyan, hogy valahol csak Simple-lel fizethetsz, de ott is csak regisztrált Simple-felhasználóként? Egyszeri fizetés nem játszik?
Oh, már melegítem a honeypotot és várom a leveleket "Veszélyben az OTP Simplepay hozzáférése, cserélje, gyorsan jelszavát !" tárggyal. Plusz jöhetnek a narkós, szétbagózott hangú ügyfélszolgálatosok hívásai, hogy telepítsem az új Simplepay alkalmazást, különben világégés, irgumburgum....
Arról nem beszélve, hogy jön a hó közepi bankolás. Kíváncsi leszek, hogy a fiókban mivel próbálnak rávenni a netbankos és egyéb fiszem-faszom netes hozzáférések engedélyezésére....
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
Eddig tudtommal arról volt szó, hogy nem törték fel a simplepay-t. Ennek ellenére most jött egy ilyen a kereskedői fiókomra:
Biztonsági okokból jelszavát érvénytelenítettük, ezért jelenleg nem fér hozzá SimplePay adminisztrátori fiókjához. A helyreállítás könnyen megoldható, mindössze egy új jelszót kell igényelnie.
Random, csak ide használt jelszó volt rajta, amit időnként le kell cserélni, szóval részemről nincs aggodalom. Két dolog jutott eszembe erről, egyik hogy ezzel csak a béna jelszavakat akarják a rendszerükből kicsapni (bár úgy rémlik eddig is erős jelszavakat fogadtak csak el), a másik lehetőség (szerintem) hogy találtak valami biztonsági rést, amin bementek a simplepay kereskedői admin felületére. Kíváncsi leszek a holnapi új cikkekre :)
Ettől függetlenül simplepay-el eddig se voltam megelégedve, azonnali átutalások feldolgozása rendszeresen lehal évek óta, ha épp péntek este, akkor egész hétvégén rossz, hétfő reggel jön az email "rendszer lassulásáról" (igen, végül is a szolgáltatás kiesést 3 nappal később lehet lassulásként is értelmezni), aztán pár órával később jön a helyreállásról az email, közben meg bepotyognak az elmaradt IPN hívások.
Ha igaz, amit írsz - random jelszó, csak ide használod, rendszeresen cseréled stb. -, akkor melegebb a pite, mint amilyennek eddig a Simple-t mentegetők gondolták. :)
A béna jelszavakat másképp is ki lehetne pörgetni: kötelező jelszóváltoztatás mindenkinek. Ja, hogy ez oltári nagy égés lenne a Simple-nek / OTP csoportnak és sehogy se tudnák kimagyarázni, hogy őket "nem törték fel, nincs itt semmi látnivaló". Mancika / Pista bácsi csak annyit ért ebből, hogy valami naaaagy baj van.
Ezt a helyzetet lehet úgy is kezelni, mint karácsonyi ajándék. Csak 2017. decemberében / 2018. januárjában a Spectre / Meltdown kavarta fel az állóvizet, most meg ez a "feltörés".
Úgy tűnik, most kitoltak csillió+1 e-mailt, hogy bekapcsolták a 2FA-t (aminél e-mailben küldenek kódot - LOL), így az mobilos app gyakorlatilag döglött, élő netkapcsolat esetén is internet-kapcsolat hiányát reklamálja - tippre nem tud becsattanni a kiszolgálófarmra...
Update: sokadik próbálkozásra sikerült, és az e-mail is megjött - remélem, a webes felület is gyógyulni fog, illetve ott lehet majd a mobil device-t kezelni (kijelentkeztetni/törölni/felfüggeszteni)...
egyébként mi a francért használja még bárki ezt a megbízhatatlan fostaliga appot? parkoláskor, és tömegközlekedés esetében is 10-ből 3-4x cserben hagyott. parkolás tekintetében áttértem Parkl-re, azóta semmi bajom, 10/10 működik. a Simple többi funkcióját is bőven megtalálni máshol működő formában. szerintem ideje lenne beszántani ezt a szart.
nem kevés pénzt kaptam vissza az OTP-től mert nem 1x megbüntettek amiért nem tudott betölteni a Simple app a buszon és így nem tudtam felmutatni a bérletem. mielőtt trejcsi a gatyájába élvez elmondom: a buszon senkinek ment akkor, hiába volt androidja :((( a facebookjuk is tele volt panaszokkal amit persze törölgettek is :D:D:D
van céges autóm, van saját autónk ennek ellenére van amikor tömegközelekedek ha a helyzet úgy kívánja, vagy séta, vagy elektromos roller. szerencsére attól, hogy valakinek kocsija van, nem kell a budira is azzal menni.
Ha a túloldalon az API, ami egy https-en figyelő kiszolgálófarm nem érhető el, vagy hülyeséget beszél, akkor teljesen mindegy, hogy milyen eszköz van az ügyfélnél...
Ez a bérletes dolog érdekes, mert a Simple csak akkor kell a BudapestGo-nak, amikor megveszed. Utána már csak az appnak kell netkapcsolat. Bérletet viszont nem a buszon kell venni, hanem felszállás előtt. Úgy már jártam, hogy nem tudtam megvenni a jegyet, szerencsére volt nálam egy tartalák papíralapú jegy.
Most jött a mail, hogy lesz 2fa. Ami igazán izgalmassá teszi, hogy nincs is simple fiókom, bár tény, ha az OTP-n keresztül vásároltam egy webáruházban, nagyrészt ezt a mail fiókot használtam. Csak
erről honnan tud az OTP ?
Ket opcio van, vagy a kereskedo adja meg a Simple-nek, vagy olyat is lehet, hogy a Simple ker be szamlazasi cimet, emaillel. Mindket esetben letarolodik valahova, onnan meg eleg egy select csillag.
Hozzászólások
Popcorn bekészítve... Akkor is, ha igaz a hír és akkor is, ha nem.
A simple facebook oldalan mar boszen torolgetik a kommenteket. Ugy nez ki, van mit a szonyeg ala soporrni.. :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
És ezzel mit is érnek el? Mert ez így tuti bukó lesz számukra erkölcsileg, IT biztonságilag. Talán jogilag is....
A másik, hogy talán meg kellene fizetni az OTP / Simple IT-sokat, megfelelő eszközöket kellene alkalmazni. Ha olyan megbecsültek az emberek, mint a MOL-nál, akkor semmin se csodálkozom.
Ez annak a problemanak az elodazasa, amit a karenyhites miatt mielobb tudatni kellene az osszes ugyfelukkel.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Itt konkrétan milyen kárról van szó?
Ért valakit kár? Azon kivül, hogy miután balfasz volt, a simple most kikényszeritett neki egy jelszóváltoztatást?
Hozzáférhettek a személyes adataihoz (telefonszám, email cím, név, lakcím, rendszám..stb.).
Szolgáltató volt itt a balfasz, nem a felhasználó.
Tehát anyagi kárt nem történt, de nyilván kellemetlen.
Itt a felhasználó volt a balfasz, messzemenőleg. Ha nem ő lett volna a balfasz, akkora nem-balfasz felhasználókat is érintette vona, de őket nem érintette.
Egyelőre úgy tűnik jól kezelték a dolgot, kizárták a támadókat, a balfaszokat pedig jelszóváltoztatásra kényszeritették, ill. a bankkártyáikat is újra digitalizálniuk kell, ha volt nekik.
Ha illetéktelenek hozzáférnek a személyes adataidhoz az kár, amiért valakinek felelnie kell.
Nem, a szolgáltató volt a hibás aki baszott MFA-t fejleszteni a webes elérhetőségre, ezzel megakadályozva az illetéktelen hozzáférést.
Az enyémhez miért nem fértek hozzá?
(Ha hozzáfértek volna, értesítést kaptam volna)
trey @ gépház
Honnan tudod hogy nem fértek hozzá?
(Szerintem nem kaptál volna értesítést..)
Minden érintett kapott értesitést, visszaállitották az email cimét, letiltották a jelszavát aminek kikényszeritették a megváltoztatását, törölték a tárolt bankkártyáit.
.. és honnan a tökömből tudják hogy melyik authentication request jött a usertől és melyik a támadótól,
amikor a webes bejelentkezést nem kellett jóváhagyni és bármilyen NAT-olt környezetből, külföldi IP range-ből valid request jöhetett?
Kurvára félrevezető és hazug a kommunikációjuk.
1. Minek megkülönböztetni? Webes belépést leállitották, mobilos belépés pedig eddig is több faktoros volt, aki ott be tud lépni, annak joga van a jelszóváltoztatásra, ő a user és nem a támadó.
2. Az meg, hogy ki változtatott e-mailt szintén tudják, arról nem beszélve, hogy valószinűleg azonos ip-kről jött az összes támadás.
3. Maga a user is tudja a problémát, mert jó ideje email-t küldenek minden egyes webes belépésről, igy azonnal látod, hogy beléptek a nevedben.
Ne kamuzzál már!
trey @ gépház
Tényleg és hogy tájékoztatott? Mindig azt mondják, h ők sosem írnak emailt, sosem hívnak fel! Akkor kiment egy futár v. mit csináltak? Tehát ha emailen v telefonon ment az értesítés, akkor pontosan azt az igéretüket szegték meg, aminek ismeretét elvárásként szokták megfogalmazni az ügyfelek felé, miszerint ők sosem keresik ezen a módokon, ami összeségében rombolóbb hatású lesz, mintha nem értesítettek volna, mert továbbiakban nem lehet tudni, hogy tényleg a bank a megkereső fél-e?
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Szerintem a bankok nem azt mondják, hogy sohasem keresnek, csak azt, hogy sohasem kérnek be login infót illetve személyes adatot. Ez utóbbit legfeljebb személyesen.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Tehát (ha pl telefonáltak) akkor nem azonosították az értesítendő ügyfelet szted?
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Érzékeny kérdés. Ha telefonálna a bank, én nem akarnám magam azonosítani, mert nem tudom, ő kicsoda. Bárki is lehet. Esetleg azt mondhatja, menjek be a bankfiókba, mert ilyen és ilyen ügyben beszélnünk kell. Ha olyan szolgáltatást mond, ami nekem nincs, azonnal tudom, hogy spammer. Ha olyat mond, ami érvényes, akkor bemegyek élő valómban, a legrosszabb, ami történhet, hogy rámcsodálkoznak, miért is mentem.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Neked van idod ilyenekre? Remelem nem olyan banknal van szamlad aminek csak Budapesten van fiokja es te onnan 200km-re laksz...
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Olyan banknál van számlám, amelynek csak Budapesten van fiókja, s amelytől kb. 18 km-re lakom.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Gondolj azokra is akik nem ilyen szerencsesek mikor olyasmit javasolsz mint a szemelyes megjelenes :) En orulok ha nem kell sorballnom.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Neked ebben tökéletesen igazad van. Annyit azért az igazság kedvéért tegyünk hozzá, nekem épp ennyire esik rosszul, amikor valaki az SMS második faktor kivezetését szorgalmazza, mert ezzel eléggé bajba sodorna. Tudom, ha szerencsém van, akkor lehet okostelefon nélkül authentikálni, de ehhez szerencse is kell, meg nem biztos, hogy annál a banknál, amelyiknél a pénzem van, ez lehetséges. És még mindig nincs okostelefonom, s nem is tervezem, hogy legyen.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
szamitogeped miert van? :(
Most épp azért, hogy tovább írjam egy műszer firmware-ét, meg azért, hogy zenét hallgassak. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nekem pedig az esik rosszul, hogy kotelezo magyar bankszamlahoz magyar mobilszamot megadni ahova az SMS-t kuldik, kulfoldit miert nem lehet?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Mert a fejlesztőnek (gy.k. ő Józsi) senki sem szólt h. lehetnek külföldiában élő magyarok is.
Dehogynem, fejlesztő Józsinak határozottan szóltak, hogy nem akarnak külföldi irányba smst fizetni.
lehet, mbh engedi (mkb-s szamlam oda ment at), mukodik
Szerintem manapsag mar nem annyira nagy befektetes es belepo kategorias okostelefon, hogy ne lehetne barkinek meg akkor is ha csupan egyetlen celra hasznalja (pl. bankolas), sot ugy meg biztonsagosabb is.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Az egyik gond ezzel, hogy belekényszerítenének egy felesleges beruházásba, ami ráadásul nem örök. A másik a privacy, mert gondolom, úgy kezdődne Android esetén, hogy fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát, amelyeket viszont nem fogadok el, mert az abban foglaltakkal nem értek egyet. Meg GPS, meg egy rakás szenzor, meg netkapcsolat, és ez így együtt. Nem kell.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
mert talán a számítógéped örök? a legelső szamitogeped hasznalod mai napig?
Nem. Viszont az előző számítógépem úgy volt talán13 és fél éves, hogy volt benne alkatrész még az azt megelőzőből is. A telefonokat nem támogatják ennyi ideig, az akkumulátoruk is tönkre megy. Ráadásul egy drága eszköz ahhoz, hogy hozzájussak a pénzemhez, amelyért megdolgoztam.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Mutass nekem egy szamitogep gyarto ceget amelyik 13.5 evig tamogatja a termekeit (hivatalosan). Amit te itt "tamogatasnak" nevezel az gyakorlatilag nem letezik. Ha az altalad leirt "tamogatast" nezzuk, akkor ott van a LineageOS es tarsai mobilokra.
Ha a telefon hardverrel van gondod, akkor vegyel Fairphone-t, itt tudod kulon megvenni a cserelheto reszegysegeket.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Mindkettővel gondom van. A félvezetők miatt nem aggódom, de az akksik megmakkannak, nem éri meg cserélni azokat. A másik pedig a software-es támogatás. PC-re a mindenkori legfrissebb Fedorát upgrade-eltem, az oprendszerem up to date volt az öreg hardware-en is, nem vagyok róla meggyőződve - bár nem tudom -, hogy ezt meg lehet tenni telefonnal is.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
A jelenlegi SMS-t fogado mobilodban nincs akkumulator vagy annak az aksijara orok garancia van?
A jelenlegi SMS-t fogado telefonodon mikor frissitettel utoljara szoftvert vagy firmware-t? Egyebkent erdekes egy PC-t egy mobiltelefonnal osszehasonlitani, almat a kortevel?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Miért almát körtével? Mindkettő számítógép, mindkettő Linux alapú. A jelenlegi telefonom akksija szerszám, szerviz háttér nélkül cserélhető, elfogadható áron hozzá lehet férni emlékeim szerint az akksihoz, bár már rég néztem.
A jelenlegi telefonom a 2G szabványt tudja. Ugyanakkor nem vagyok meggyőződve arról, hogy egy banki alkalmazás nem ír elő olyan feltételt, hogy minimális OS verzió Android 43527.20114, mert ennél kisebb verzión nem fut.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ilyen alapon osszehasonlithato egy nyomtatoval vagy egy mosogeppel is, azokra is igaz a fenti allitas :)
Ugyanez elmondhato a Fairphone-rol is.
Ezek utan mar csak arra vagyok kivancsi mennyi idobe telt atallnod a szemelyes/telefonos ugyfelszolgalatrol netbankra anno es mik voltak ellene a kifogasaid :)
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Érdekes az a szemléletmód, amiért azokat, akiknek fontos a szabadság, egyesek lenéznek, butának, maradinak gondolnak. Önmagában a technológiával nincs bajom. Tervezek herdware-t, s nem legózós módon, nem kész modulok összeillesztgetésével, hanem áramköri szinten. Mérőerősítőket, számítógépeket. Írok firmware-eket C-ben, assembly-ben. Nem a technológiával önmagában van bajom, hanem a technológiai változások azon részével, amelyik elveszi a szabadságom, kontrollálhatóvá tesz, sérti a magánszférát, az intimitást, a személyes teret, a privacy-t, amelyik beszivárog az emberi kapcsolatokba.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Egy 100%-ban offline TOTP az mennyire is sérti a privacy-t?
Nem ugyanarról beszélünk. Most épp az okostelefonokról volt szó.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az SMS, mint ezer(huszonnégy) sebből vérző 2. faktor kivezetése jó/nem jó/neked fájna a téma. Igen, azoknak, akik csak SMS-t tudnak 2. faktorként használni, ez nagyon fájdalmas lenne, emiatt _nem_ vezethető ki. Azon, hogy opcionálisan, per user/ügyfél kikapcsolható legyen az SMS fallback, az már lehet gondolkodás tárgya - ha jól van marketingelve, akkor még akár üzleti előny is kovácsolható belőle.
Úgy emlékszem, amikor beszéltem arról, hogy Claws Mailre nem tudtam beállítani a céges levelezést, volt arról szó, hogy az Office365, vagy mi kér TOTP-t. Én azt látom, olvassam le, hogy az authentukátoromon - ami egy okostelefonos alkalmazás -, azt látom-e, hogy bekeretezve 93. Hogyan képzeljem el ezt offline, terminálból, linuxos PC-n? Tényleg érdekel, mert ha egyszerűbb az SMS-nél, amit egyébként erőst kétlek, lehet, hogy alkalmazni fogom!
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az az authenticator app az pontosan melyik, micsoda? Ha céges a levelezés, akkor egyébként _nem_ a te költséged kell, hogy legyen az eléréséhez szükséges eszközt biztosítani...
Én is ezt mondtam, így született az a kompromisszumos megoldás, hogy lett céges SIM-kártyám, amelyet saját dual SIM-es telefonomba tettem. Mindez azok után, hogy home office-ból nem léptem be egy online meetingre, majd felhívtak, hogy miért nem vagyok ott. Mondtam, hogy azért, mert második faktor. :)
Szóval mondod azt, hogy TOTP, offline, miegymás, de ebben az esetben ez mégsem, vagy igen, csak máshova kell kattintanom, vagy mi a helyzet?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nem tudom, hova nem léptél be, milyen 2FA-t nem voltál/vagy halnadó a munkád kapcsán _kötelező_ feladataidhoz használni. Én munkáltatóként két lehetőséget vázolnék előtted: kapsz egy céges alsó polcot mobilt, amivel tudod végezni a céges feladataidat, tudod használni a céges felhős szolgáltatásokat, vagy b-tervként egy találkozót a HR-es csapattal.
Update: O365-höz valóban a MS Authenticator kell 2. faktornak, ott van a három darab kétjegyű számból válaszd ki az, amit a webes felületen látsz kérdés. Így jártál (vagy járt a cég): a munkádhoz KELL ez az alkalmazás. (Apropo, az O365 esetében is el kell fogadnod egy rakat felhasználási feltételt, ami egyébként azzal, hogy az azt használó cég alkalmazottja vagy, implicit módon megtörtént...)
O365-höz Google Authenticator is jó. Én (cégeshez és magánhoz is) azt használok.
Azzal sem megyek sokra.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
De, mivel a Google Authenticator fele TOTP standard, ergo barmilyen szoftverrel helyettesitheted, akar PC-n is.
A "válaszd ki a három kétjegyű szám közül azt..." az azt mutatja, hogy MS authenticatorról van szó - mondjuk a saját fiókomhoz is szívesebben használnám a GA-t, de nekem is ezt dobja, amikor 2FA-val kell belejentkezni.
Nem kell.
Van ott is TOTP, vagy uram bocsa' FIDO.
jelen esetben Lócsemegének viszont az kell(ett volna), mert a "három darab kétjegyű számból válaszd ki ezt" megoldást az MS cucca tudja... De majd megnézem, hogy lehet lecserélni az MS authenticator-t GA/más TOTP-re O365-ös fióknál.
https://myaccount.microsoft.com/ > Security info > Add sign-in method
Nah, ertelmes hozzaszolas.
Miert hangzik ugy mintha felnel tole?
En sem ertek egyet azzal, hogy nyomjak az arcomba a reklamokat es profiloznak, viszont egyelore tobb elonyet latom mint hatranyat az okostelefonnak a napi rutinomban. Sokaig nem vettem, mert: 1. draga volt 2. meloban es otthon is volt internet, utkozben meg minek? Aztan 2016 korul rajottem, hogy van haszna utkozben is es az arak is csokkentek mert tomegtermek lett.
Ez ugy hangzik, mintha attol felnel hogy beszippantanak azok a dolgok amiktol tavol akarsz maradni ha veszel egy okostelefont. Az egy ertheto erv a vasarlas ellen ha ugy gondolod, hogy nem csupan a banki appot hasznalnad rajta, hanem egybol befigyelne a tiktok, snapchat, stb. Lazan kapcsolodo cikk.
Amit leirsz, hogy elveszi a szabadsagod, stb. az nem igaz ha csupan ugy hasznalod mint egy celszerszamot. Pl. banki app feltelepitve, amikor nincs szukseg ra akkor kikapcsolva a fiokban hever vagy Faraday kalitkaban van.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
De ahhoz, hogy használja, el kell fogadnia a nagy cúna rossz google felhasználási feltételeit, és az fúj, azt ő nem, nem soha...
Igaz, lol. Akkor a dolog itt meg van lőve :)
Remelem a mobil szolgaltatas megkotesekor nem volt semmi aprobetu.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
A kettő közt semmilyen összefüggés nincs, te próbálod felállítani.
Az SMS-el is, hiszen a regi telefonok nem tudtak olyat fogadni, muszaj volt ujat venned...
Mint ahogy a felhasznaloja sem, de meg a bolygo sem... Szerintem a butafonokat sem 200 eves elettartamra terveztek :)
Feltetelezem, hogy hasznalsz internetet ha szoktal ide irni. Gondolom az IP cimed alapjan nem vagy azonosithato a Google vagy a HUP szamara. Az SMS kepes telefonod helyzetet sem lehet bemerni haromszogelessel.
Nem tudom, biztosan. De elfogadhatod helyette az Apple ASZF-et vagy a Huawei ASZF-et ha nem tetszik a Google szerzodese.
Ha kizarolag bankolashoz kell akkor arra az 5 percre amig bekapcsolod es belepsz a netbankba nem mindegy, hogy milyen szenzorok vannak benne?
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ráadásul - mint az
közismertmár elhangzott - a működéshez nem szükséges sem netkapcsolat, sem GPS, nyugodtan maradhat offline / repülő üzemmódban, mindössze a nagyjából pontos időre van szüksége (hogy egyszerre váltson kódot a két oldal). Ebből a szempontból nem szükséges "okostelefon" hozzá, mert a kulcsgenerálás elfut egy kenyérpiritón is. A TOTP generálás nem platformfüggő, keresztbe-kasul mindenki olyan klienst használ hozzá, amit akar. Van opensource megoldás is, egyáltalán nem létszükséglet a nagy gyártók alkalmazásait használni, mégkevésbé egyes platformokat, ökoszisztémákat.Ha te erre a célra egy rPI Pico-t használsz egy mini kijelzővel, az is tökéletesen működik.
https://eddmann.com/posts/building-a-2fa-totp-generator-using-a-raspber…
Meg eleve, mivel okostelefon nélkül a mobil (nem helyhez kötött) használat elég körülményes (telefonos bankolásnál még nem szoktak TOTP-t kérni), rendes számítógépen ezer megvalósítás közül választhatsz.
A telefonos megoldás azért praktikus, mert így a 2FA tényleg növeli a biztonságot: a "something you know" mellé lesz egy "something you have" faktorod is. Aminek persze valamilyen szinten az SMS is megfelel, ha nem lenne ennyire egyszerű hozzáférni.
Rádiózom, nem a levegőbe beszélek (amúgy dehogynem :D ) - kell hozzá egy pár ezer forintos SDR vevő, némi doksiolvasás és ügyeskedés, és gyakorlatilag tudod venni a környékbeli bázisállomás összes kiküldött SMS-ét. A GSM alapú SMS olyan, mint a telnet, csak még olyanabb, mert még wiretapping sem kell hozzá, szórja a bázisállomás plaintextben az üzeneteket..
Blokkoltak, nem tudsz belépni, ÜFSZ, tájékoztatás?
trey @ gépház
gondolom azért, mert nem mindenhol ugyan azt a jelszót használod mint egy átlagos felhasználó :D
Gondolom elsősorban az fog felelni, aki balfasz módjára ugyanazt a jelszót használta a csöves fórumon és a bankkártyáját kezelő alkalmazásban.
De lássuk majd a pereket, kinek lesz igaza.
Meg sem fordult a fejemben hogy az MFA-t és biometrikus azonosítást használó applikáción
kivül van egy elkúrt webszolgáltatásuk is ami nem követeli meg az MFA-t.
OTP-nél dolgozol egyébként hogy ilyen serényen véded a profitjukat?
Amíg de jure nem kötelező az Simple app/webes felület szolgáltatásaihoz az MFA... Ahogy ugye a magyarországponthu-hoz sem kötelező - a rossz nyelvek szerint azért sem, mert vannak azonosításra azt használó rendszerek, amik nem készültek fel a pluszos, 2FA-s loginra...
Szvsz. az, hogy a simple esetén nincs 2FA ugyan baj, de nem katasztrófa - sokkal nagyobb baj az, hogy a mohu-n nics kötelezően...
Simple esetén nem hogy nem kötelező, de nem is választható opció a MFA (igazad van, az ÜK-n is emforce-olni kellett volna).
Hát ez akkor mi? 🙄
trey @ gépház
E!
Mi van vele?
Találjam ki az üveggömbből?
trey @ gépház
webes felületen nem volt MFA.
Nem volt beállítható, vagy nem működött, ha a mobilappból beállítottad? Tesztelted?
trey @ gépház
Webes interface-ről beszélek, ott opcionálisan sem volt beállítható, nem volt implementálva - ezért tiltották le a webes bejentkezést, jelenleg.
Azt érted, amit kérdeztem? Hogy ha beállítod mobilról az app-ban, akkor az kihat-e a webes felületre?
(Nem azt kérdeztem, hogy a webes felületről be lehetett-e állítani)
trey @ gépház
Nálam konkrétan opció sincs rá a mobilos app-ban (iOS).
Szerencsére a jogiosztály már letette az asztalra!
Jó eséllyel volt szőnyeg szélén tipródás, ordítva lebaszás és bónusz megvonás. :D :D :D
Gábriel Ákos
Csányi volt az első aki törölte a fiókját. :D
Kell ez így a karácsonyi pulykapénz-osztás előtt 1 héttel, mint üveges tótnak a hanyattesés!
Volt egy flame nemrég, amiben azt állították, hogy az iOS verzió funkcióban 100% kompatibilis az androidos verzióval ...
trey @ gépház
Nem úgy tűnik. (e-mail notification sem default)
/o\
A konkurenciánál dolgozol, hogy ilyen erősen nyomod a tévinfókat?
Vagy ami mégrosszabb, te is a balfaszok között voltál 12345678-as jelszóval? :)
Tudtommal nincs magyarországi vétélytársa a Simple-nek, ha mégis tudsz ilyenről, oszd meg kérlek - azonnali váltani fogok!
Melyik funkciót akarod helyettesíteni? Szerintem mindre van simple / otp független megoldás.
Gábriel Ákos
Parkolás és autópálya-matrica elsősorban.
Amiket én használok:
Parkolás: Parkl
Autópálya matrica: https://ematrica.nemzetiutdij.hu (én ezt használom, évest veszek, így évente csak 1-szer kell vele foglalkoznom)
Közlekedési jegy és bérlet: Mobiljegy alkalmazás (előre feltölthető az egyenleg az NMFR portálon (https://szolgaltatasok.nemzetimobilfizetes.hu/), nem kell bankkártyát rögzíteni benne)
MÁV jegy és bérlet: MÁV alkalmazás
Autópálya matrica:
- https://nemzetimobilfizetes.hu/applikaciok (Nemzeti Mobilfizetési Rendszer néven fut egy app Apple Store-ban, amivel tudsz parkolni, matricát venni és közlekedési mobiljegyet is venni)
Legújabban a telekom mobilfizetést használom erre bár elég ritkán.
Gábriel Ákos
Mi van a MOL-nál?
Sok-sok betöltendő álláslehetőség az IT területen. Linkedin rendszeresen küldi a listát. Van hogy ugyanarról a posztról fél évente. Ha olyan jó hely lenne, nem lenne annyi üresedés.
Így inkább skippelem a lehetőséget. Álnéven az ott dolgozók megírhatnák, élhető hely-e amúgy, mert van egy sejtésem (hogy nem). Mármint az igazgatótanácsban biztos jó, de a melósrabszolga helyekre kíváncsi itt mindenki.
Voltam nemrég egy MBH AI rendezvényen. A MOL is előadott. Így AI, úgy AI náluk. Az AI csökkentette le a hotdog veszteséget. Előadása végére kiderült az input papír alapú rögzítésből van. Felröhögtem.
Mondjuk stat2 vagy valszám1 is elegendő erre, nem beszélve arról az elemi hibáról, hogy amikor nincs kínálat, akkor az egyén nem vesz semmit. Vagyis a veszteség csökkentése, forgalom csökkenést fog magával hozni.
Most rantottak vissza mindenkit irodaba, nem lehet, hogy sokan nem akartak oda menni?
Domain, tárhely és webes megoldások: aWh
Abból kiindulva h. tavaly (vagy már idén?) adták át a vadiúj csilivili irodájukat, látatlanban borítékolom mi szerepel a munkavégzés helye alatt a munkaszerződésekben.
https://molgroup.taleo.net/careersection/external/jobsearch.ftl?lang=hu…
Persze ezek csak a meghirdetett lehetőségek, lehet van még 2000+ amit fejvadászokkal próbálnak...
Mondtam h. kurva sok ott az üresedés.
Belsős info kellene, a publikus taleo-szarokat mindenki megtalálja.
Azert a fairplay jegyeben tegyuk hozza, hogy az uresedesnek csak a tizede IT-s.
Azt nem tudom, hogy egy MOL meretu cegnel a ~30 IT-s nyitott pozicio soknak szamit-e.
Most, mikor mindenhol létszámstop van, IT-ban is? Szerintem akkor sok.
Nincs mindenhol létszámstop, nálunk is van több open pozíció. IT-s.
IT ott is kifizetőhely, ahogyan azt korábban találóan megfogalmaztad.
Felhív / rám ír a MOL-os hr-s leányzó / hölgy / nő és a bérkérdés feltételekor jön a himi-humi - titkolózik a cég, majd nagy nehezen kipréselem belőle, hogy mennyit kínálnának. Aztán elmondom, hogy már 5-6 éve is többet kerestem ennél alkalmazottként Magyarországon. Én ezután sok sikert kívánok a kereséshez és elköszönünk egymástól. Fél óra el is ment az életemből feleslegesen.
Ez a kör ismétlődik 1-2 évente. Öreg vagyok én már ehhez....
A másik a HO ellenesség. Az egyik olyan cég, aki határozottan elzárkózik a HO támogatásától.
Persze a MOL-nál semmiféle parkolási lehetőséget nem tudnak biztosítani, ha véletlenül valaki nem tömegközlekedéssel járna be.
HO-ból nehéz olajkutat fúrni. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
de nem is a Lágymányosi-öbölben tobzódnak a fúrótornyok.
Domain, tárhely és webes megoldások: aWh
Főleg h. ott a környéken sehol nem tudsz megállni. A Dombóvári út kilőve. Budafoki úton sosincs hely. BME környékén meg már fizetős a parkolás. Gondolom a baszomnagy campus alá nem raktak elé mélygarázst (Duna közelsége miatt kb. -1 emelet lehet reálisan).
A kopaszi-s fizetős parkoló meg egy vagyon.
BKV valamiért nem jöhet szóba? Vagy az ciki, mert azon a csírák járnak? Kerékpár?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Kerékpár is akkor jó, ha az épületen belül lehet tárolni.
Épp kinézek az ablakon, fasza lenne most bicajjal hazajutnom a kopaszitól... (narrátor: havazik masszivan)
Az inkább nyáron. De mondjuk BKV szerintem opció.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Van, akinek igen, de az ITban viszonylag sokan vannak, akik vmi külső kerületben, vagy agglomerációban laknak. Én konkrétan elég közel dolgozom a MOL toronyhoz (kb 1.5 km).
A maps szerint azzal, amivel reálisan megbízhatóan be tudok jutni, azzal 1:15 perc (ebből 15 perc elsétálni a kiindulási megállóig, ott végül is letehetném a kocsit, mert van P+R szerű valami, ha nem hatkor megyek, akkor jó eséllyel kb egy másik tetejére). Van egy gyakorlatilag direkt busz, amivel 1 óra bejutni (20 perc kiindulási séta, és ott nem igazán van hova tenni a kocsit).
Ez a busz majdnem pontosan arra megy, amerre én megyek kocsival. Ami a jelenlegi becslés szerint 23 perc. És ahogy bizonyos időjárásban nem szívesen bringázik az ember, abban nem szívesen sétál 15-20 percet sem. Hát ezért.
(És akkor azt még nem is mondtam, hogy jellemzően az ilyen-olyan elintézni, beszerezni valót simán megejtem azzal, hogy az útvonalon valahol megállok, amikor egyébként is arra megyek, nem kell emiatt külön köröket futni)
+1
Szinten 1:15-re lakom onnan tomegkozlekedessel, ebbol 37 perc a seta, szoval ha egy ceg se HO lehetoseget nem ad, se parkolot, akkor nem egymast keressuk
+ 0,5
Amikor kiköltöztél az agglomerációba, vállaltad a kockázatát hogy a piaci viszonyok változása esetén szívni fogsz a közlekedéssel.
MOL-nál egyébként van HO és parkoló, ne bántsuk szegényeket.
Persze, ezzel nincs is semmi problema, ezert irtam, hogy az ilyen ceggel nem egymast keressuk.
Egyebkent en szivesen megyek az irodaba, nalunk van pl. 100% HO, de ettol meg lehet parkolot is foglalni, meg hat nagyforgalmu tomegkozlekedesi vonal mellett van az iroda, szoval BKK-zni is konnyebb.
-1000
Ezt kikérem minden agglomerációban született és lakó nevében. Én nem költöztem ki, hanem születésem óta az agglomerációban lakom. Akkor mi a helyzet?
Nekem a MOL (Bp. 11. ker.) speciel 1,5-2 óra autóval. Tömegközlekedéssel 2 óra+. Csak oda.
Én is így vagyok ezzel, ide születtem. Ezzel együtt azzal szerintem semmi baj sincs, hogy igen, ez alapvetően az én bajom, ha emiatt nem lesz munka, akkor majd csinálok valamit. Cserébe az meg a cég baja, hogy ha a parkoló hiánya és a HO nem támogatása miatt nincs munkavállaló, azzal kezdjen ő valamit. Egyelőre nekem lejt a pálya.
Nyilván a bejárás ideje meg körülményei is véleményesek lehetnek. Én mindig is tömegközlekedtem munkába, nekem ez napi 2x1 óra (jó esetben az 1 óra az mondjuk 55 perc, ritkán 51-52 percre is lemehet). Ha jól emlékszem, itt írta valaki pár hónapja, hogy ő azért jár mindig autóval, mert ő nem fog napi 40 percet tömegközlekedni. Tessék, nekem egy irányban több az utazás, mégsem pöfékelem tele a várost. (Persze lehet, hogy félreértettem, és 2x40-re gondolt, mondjuk az is egész baráti.) De volt olyan munkatársam, aki Székesfehérvárról járt be Budapestre a 12 órás műszakba; ő még rajtunk is túltesz. Az időjárás viszont tényleg elronthatja az ember napját: volt egy egyetemi napom, amikor reggel befelé menet ázott át a cipőm és a zoknim is, ill. volt szerencsém egy 12 órás műszak előtt (szó szerint) bőrig ázni, hát mondhatom, egyik sem vicces.
Nézd, örülök neki, hogy te nem pöfékeled tele a várost, nekem nincs erre napi kb +1:45 órám, hogy ne pöfékeljem tele a várost. Volt, amikor volt, de már elmúlt. Egyébként nem pöfékelem tele a várost, meglehetősen kompromisszum képes vagyok. Ameddig a lehetőségem adott, nem vállalok el olyan munkát, ami hozzám képest a város másik felén van (pl vannak egész elfogadható cégek a grafisoft és környékéne, ahova biztos nem megyek), nem pöfögök be mindennap, és nem vállalok el olyan munkát, ami ezt igényli, kivételes esetben szopatom magam és másokat azzal, hogy olyankor autózzak be, amikor épp sokan vannak, hogy a dugóban pöföghessek. Ha a tömegközlekedés, vagy a részben tömegközlekedés reális alternatíva volna, használnám. Pl simán megyek a munkahelytől már inkább tömeggel a belváros irányába, ha ott van elintézni valóm, mert ott nagyjából egálban van a kettő, azonban a 3x-os szorzó nem reális alternatíva.
Cserébe azért bizony abban is legyen kompromisszumkészség, aki úgy döntött, hogy ő márpedig Budapesten akar lakni, mert akkor közelebb van a munka meg a mozi meg a tudom is én, az bizony vegye tudomásul, hogy oda mások bizony időnként kocsival fognak bemenni sokan, mert az egy nagyváros. Az nem működik, hogy a faszt képzelsz magadról, te menjél plusz majd két órát naponta, vagy vállalj sokkal szarabb munkát, mert nekem jár a közelemben a sok jó munkahely, és a nem büdös élettér.
Miért ne működne? Be kell vezetni a dugódíjat, és a probléma meg van oldva.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ez már nagyon offtopic. Szerintem. De azért leírom a véleményem.
-1000.
Mindennek megvan a normális sorrendje az életben. A dugódíjhoz először legyen normális tömegközlekedés, legyen P+R, aztán örömmel fizetem ki én a dugódíjat, ha be kell mennem a nagyfaluba privát célból autóval.
Ha meg céges célból megyek be, akkor meg a cég fizeti ki. Pontosabban a cég ügyfelei. Vagy az ügyfeleinek az ügyfelei. Röviden: végfelhasználók.
Gyereket is úgy illik vállalni, hogy legyen hol lakni, legyen meg az anyagi, érzelmi, mentális biztonság először. Normális ember a "semmire" nem szül gyereket. Szerintem.
Mindazonáltal ha nekem nagyfaluba (Bp-re) kell mennem orvosi célból, mert nem tudnak / akarnak vidéken ellátni, akkor mennyire etikus a dugódíjat elkérni? És nem csak Bp. agglomerációból küldenek be valakit az Uzsokiba, Honvédba, Bajcsyba, Szent Imrébe stb., hanem 200-300 km-ről is.
Járni, mozogni alig tudó rokonokat meg csak autóval vihetem. Igen, akár havi 2-3 alkalommal is.
Szóval véleményem szerint a dugódíj bevezetése sem nem etikus, sem nem megoldás, sem nem észszerű. Jelenleg. Ha az előfeltételek teljesültek, akkor lehet róla szó.
Igen, ez a kényelmes patópálos szöveg: 'először legyen meg minden is, ha meg az megvan, majd kitalálunk mást, lényeg, hogy sohanapján'.
Pl. tömegközlekedés: amíg az utak telítettek autóval, addig autóval szívás menni a dugók miatt. A tömegközlekedés (busz esetén) ugyanazokon az utakon megy, mert nincs másik, tehát az is áll a dugóban, csak a megállók miatt még lassabb, vagyis soha nem lesz más. Addig viszont üresen jár, ha fejlesztik, akkor sem lesz tele az előbbi okok miatt. Mindenhová meg nem lehet kötöttpályás közlekedést vinni, de akkor is jönne az, hogy 'nincs hely az állomás előtt parkolni, marad az autó'. Tanulság: nem lesz tömegközlekedés. A P+R emlegetése pedig vagy szűklátókörűség, vagy humbug. Hány autó jár be Budapestre naponta az agglomerációból? Mekkora parkolók kellenének, ha azok a város szélén legalább 50-60%-ban leállnának? Annyi hely egyszerűen nincs.
Mennyire etikus dugódíjat elkérni, ha be kell menni Budapestre? Jó kérdés. Ne adják hozzá ingyen a benzint is vagy a tömegközlekedést etikai megfontolásból? Az életnek vannak költségei, ezek adott esetben lakóhelytől függően mások és mások, amit szintén figyelembe kell venni a lakóhely megváltoztatásánál.
Amivel egyetértek: legyen jobb ellátás vidéken, mint jelenleg. Hogy ezt hogyan lehet elérni, természetesen nem tudom, de minden ellátáshoz kell egy adott mennyiségű kereslet. Amíg olcsóbb bemenni Budapestre, kisebb lesz a helyi kereslet mindenre, így nem is fog megteremtődni a kínálat sem.
A P+R nem ördögtől való, és jellemzően a több kisebb működik, több "fokozatban". A P+R mellett az agglomerációs "behordó" járatokra való ráhordás (elektromos buszok pl, kiváló töltési lehetőség lehetne a vasútállomáson), az ottani helyi közlekedés fejlesztése (jobb esetben optimalizálása) lenne fontos. Az valóban nem járja, hogy 10 szintes (-3-mal induló...) óriási borg kockaként pöffeszkedő P+R-ek legyenek. A P+R-eknél az elektromos autózás is támogatható több lassú töltővel. Nem kell millió kWh, viszont rögtön fel lehet pakolni a napelemet, helyi akksipakkot, és lennne mondjuk 3-4db gyorsabb töltő (50-100kW, de erős időkorláttal), és lennének 5-10kW-os, választható teljesítményű DC töltők (lassú occó, gyors drága).
Az esztergomi vonal a felújítása utáni 4. évben túlterhelt, erősen P+R hiányos, pedig már emeletes KISS-ek járnak, amiken nem két ember fér el. Például kerékpáros parkolók, nagyobb kerékpár befogadós vonatok az elővárásokba, szóval vannak megoldások, nem csak ötletek.
A "hát ezt nem lehet", a beletörődés, és a pénztelenség, és ha van, akkor pedig az alultervezés már soksok éve probléma. Az egész eredője pedig, hogy koncepció nélkül, vagy néha 1-1 koncepció indulással történik valami, de utána sokáig semmi nem történik, lásd még választási időszakok. Ugyanis az összes ilyen fejlesztés eleve évek alatt valósul meg, vagy érik el a részfeladatok a kritikus tömeget, és ezeknek egymásra kell épülnie.
A behajtási díjat olyan formán lenne jobb megvalósítani, hogy a parkoláshoz az indulási, vagy minimumdíj zónánként emelkedik szépen.
Ha vesszük Rákospalota-Újpestet, mint vasúti megállót, pláne azért mert ott a veresegyházi vonal fejlesztés miatt vízionáltak teherforgalmat, ott ahol sosem volt érdemi (heti 1 kocsi eldöcögése nem teherforgalom, hanem érdekesség), és jött a hörgés. Ahhoz a történethez szükséges lenne a teljes nyugatiba menő vasúthálózat érdemi újjáépítése (kb. dunakeszi alsótól olyan 20 perc amíg becsattog a vonat, egy vicc), a metró minimum odáig meghosszabbítása rendkívül fontos lenne. Aztán pedig ott lenne bőségesen hely P+R-nek, az oda nagyon jó lenne, illetve a külsőbb megállóknál is fejleszteni, építeni. Ez nem csak a külsővárosok, hanem az Újpest, Újpalota, Kápmegyeri régiónak (ahol nem 2-en laknak) is óriási lépés lenne. Arra már gondolni sem merek, hogy mi lenne, hogy elkészülne a déli-nyugati vasúti alagút, és hipphop budára, és tovább, el lehetne jutni, és fordítva. Hiába 10 éves, meg 20 éves projektek, ezeket azért nem kezdik el, mert hát nagyon messze van, hja, de sosem lesz kész, pláne akkora, hogy ha visszaadjuk az ingyenpénzt, magára a _tervezésre_. Meg lehet nézni, hogy Bécsben, Prágában, Münchenben, Varsóban milyen és mekkora fejlesztések futnak, készültek épp el, vagy vannak indulófélben. Müncheni példában az a helyzet, hogy a főpályaudvarnál 3-4 villamos, 4 metró, és 4 hév (S-Bahn, ez inkább nálunk a Flirt/KISS jellegű dolog) fut össze, és most furtak mégegy alagutat, hiszen még keresztben nem ment semmi...
Ez is erősen offtopic, de reagálok.
S71 / G71 vonalról van szó (Budapest Nyugati p.u. - Veresegyház - Vác vonal):
1. Nem igaz, hogy soha nem volt rajta teherforgalom. 30-40-60 évvel ezelőtt mindegyik állomáson (nem megállóhelyen) volt tüzép. Szénlerakat, falerakat, építőanyagok. Ennek nyomai még ma is felfedezhetőek a tartalék / parkoló vágányok révén (Fót, Veresegyház, Őrbottyán, Vácrátót). Csak a villamosításkor ezen vágányok egy részét is elbontották - mondván felesleges már (ami meg erős szűklátókörűség).
2. Volt téglagyár is Erdőkertesen. Igaz, hogy már régen szanálták a gyárat, a nyomai még mindig felfedezhetőek - pl: a Fő út kialakítása, vágánynyomok. Illetve üzemelt / üzemel egy téglagyár Őrbottyánban is.
3. A vonal legnagyobb hibái:
- Csak 1 vágány van Rákospalota-Újpesttől Vácrátótig. Ígérték a 2 vágányúsítást már a 80-s években is, a 90-s évekbeli villanyosításkor is. Még mindig nem lett belőle semmi. Most épp valami környezeti hatástanulmány előkészítő projekt fut erre a célra.
- A pálya kialakítása nem teszi lehető a nagy pályasebességet. Lásd: Fótújfalunál a pálya a megállóban annyira bedől, hogy erősen kapaszkodni kellett a régi vonatkocsikban le- és felszálláskor. De még az alacsonypadlósoknál is erősen érezni, hogy átesel a vonat túloldalára. Fótfürdő és Csomád között telente / nyaranta rendszeresen előfordul, hogy csak 15 km/h-val tud haladni a kanyarban a vonat. Dől a pálya + hőtágulás / zsugorodás. Szabályszerűen hallani, érezni, ahogy a sín és a kerekek nyírják egymást a kanyarban.
- Képesek voltak a vonatpálya mellé lakóházakat építeni. Van, amelyik csak 5-10 méterre van a vonattól.
4. Olyan sokan utaznak a vonaton, hogy sokszor már a végállomásokon se tud rá az ember felszállni csúcsidőben (hétköznap reggel 6-8 között, délután 16-19 között).
5. A vonatok rendszeresen kimaradnak. Tájékoztatás nuku. Tiszta "kaland és élmény".
6. Lerobbanó szerelvények. Élmény, amikor a célállomás előtti utolsó állomáson lerobban a szerelvény, tájékoztatást hamarabb kapok a MÁV alkalmazásból, mint a kalauztól / jegykezelőtől. Majd fél órányi várakozás után előkerül a jegykezelő, leszállítanak mindenkit és 1 óra 20 percet szobroztunk egy forró augusztusi kora estén 18 óra körül, hogy a váltó végre működjön és tovább tudjon mindenki menni.
Ugyanez ment 30-40-50 éve is ezen a vonalon, nem változott semmi. Csak akkor még volt ember, akit lehetett kérdezni. Meg volt bakter minden állomáson és megállóhelyen, aki javította a váltókat, is ha kellett.
A Volánbusz - ami egy ideig együtt halad a vonattal (318, 319-s vonal) - szintén iszonyatosan túlterhelt.
Szóval hová a ****-ba akarnak még több embert itt tömegközlekedésre kényszeríteni???!!!
1-2: Nem a szocialista ipar maradványairól van szó, hanem hogy most lenne-e, mert fejlesztik... Elég jól tudom, hogy régen előfordultak tehervonatok kb mindenhol, de nagyon-nagyon kikoptak a kis vonalakról, sőt a komolyabb mellékvonalakról szintén. Ha kisebb állomáson jársz, vagy régen nagy forgalmún, akkor ott rohadnak a darabárúraktárak, és az ilyen olyan rakodók. Egyébként ha munkaidőben, munkanapon előfordul heti 1-2 tehervonat, hát akkor milesz? 15-30 perces személyvonati közlekedés mellett csúcsidőben üde színfolt. (A zajról azt tudom mondani, hogy a tehervagonok esetén komoly zajkibocsájtási szigorítás van folyamatban, persze felmenő rendszerben, a fékpor kérdése ott is előtérbe került. https://iho.hu/hirek/zajcsokkentes-masfel-milliard-forintert-nem-hallja…)
3: Igen, ezt támadták a helyi önkormányzattól. Vajh az nem zavarja a népet, hogy ha bemegy Bp-re melózni, akkor a gatyájuk rámegy a parkolásra?
4: Igen, ezért kéne oda nagyon a fejlesztés. :) Ahogy írtam, alultervezés...
5: Sajnos máshol is, nagyon ki van számolva a Flirt (helyesen FLIRT, mert egy remek svájci német mozaikszó) flotta.
Szóval a cél az lenne, hogy elsőre nagyon komoly közösségi közlekedési fejlesztés, azok amiket leírtál abszolút problémák, ezért jönne második vágány, felüljárós keresztezés kápmegyer elején. Erősítés a gördülőállományban ésatöbbi. Szóval maga az, hogy komoly (térugrás szerű) fejlődés van, az maga "terel" a tömegközlekedésre, és ha már az jó, akkor lehet egyéb eszközökkel "finoman jelezni", hogy esetleg tömegközledni kéne, mert van és jó (tényleg jó..., csak ritkán sikerül). Máshogy nem megy, csak a 10-20-30 éves koncepciókkal, és folyamatos fejlesztéssel. Ehhez képest jegelték ezeket, legalábbis remélhető, hogy nem teljesen törölték.
Ez most kiemelt példa, de ezek több helyen jelen lévő problémák. Sőt Lajosmizse felé a vonatok állapota sem mindíg nyerő, hiszen az dízeles vonal.
Emitt a tervek: https://iho.hu/hirek/hamarosan-megujulhat-a-veresegyhazi-es-a-lajosmizs…
Sorry az offért, a közlekedés minőségét elég jelentős figyelemmel kísérem. A látszat ellenére sem ragaszkodnék mindenhol ugyanahhoz a szentgrál szerű megoldáshoz, de jellemzően az óriási első lépés nagyon hasonlóra jön ki, mert nagyon régen beégettek a mostani állapotok.
Hát ugye a be kell vezetni a dugódijat, azt' meg van oldva felütésre kb az jár, hogy akkor menj te is a picsába ;)
Jaja, meg vannak más aspektusai is, amit lakóhelytől függően mások és mások, azokat nem kell figyelembe venni?
Láttál tőlem olyat, hogy azzal meg van oldva minden?
Nem tőled, locsemege mondta, arra volt válasz, amire te reagáltál, hogy az úgy Pató Pál úr.
Akkor címezd neki a válaszodat.
De hát a te általad számonkért mondás arra volt reakció, én azt mondtam, hogy arra bizony amilyen az adjon isten, azért olyan. Nem a te válaszodra vonatkozott, hanem arra, hogy értsd, hogy miért olyan az,amilyen.
Nem. Amit én számonkértem, az úgy szólt, hogy majd akkor legyen dugódíj-bevezetés, ha minden IS megvan. Az, hogy ez mire volt reakció, mellékes.
Már miért lenne mellékes?
.
Dögöljön meg a fórummotor.
Úgy értem a nem működiket, hogy kevésbé elegáns, hogy mindenki hozzám igazodjon, mert ha nem akkor ő egy rohadék ökoterrorista. Azért van dugó budapesten igen nagy részben, mert a) rohadtul oda van központosodva minden, szóval "muszály" bemenni, b) a tágan vett belvárost leszámítva a tömegközlekedés rohadtul nem reális alternatíva.
És azért jó budapesten élni, mert oda van központosodva minden, és minden közel van. Aztán bubuka felköltözik a jóba mondjuk bivalybasznádról, és utána háborog, hogy hát itt büdös van, és neki ne legyen büdös, aki nem az ő kompromisszumát választotta, az szopjon hosszan, mert neki joga van nem büdösben lenni közel a jóhoz, az egy igen állszent hozzáállás.
Egyébként meg a dugódíj önmagában faszt se oldana meg. Amíg igény van rá, hogy emberek bemenjenek, addig be fognak menni, max nekik lesz valamivel rosszabb, én a jelenlegi helyzetben simán figyelembe venném ezt bértárgyaláskor, aztán szevasz. És ameddig igény van rá (márpedig az nem várható, hogy az autómentesen működő városrész lakossága kiszolgálja a cégeket, és azok elengedhessék az azon kívül élő talent poolt), addig ez simán ki lesz fizetve.
Ahhoz, hogy érdemben változást legyen, ahhoz: a) csökkenteni kell a mobilitásra az igényt (rohadtul nem kéne a vízfej, a fasz se akar bejárni, csak hát amíg odabent van a rendes munka, meg a rendes szórakozás, meg egy csomó állambácsi dolga) b) érdemben javítani kéne az alternatívákon (sokkal jobb tömegközlekedés, átgondolt Home Office, bár ezt a COVID egész jól megoldotta). Akkor van értelme ellensúlyként dugódíjjal operálni, hogy javítsa ezeket az alternatívákat comparatíve, de ezek nélkül hacsak nem baszod fel annyira a dugódíjat, hogy a cégek nagy tételben költözzenek el a picsába kintebb, akkor nem lesz érezhető hatása.
Sokmindennel egyetértek abban amit írtál de abban nem, hogy a dugódíj ne hozna változást.
Londoni tapasztalatok. ULEZ: https://www.london.gov.uk/new-report-reveals-transformational-impact-expanded-ultra-low-emission-zone-so-far
Plusz lenne a városnak bevétele amit a tömegközlekedés fejlesztésére fordíthatna.
A dugódíj hozhat változást. Csak nem önmagában, ahogy az locsemege kolléga vizionálta. ("be kell vezetni a dugódíjat, és a probléma meg van oldva"). Egy normálisan tervezett változás csomag részeként tud működni, idővel, de önmagában szart se ér. És sajnos nem látszik, hogy a többi dolog érdemben történne. Van néha egy-egy pozitív megnozdulás, de elég esetleges, és időnként egyet előre kettőt hátra érzése van az embernek (zonázó menetrend kivezetése, valaki).
A pénz meg külön mókás, én szoktam mondani, mikor vki előveszi a nem Budapest baja, csináljon az agglomeráció amit akar kártyát, hogy akkor viszont az iparűzési rám eső részét is oda kérném.
A Duna túloldalán -3 szintes mélygarázsok vannak. Igaz, a part és az irodaházak közt van egy HÉV vonal meg egy sétány, de azért elég közel vannak a Dunához. Persze egy 6-7 emeletes épület alá -3 szinttel is korlátozott a parkolási lehetőség, a MOL toronynál nyilván még rosszabbak az arányok.
Amíg az erste székház mellé jártam melózni, Árpád híd pesti oldala, az irodaházban csak -1 volt a parkolónak. Mikor 2013-ban a nagy árvíz volt, nálunk a -1-en is állt a víz.
2013-ban egy műemlékvédelem alatt álló épületben dolgoztam (fő telephely) a Váci úton a 13. kerületben. A pincében 1-1,5 méter magasan állt a víz. Mentek a szivattyúk éjjel-nappal. Megvolt a havaria terv is, hogy hogyan költöztessük át a teljes IT-t a másik telephelyre, ha beüt a krach.
Úgy tudom a duna plázával átellenes oldalon a metrómegálló mellett van valami földalatti nagyon szekjur datacenter, vagy hasonló susmus épület.
Van ott pár nagyon secure hely 2-3 km-s sugarú körben. De NDA-k tömegei miatt én biztos nem fecsegek róluk...
Más se...
Úgy általánosságban, az NDA betartatásáért fizetnek amúgy cserébe, v. ha nem írod alá, majd találnak másik balekot aki ingyen bevállal mindenféle titoktartást? (Tudom tudom, még arról se szabad beszélni h. miről nem szabad beszélni) Ha megszűnik a munkaviszony adott cégnél, az NDA-s hallgatás hány évig kell tartson még utána? Azért viszont plusszban fizetnek? Ugye olyat nem lehet h. utána ha elmentél, akkor halálodig tartsd a szád. Mármint persze mindent lehet akarni munkáltatói oldalról, de nem mindennek van realitása.
Pénz... Mindig csak az a fránya pénz lebeg mindenki szeme előtt...
Életem végéig tart. Mi ebben a meglepő?
Egyrészt ha kiderül, hogy én szivárogtattam ki (akarva / akaratlanul), akkor szénné perelhetnek. Másrészt bűncselekményt is elkövetek bizonyos esetekben.
Továbbá nekem sem feltétlenül érdekem, hogy XY intézmény / hivatal / cég bizalmas információit kiadjam, ha használom a szolgáltatásaikat (közvetve vagy közvetlenül).
Ha jó vagy valamiben, azt ne csináld ingyen!
- Joker -
https://youtu.be/lT6oZ-wPpHE
Pesti oldal, Lágymányosi híd mellett majdnem, -3 szint a munkahelyemen. Tény, én csak a -1-re megyek le a bringával, de nem találkoztam árvízzel. Kb. 11-12 éve költöztünk oda. Persze lehet, hogy a -3-on már víz alatt álltak az autók, de ez engem nem érint, szóval #worksforme. Bár feltehetően hallottam volna róla :)
A Duna Tower irodaházban dolgozom, kb 50 méterre lehet a Dunától, és -3 parkoló szintje van. Nem emlékszem az ott töltött 15 évem alatt, hogy elázott volna.
A gateway office park-ban meg állt a víz a -1en. Lejjebb meg nincs, mert nem volt lejjebb szint, nem épített a kivitelező. Akkor ez 1:1 eddig.
Valószínűleg be is áznak időnként. Mint például a BME I épület garázsa is, a BME R épület pincéi. Nem véletlenül "Lágymányos" a terület neve budai oldalon. Egyfajta küzdelem ott a megfelelő vízszigetelés.
Tele van üresen álló mély és teremgarázzsal a Budapart, egyáltalán nem jelent problémát a MOL Campus körül parkolni.
Biztos meg is kérik az árát a környéken, tudva h. a mol-nak nincs pénze parkolót építeni. Más nem nagyon van közvetlen azon a környéken h. kelljen neki rendszeres parkoló.
De van: Infopark. BME + ELTE. Bár az ELTE-nek van saját parkolója. A BME I és Q épület alatt meg korlátozott a hely.
Továbbá az Infoparkot körülvevő utcákat tavaly nyáron tették fizetőssé. Azóta legalább nem roncsautó bontó kinézete van a Neumann János utcának.
Váci utca Center (Váci utca 81) -4 emelet garázs.
A science parkban jellemzően egy szint van, és a kósza infók szerint gyakori vendég a szivattyú....
Azt csak a joisten tudja, nekem peldaul valamiert brutto ~1.1 millio forintot gondolt realisnak felajanlani a recruiter egy senior .NET fejleszto poziciora, es ez 2023-as adat.
Lehet a többit molrészvényben kapnád (fogalmam sincs hogy ezzel jól járna-e bárki is v. sem nem követem), meg limitless mol benyakártyában :)
Basszus, ha én ezt tudom, akkor elvállaltam volna bruttó 700e Ft-ért is az IT infra senior architect pozíciót 2021-ben. De a heti 1 HO, a 10 %-os éves bónusz, a 13. havi fizetés, magas éves cafetéria keret nem győzött meg. Tudom, bennem van a hiba... :D :D :D
dupla
Biitosra veszem hogy egy belső start-up-náluk beállított kifizetőhely volt benne. :)
Abbol a benzinkartyabol, amit ehhez adni kene, hogy realis legyen, egy komplett fuvarozoceget el tudnek inditani. :)
Hagyomanyos bankoknal ez sosem fog megvalosulni. Amig a menedzsment ujratermeli a semmirekello nagyon fontos(tm) meetingeken ulo onmagat, amely retteg barminemu agilis szemlelettol, addig marad az a szemlelet hogy az IT egy szukseges rossz, amit naluk meg informatikanak hivnak, es banannal fizetnek.
Amíg mancibacsi/mancibacsijelszava-123 usernév/jelszó párossal fog Manci néni és a párja mindenhova _is_ regisztrálni, addig ha megfeszülnek sem fognak tudni az ilyen, máshonnan kikerült user/jelszó adatbázis alapon működő támadás ellen sokat tenni. A 2FA ezen mondjuk tudna segíteni, de... Van már a magyarországponthu-n és az azt használó rendszereken kötelezően 2FA...? Na ugye...
Webes bejelentkezésnél volt egyáltalán MFA a Simple-ben?
Gondolom nem véletlenül tiltották le a webes bejelentkezéseket..
szerk: nincs és nem volt
Hja már megint az pöffeszkedés h hát a user a hülye, közben felhasad az igazság, h a bank folyamatosan megtéveszti az ügyfeleit amikor azt állítja magáról h biztonságos, és persze a káresemény bekövetkeztekor nem akar jót állni, hanem az ügyvédeit uszítja az ügyfélre. Jó irányba kéne felülni már a lóra, ha a felhasználók 99% 1234 jelszót használ, akkor kritikus rendszereket nem üzemeletetünk jelszó bekéréssel - vagy ha igen. akkor minden káreseménynél jót kell állni ügyvédkedés nélkül! Ilyen a box!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Ezzel csak az a baj, hogy akkor kötelezik az ügyfelet az okostelefon használatára, ami egy kötelező plusz költség, illetve sérül a privacy. Miért vegyek meg egy drága készüléket, ami a nyomkövetőm egyben, miért fizessek még net elérést is hozzá? Azért, hogy ahhoz a pénzemhez hozzáférjek, ami az enyém, amiért megdolgoztam, ami után már adóztam?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Feltételezem hogy inkább fizettél volna havonta 500 Ft-ot az SMS alapú MFA-t tartalmazó Simple csomagért,
amennyiben tájékoztattak volna hogy egyébként nincs garancia rá hogy nem viszik el az adataidat...
Nem. Még csak Simple fiókom sincs.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nem, a valódi probléma az, h a bank nem-biztonságos szolgáltatásának igénybevételére köteleznek mert átutalással kapod a fizut. Ezért mondom mindig, h kötelezően kpben kéne kiadni a fizetést! Utána ha valaki akarja, akkor berakhatja a pénzét a bankba. Ez tiszta helyzetet teremtene.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Igen, így ezzel egyetértek. Vagy valóban utalhat a cég is, de ne ez legyen az elvárt vagy az alapértelmezett. De tudom, ha már megengedjük, akkor megy a nyomásgyakorlás, ami alárendelt viszonyban nem túl jó.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
ki kötelezett arra, hogy uazt az egyenleget használd az online rendszerben és a(z internetes vásárlásokra használt) bankkártyáddal?
Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve, a jelenlegi jogszabályi környezet és az ügyfelek számára is nagy tételben rendelkezésre álló, könnyen használható eszközökre építve.
Kaphatod, pontosabban kérheted kp.-ben, csak akkor a munkáltatónak legyen lehetősége a kp.kezelés teljes költségét rádverni - ahogy azt korábban kitárgyaltuk.
Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve
Nálad tudjuk, hogy ez azt jelenti, hogy kötelező okostelefon-használat.
Amúgy pont most jött szembe velem egy Allianzos 2FA - webes bejelentezés után kirak egy QR kódot, és hogy használjam okostelón a Google Authentikátort. Miközben a QR kód nem más, mint egy URL TOTP seeddel, így egy QR kód olvasó és az oathool --totp -b XXX paranccsal máris megvan a 2FA kódom. Itt miért köteleznek az okostelóra? Miért nem mutatja meg a TOTP seedet a QR kódon kívül? Security by obscurity, nem más ez.
Amit zab kartácsnak is írtam: tudod-e olyan védetten tárolni, kezelni a shared secretet a pécéden, mint Android/iOS alatt?
Ha nagyon akarom, tudom. De ha a hekker megtalálja nálam az allianzauth.sh-t, akkor vigye.
Miért ne tudnám? Ott a Windows Credential Store.
Ez kb. ugyanaz a kamu, mint amikor egy levélmelléklet vagy letölthető dokumentum PDF-ben van, és azt hazudják, hogy "Adóbé Ríder kell a megnyitáshoz". Az ember meg találgat, hogy butaságból hazudnak, vagy rossz szándékból. (És vajon melyik a rosszabb...)
A felhasználók döntő részének az Adobe Reader teljesen jó a jelszavas pédéefhez, ahogy a 2FA-hoz is a GA vagy a Microsoft hasonló mobilos alkalmazása a standard megoldás - ezekhez van meg a másik oldalon szükséges támogatáshoz az ismeret.
A PDF-ek döntő része nincs titkosítva (pl. BKK menetrendek, netes vásárlások számlái, termékadatlapok, PDF formátumú e-könyvek, szinte bármilyen letölthető PDF doksi), de a jelszavazást még a muPDF is kezeli, pedig én kinéztem volna belőle, hogy nem tudja. (Ha már inkompatibilitást kéne emlegetni, akkor én a PDF-űrlapokat meg a PDF aláírását említeném, de előbbi szerencsére sokszor megy mással is, utóbbi meg hál'Istennek ritka.) Mindezzel együtt netó hazugság, hogy PDF megnyitásához Adobe kell. Az esetek ~95+%-ában nem kell.
Semmiképpen sem "bankolénk" a telefonon. Ez valami olyan úri huncutság, amit nem merek magamnak megengedni. Egy tömegek által használt oprendszer és az ahhoz kötelezően letöltendő app kifejezetten céllá teszi a támadások ellen.
Kösz, inkább a desktop-omon végzem el az utalásokat. Nem látom értelmét, hogy miért kéne a villamoson utazva utalgatni.
+1.
Én is ezt vallom. És az emberek 99 %-a nem érti, hogy miért nem bankolok mobilról, ha megoldható másképp is. Akármennyire is biztonságosnak vélik a mobilokat, mobil OS-eket.
"Egy tömegek által használt oprendszer és az ahhoz kötelezően letöltendő app kifejezetten céllá teszi a támadások ellen." - Gondolom, akkor Linux/Windows/MacOS alól sima böngészővel sem bankolsz...
"Nem látom értelmét, hogy miért kéne a villamoson utazva utalgatni." - Mert mondjuk nem viszed mindenhova magaddal a nem tömegek által használt OS-t futtató desktop-odat...? (Pl. nyaralás, hosszabb szabadság...)
Nyaraláson csúszdázzál, napozzál, sörözzél, kend a nődre a naptejet, de ne utalgassál!
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Kártyalimit, váltási árfolyam, egyenleg ellenőrzése, csoportos beszedésekre ránézés is benne van a bankszámla mobilról történő kezelésében...
Ritkan ertek egyet locsmegevel banki temaban, de nyaralas alatt tenyleg ne a csoportos beszedest nezegesd. Az pont azert lett kitalalva, hogy ne kelljen nezegetni.
Pedig de - a csoportos beszedés teljesüléséért te, mint ügyfél felelsz a szolgáltató irányába.
Majd felelek, ha hazaertem a nyaralasbol, addig varjon a szolgaltato turelemmel.
Amugy nagyon kemeny, hogy tud valaki ennyire rettegesben elni. Mert mi van, ha nem fizetek idoben? Ram vernek szaz forint kesedelmi dijat? Es akkor mi van?
Egy példa volt, de nyugodtan kapaszkodj bele. És igen, ha megáll egy csop.besz. akkor te, mint üf. felelsz érte, és például neked veszik el a késedelmes fizetés miatt a kedvezményedet.
elkepzelem ahogy neked jon egy POCSETES level es leborulsz ALAZATTAL a szolgaltato ele
erzed-e, tudod-e, hogy ennek forditva kene lennie?
Oke, semmi gond, majd a kovetkezo honapban visszaadjak.
El is kepzelem magam, ahogy fekszem a tengerparton, kezemben a haromezer forintos tularazott sor, es azon aggodom, hogy vajon kapok-e 500 forint buntetest a szolgaltatotol, mire hazaerek.
Most peldaul van 100 forint tartozasom egy konyvtarban, mert 2 nap kesessel vittem vissza egy konyvet, de kit erdekel? Akkor ur egy ur, ha pazar!
Mondom egy példa volt, a többire meg gondolom nincs válaszod...
Mondjar konkret problemakat, es akkor lesz valaszom rajuk.
A kartyalimit az egyetlen, valamennyire valos felvetesed a felsorolasban. Valtasi arfolyam, hogyne mar, majd az alapjan dontom el, iszom-e egy sort a strandon, hogy mennyi az euro.
Fura, ha én nyaralok, ilyeneket mind nem csinálok. Okostelefonom nincs, a kis, 11.6"-os notebookomat szoktam vinni, de leginkább zenehallgatás, filmnézés, környékbeli programok keresése, térkép miatt. Eszembe nem jutna bármilyen banki művelet, de régebben számítógépet sem vittem magammal. Nyaraláshoz nem kell semmilyen informatikai eszköz.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Es nem tartoztattak le meg az MVM ugynokei? Nem vagtak le a kisujjad a Vodafone behajtoi? Nem vettek meg el a kedvezmenyedet?
Nekem még semmi bajom nem volt ebből. :) Zeller aggódik... ;)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Te aggódsz, hogy a FULL offline működő TOTP-vel a magánéletedet mindenestől elviszik... Én nem agódom, csak mondatm több okot, hogy miért a mobilos bankolás - ebből egybe kapaszkodott bele az olvtárs...
Nem ez volt az aggodalom tárgya, hanem az, hogy csak okostelefonnal, bagy csak valamelyik amerikai multi cég közreműködésével lehet elintézni egy rakás dolgot.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
És ezt is qrvasoxor leírtuk neked...
Igen. Vedd észre, nem kérdeztem. Sokadjára mondom, ha aktuális lesz, kérdezni fogom.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Aktuális. MOST. ha nem is akarod elfogadni. Mi sem kérdeztük a 2FA elleni hasfájásodat...
Ezzel szemben a böngésző nem tömegek által használt oprendszeren fut. Ja, és a böngésző sem tömegek által használt. Jó tudni.
+1
Van magyarorszagi bank, ahol letilthato az SMS, mint masodik faktor? Nincs.
Van magyarorszagi bank, ahol van FIDO2? Nincs.
Van magyarorszagi bank, ahol van legalabb valami proprietary hardveres token? Nincs.
Nekem az ilyenek ne pofazzanak biztonsagrol.
Az SMS, mint fallback van a push mellett elég sok helyen, ergo ha nem akarod, nem használod. A hardvertokennel két gond van. Az egyik, hogy drága, a másik - és ezt egy másik topicban szerintemmár írtam - rengeteg extra adminisztrációval, szabályzattal, folyamatokkal jár. Mert ha a bank veszi meg, akkor azt valahogy megfelelően dokumentálva ki kell adnia az ügyfélnek, nyilván kell tartania, hogy kinél,melyik eszköz van kint, ha gondja van az üf.-nek vele, akkor személyesen elérhető supportot kell adnia (minden bankfiókban legyen arra megfelelően kioktatott munkatárs?), ha az üf. hozza, akkor nagyon alaposan specifikálni kell, hogy mit, milyen verziót fogad el a bank, és ha nem az, nem olyan, akkor az üf. nem panaszkodhat.
Azért ez nem egy megugorhatatlan feladat a banknak. Pl: K&H sokáig adott kártyaolvasót chipkártyával vállalkozóknak. És működött, soha nem volt vele gondom.
Egyébként meg árazza be ezt a bank. És akkor oda viszem a pénzem, befektetéseim, megtakarításaim.
Nem mondtam, hogy adott szűk ügyfélkörre nem lehet megoldani, de mindenkire kiterjedően azért elég meredek összegekről beszélhetünk, akár egy közepes bank esetében is. És azt sem szabad elfelejteni, hogy az ügyfél kényelmet, egyszerűséget szeretne. Nem olyat, hogy ott a mobil, rajta az app, ami kér biometriát, és utána még azt a kis kütyüt is rakjam oda az nfc-olvasó közelébe, hogy minden jó legyen... (Bizony, 2023 van, lassan 2024 - és a mobilos felület használata bizonyos területeken bőven megelőzi a desktop/böngészős használatot, úgyhogy _elsősorban_ mobilos app/szolgáltatások irányába megy minden bank...) Ha meg csak opcionális a tokenes ba...akodás, akkor meg nagyon az fog kijönni, hogy minimális számú ügyfélre kellene elkölteni több zsák pénzt.
...aztan amikor megkapja az egyszeruseget, es levesznek 30 millat a szamlajarol, akkor megy picsogni az indexhez, hogy kerem ujsagiro ur, engem megkarositottak.
De lattal mar fido tokent? Itt van a kulcstartomon. En csak annyit kerek, hogy amikor egy csaladi haz arat elutalom, akkor ne egy fiszemfaszom SMS koddal kelljen szorakozni, hanem a kulcstartomat kelljen odatartani a telefonomhoz.
Az, akinek ekkora összeget elvittek, az jellemzően a kellő gondosság témában eléggé alacsony szinten járt.
"lattal mar fido tokent? Itt van a kulcstartomon." - Az enyémen is van egy... (Anno SecureID-ból volt, hogy 2-3 darab is kellett a napi munkához, ez legalább pici...)
"a kulcstartomat kelljen odatartani a telefonomhoz" - Tehát a biometria _mellett_ (vagy helyett?) legyen egy plusz eszköz is. Oké. Neked ez kényelmes, de milyen értékhatár, milyen tranzakciótipus, esetleg milyen egyéb körülmény(ek) figyelembe vételével kérjen a mobilos app illetve a webes felület harmadik (vagy a biometria helyett fido-s) faktort? Mert gondolom egy 300Ft-os utalás esetén nagyon nem szeretnél ilyennel ...akodni...
És ezt kéretik lefejleszteni a mobilbanki/netbanki rendszer minden érintett rétegében...
És ezt kéretik lefejleszteni a mobilbanki/netbanki rendszer minden érintett rétegében...
Karbonlábnyomra bezzeg van idő/pénz.
Egyébkén egy bizonyos értékhatár felett nyugodtan lehetne hardware tokenes kötelezettség, az, hogy több millió forintot el tudsz baszni 5 sec tapizással, az inkább ijesztő, mint kényelmes.
Nem erted. Peldaul az apple/google pay hijacking alapja, hogy a user kap egy SMS-t, azt kell megszerezni, es maris rakerul a kartyad tokenje a filippino scammer telefonjara. Emiatt szeretnek olyan beallitast, hogy ne lehessen fallback authkent sem hasznalni az SMS-t. Ha elvesztem a soft/hard tokent, bemegyek a fiokba ujat kerni. SMS nem kell, koszi.
Kifizetem!
Nekem anno volt hardveres tokenem mezei folyoszamlahoz, majd a bank rengeteg extra adminisztracioval, folyamatvaltoztatassal, szabalyzat-atirassal kivezette.
Volt -> nem volt. Es most azzal ervelsz, hogy melos lenne bevezetni. Hat talan nem kellett volna kivezetni, lol.
Az sms fallback-el az a baj, hogy oké, hogy te nem használod, de a támadó, ha már kompromittálta az sms elérésed, akkor saját maga kéri a banktól az sms fallback-et és máris ugyanott vagy: ő is megkapja és már authentikálta is magát vele.
De nyilván valamilyen net független failback kell, szerintem egy totp is jobb lenne az sms-nél.
Ja, igen, patch a fenti kommentemhez:
+ Van magyarorszagi bank, ahol van szabvanyos TOTP megoldas? Nincs.
Szerintem nyugodtan vegye be a faszomat az osszes bank IT osztalya.
Egyébként egyik cégnél ahol dolgozom van OTP generátoros kis kütyü a bankoláshoz.
De most meg nem mondom melyik bank. És gondolom csak céges számlákhoz.
Cegeshez tobb helyen is van talan, de nyilvan lakossagi kene.
Milyen a piaci igény rá? Légyszives adj egy becslést hozzá... mert a "kéne" az messze van attól, hogy érdemes legyen akár csak brainstorming-szinten foglalkozni vele.
nekem nincs olyan svajci online bank hozzaferesem, ahol ne lenne kotelezo 2FA. es nincs SMS fallback. a sajat authenticator appjukkal kell QR kodot scannelni. szoval ne terelj.
Magyarországról volt szó... És az SMS fallback kivezetése majd akkor jöhet elő, amikor az ügyfeleknél lesz megfelelő eszköz. Az opcionális kivezetése meg megoldható, de az is fejlesztés, és amíg a nagytudású, aranyszájú, mindenben mindenek felett álló MNB egyéb f...ságokkal szivatja a bankokat, amiknek ugyanígy megvan a nem kicsi fejlesztési/bevezetési költsége, addig ilyesmire kevés esélyt látok, hogy valaki belevágjon.
ugy erted a magyar ember kevesebbet er? vagy mire gondolsz? nem jar neki ugyanaz a szintu biztonsag?
Aha, szoval akkor a bankok altal adott
hulladekmobil app megsem megfelelo eszkoz? :)Egyszerű azt mondani, hogy nincs piaci igény, ha lehetőség sincs igénybe venni.
Ha tömegével jeleznék az ügyfelek, akkor lenne rá érdemben lehetőség/akarat, hogy az üzlet elindítsa ennek a fejlesztésnek az átgondolását, "beárazását", de addig, amíg ez nincs, nem hiszem, hogy rárepülnének akármelyik banknál...
És a másik, hogy egy megoldás nem megoldás, ergo az SMS-es fallback kikapcsolása/tiltása esetén mi lenne a tartalék második faktor? A QR-kód vagy épp TOTP irány jó is lehetne, de megint csak az a kérdés, hogy mennyibe kerülne? Mondjuk SCA sms-ek költségén (nem hárítható át az ügyfélre) lehetne spórolni vele, az biztos...
Az eredeti szemelyi igazolvanyom, a lakcimkartyam, es a sajat fizikai valom bemutatasa a bankfiokban. Ez nem eleg tartaleknak?
Megprobalom leegyszerusiteni a problemat, hatha ugy jobban atmegy. Van egy szamlam. (Tobb is, de most egyszerusitunk.) Ezen annyi penz van, amennyit egy atlag magyar egy elet munkaja utan sem tud felretenni. Azt szeretnem, hogy ehhez a penzhez csak megfeleloen biztonsagos modon lehessen hozzaferni. Nem kell SMS fallback, nem kell backup, nem kell B-terv.
Ha tokent kell cserelnem, majd bemegyek a fiokba. Ha uj telefont veszek, majd bemegyek a fiokba. Ha lemerul a hardvertoken akksija, bemegyek a fiokba. Nem erdekel. Az erdekel, hogy a penzemet nehez legyen ellopni. Szarok az SMS-re. Nem kell fallback. Van most erre lehetosegem? Nincs. Miert?
Az OSSZES banki scam arra epul, hogy a usertol megszerzik a user-pass-SMS kombot. Mikozben az egesz infosec ipar azon porog, hogy biztonsagosabb authentikacios lehetosegeket talaljon ki, ami phishing-proof. (Hello, FIDO2!) Es mit csinal a bankbiztonsag, az IT, az a magassagos uzlet a Jo magyar Bankban, hogy erre megoldast talaljon? Semmit.
Az kellene nektek, hogy legyen egy olyan szabalyozas, mint amit az angol regulator agyalt ki, az osszes csalasbol keletkezett kart le kell verni a bankon, aztan jonapot. Lenne am haddelhadd! Meg kene ismerkedni a modern infosec megoldasokkal es trendekkel!
"Az erdekel, hogy a penzemet nehez legyen ellopni."
Erre egy jó megoldás egy tartalék számla, amihez nem tartozik kártya.
Teljesen mindegy, amikor ilyen tobb tizmillios osszegeket lopnak el, az nem kartyaval megy amugy sem. Raadasul amugy sem folyoszamlan kell tartani a szazmilliokat, de a pelda szempontjabol tokmindegy, az ertekpapirszamlara is ugyanilyen authentikacio van legtobb helyen.
Ha ellopjak a kartyam, es leszednek rola egy napi limitnyi osszeget (300k talan?), az kellemetlen, de nem fogok sirni miatta.
Az OTP banknál például baromira nem mondják el az ügyfeleknek, hogy ez egyébként nem véd az átutalás ellen, DE a bankfiókba be lehet állítani egy határt ami a napi tranzakciós limitre vonatkozik, átutalásokkal együtt. Alapértékben tudod mire van állítva? Végtelen. Nehogy megzavarjuk az ügyfelet.
Az OTP banknál például baromira nem mondják el az ügyfeleknek, hogy ez egyébként nem véd az átutalás ellen, DE a bankfiókba be lehet állítani egy határt ami a napi tranzakciós limitre vonatkozik, átutalásokkal együtt. Alapértékben tudod mire van állítva? Végtelen. Nehogy megzavarjuk az ügyfelet.
Miklós, te vagy az? :)
SW token, ebből szerencsére kettő is lehet két külön eszközön Csak arra kell figyelni, hogy ne egyszerre cseréljem le a tabletet és a telefont, így bármelyiket cserélem, a másikkal hitelesítve tudok új sw-tokent generálni. Nincs jelszó, nincs fallback.
És lehet egy lopott adattal generált harmadik is - ugyanolyan szintű jogosultsággal a bank felé...
Érdekelne ez esetben az adatlopás lehetősége és módja.
Én még most is víg banki hardvertokenes felhasználó vagyok. A hardvertoken kb fél éve prüntyög, hogy low batt. A bank annyit mondott semmi tennivaló, jelentkezzek, ha már nem működik. Más miatt behívták feleségemet a bankba, ugyanott bankolunk, épp együtt mentünk, és ha már itt voltunk rákérdeztünk a hardware tokenre, hogy továbbra is az-e az ügymenet, hogy majd ha lemerült jelentkezzünk? Merthogy már fél éve low batt vagyunk... hölgy közli, hogy tulajdonképpen már nincs hard tokenjük, a beszállító megszűnt és még nincs új szerződés, talán majd márciusban... lesz, vagy nem lesz...
Erre közöltem a hölggyel, hogy akkor most mindketten keresünk másik bankot, ahol még képesek működő hard tokent hozzálőni a netbankhoz, majd visszajövünk, ha megvan az új számla, ezt megszüntetni...
Úgy látom az Unicreditnél még van hard token... körülnézek, hátha van még más is a "piacon". Ugyanakkor nevetségesnek tartom, hogy visszafele fejlődünk, és a "biztonság" egy-két intézményre korlátozódik, mert sok ember "nem érzi át", hogy ez jó valamire....
Valaki tud még bankot, ahol létezik még "unobtainium" magánember usernek? (hard token)
Semelyik bankban sem az IT fújja a passzátszelet. Az üzlet meg csak annyit mond: "van a konkurenciának? Nincs. Nahátakkor."
MNB-nek meg már régen nincs annyi esze hogy előremutató hatóságot játsszon.
Gábriel Ákos
En pontosan tudom, hogy az IT hogy szokta elmagyarazni az uzletnek a problemakat, mivel eleg sokaig volt az a dolgom, hogy tolmacsoljak a ketto kozott. :)
Lehet ezt a kerdest ugy talalni, hogy az uzletnek a kedvere valo legyen.
Az üzlet egy dolgot fog kérdezni: mennyibe kerül, milyen piaci előnyünk lesz belőle. És amiko rmeghallja, hogy jog, szabályozás, folyamatok, fejlesztés, üzemeltetés, és még a marketing is zsákszámra öntheti bele a pénzt meg az időt, akkor nem biztos, hogy rá fog bólintani...
En roppant kivancsi lennek, mennyivel volt olcsobb megcsinalni egy 1st party taknyolast ahelyett, hogy egy szabvanyos megoldast valasztottak volna, amit a magyarorszagi kereskedelmi bankokon kivul mindenki mas is hasznal a vilagon a Google-tol a random harmadik vilagbeli weboldalakig.
Ehelyett valaki elhitette az uzlettel, hogy
olcsobb, mint megmaradni szabvanyos iparagi megoldasok mellett. En nagyon-nagyon szeretnem megnezni annak a beszelgetesnek a felvetelet, amikor valami nagytudasu elmagyarazta, hogy sajatot epiteni valamibol olcsobb, mint egy kesz megolasra felulni.
Imadom, amikor az osszes banki fejlesztes valami lehetetlen dologkent van itthon eladva. Multkor is amikor szovatettem, hogy talan nem lehetne-e felhivni a usert, mielott kienged a bank egy csaladi haznyi lovet, akkor is az volt a valaszod, hogy hat az nem, meg draga, meg amugy is sok a melo vele. Lopikulat mar, hat teljesen rutinszeruen mukodik mar mindenhol, hogy mondjuk pontozott alairok kellenek egy utalashoz, hat nem olyan nagy melo erre rapiteni egy olyat, hogy ne tudj magadnak teljes alirast adni egy adott osszeg felett.
Olyan inkompetens megnyilatkozasokat meg szakmai temaban nem lattam, mint amit itt neha levagtok banki IT temaban. Nem csodalom, hogy szarul fizetnek itthon a bankok, ezert a teljesitmenyert en sem adnek tobbet.
Hogy a K&H miért vezette ki a csipkártyás dolgot, arról talán őket kéne megkérdezni.
"nem lehetne-e felhivni a usert, mielott kienged a bank egy csaladi haznyi lovet, akkor is az volt a valaszod, hogy hat az nem, meg draga, meg amugy is sok a melo vele."
nem olvasol alaposan. Az, hogy adott tranzakciót hogyan adja fel az ügyfél (IG2 vagy IG3 - ez utóbbi a default belföldi 20M Ft alatti utalás esetén), az ott van a felületen (Azonnali vagy időzített - előbbi IG3, 5s-en belül a célszámlán elérhetőnek kell lennie az összegnek, utóbbinál az üf. által megadott időben kerül bele a "kosárba", és az azt követő IG2-es körbenkerül továbbításra), azonban egy harmadikat, hogy "hívjanak fel, mielőtt..." belerakni, mint lehetőség, _és_ az ilyen tranzakciót megakasztani, _és_ kirakni az telebanki operátor elé, az bizony a netbankban és a mobilbankban egy plusz ág az átutalások között, annak minden kapcsolódó dolgával együtt - kezdve a folyamat szabályozásától a hirdetmény/ÁSzF/jogi anyagokon keresztül egészen a CC-s munkatársak oktatásáig.
Vaaagy esetleg talan bele sem kell tenni az utalast a queue-ba, amig nincsen rajta approval, lasd tobbalairasos utalasok. En hiaba utalnam at a sajat szamlamra egy egyesulet komplett megtakaritasat, ahhoz kell talalnom egy cinkostarsat, aki meg alairja az utalast, mielott a bank kiengedi.
Nahat, ja hogy ez mar le van fejlesztve! Meg nalatok is! Te, es nem volt bonyolult megcsinalni? :)
Lakossági kontra céges/üzleti számla.
Tehat roviden: nem-lakossagi szamlahoz mar implementalva van a feature nagy resze, azt kell portolni a lakossagi szamlakhoz => a melo nagy resze pipa, pedig meg el sem kezdtuk.
Lakossági számlánál egy tulajdonos van, és ahhoz adható jogosultság (bankja válogatja, hogy milyen granularitással). A számlatulajdonos egyedüli rendelkezési joga nem tudom, mennyiben és hogyan korlátozható, de egy lépést hátrébb lépve nehezen képzelhető el az az állapot, hogy a mondjuk férj számlájáról indított _valamennyi_ tranzakciókhoz a fér _és_ a feleség jóváhagyása is szükséges legyen.
Gondolom, egyszerűbb volt a mobiltelefonhoz kötött sw-token. Tudtommal a chipkártyaolvasót és a kártyát nem fizettették ki a felhasználóval, ráadásul a chipkártyás megoldás némileg behatárolja a használatot. Nem minden gépben van olvasó, a külön olvasóból pedig jellemzően csak egy van, időnként frissíteni kellett a drivert, az se mindig volt triviális, szóval volt vele kényelmetlenség. A KBC Securities (a csoport brokercége) egy ideig Digipasst használt HW-tokennek - az annyival könnyebb, hogy oda nem kell olvasó, ők is lecserélték SW-token megoldásra, azóta beépítették a mobilbroker alkalmazásba, de ugyanaz használható PC-s bejelentkezésre is, ha böngészőből lép be a user. Gyanítom, hogy a mobiltokenes megoldásnak alacsonyabb a licencköltsége, illetve a felhasználónak is kényelmesebb. Persze mondhatjuk azt is, hogy a költség egy részét áthárították az ügyfélre (aki megveszi a mobiltelefont).
EZ!
Szánalommal nézem, amikor a világszinten huszonkettedik magyar senki vállalat erőlködik, miközben ott van mellette számos jól bejáratott, működő megoldás ... de nem,erőtltetjük a saját sz*runkat, aztán meg vannak lepődve, amikor a felhasználó elvárná ugyanazt a stabilitást, mint a nagy nevektől, hiszen arra gondol, azért vágtak bele egy nulláról történő fejlesztésnek, mert valamit még a nagyoknál is jobban tudnak, aztán jön a koppanás, hogy egy eső-kelő sz*rt tákolnak napi szinten. (Lásd a Mávinform kétnapi-háromnapi értesítését arról, hogy a SimplePay karbantartása miatt már megint nem lehet majd jegyet venni, csak papíralapon, a pénztárban.)
Hasonló az Indavideo, emlékszem, egy időben ki is volt írva a videók elején, hogy ha külföldről akarod nézni, akkor a szaggatás feature, mert külföld felé egyszerűen nem vettek elég sávszélt. Tessék mondani, ha ennyire nem megy, akkor minek erőltetni? Olyanokról nem is beszélve, hogy sem az indavideon sem a videan például a mai napig nem lehet időkóddal megosztani videót, (ami a Youtubnál a &t= xxx) mert egyszerűen nem kezelik.
Vagy a budapesti jegy? Londonban ott van az Oyster kártya, de Münchenben vagy Bécsben már a papíralapúval is megoldották, ami Budapesten még mindig az űrtechnika kategória. Ehelyett megy a bohóckodás a QR kóddal, amit olvassál le kívülről (!!) a felszállás előtt, és nem egyszer láttam, amikor a Blaha Lujza téren, a délutáni csúcsidőben emberünk vergődik a QR kód körül, hogy lefotózza majd reméli, hogy a villamosvezető nem csukja be az orra előtt az ajtót. Legalább már arra rájöttek, több mint egy 1 év után, hogy esetleg ne szúrjunk ki az utassal és ugyan hadd olvashassa le felszállás után, a járművön belül a QR kódot. Aki lógni akar, az így se, úgy se fog QR kóddal bohóckodni.
rohamkocka
Jaja, ismeros, es meg veletlenul sincs egy backup szolgaltatoval leszerzodve, ne adj' Isten kulfoldrol, hogy ne az OTP legyen a szuk keresztmetszet. Neeeem, napokig nincs kartyas fizetes, nem baj, a buzi utas oldja meg, ahogy akarja, ha meg nem sikerul, legalabb lehet potdijazni.
Mennyivel egyszerűbb mindez úgy, hogy az ember a pénztárnál fizet készpénzzel, és akkor mindenki nyugodt. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nem mindenhol van penztar. Igen, igen, a kallernel is lehet, ha epp tud visszaadni.
Videa-n nem az volt h. nem is nagyon töltött be bármilyen nem-magyar IP-ről évekkel ezelőtt, mikor utoljára próbáltam?
YT időkódos megosztást az android app-ban szerintem én soha nem láttam. De webes kliensben sem jelenleg. Ahhoz ájfón kell vagymi? Kézzel, ha jól értesült ("hekker") vagyok, bele tudom gyógyítani az URL-be. De ezzel a felhasználók 0,00001%-hoz tartozok, aki tud róla h. ilyen is létezik.
A neten megvan az infó. Az URL szerkesztését ne tekintsük űrtudománynak.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Bezzeg a TOTP megértését!
Igazad van, de mondom, hogy nem olvastam utána. Ez úgy szivárgott be a mindennapokba, hogy észre sem vettem, mégpedig ezért:
1) Átlag felhasználónak van okostelefonja, Google fiókja, de ha nincs, csinál magának egyet. Átlag felhasználó nem olvas ÁSZF-et, adatvédelmi nyilatkozatot, hanem azt tudja, hogy ha beteszi az „elfogadom” szó elé a checkboxot, akkor neki minden működni fog. Az átlag megoldások tehát működnek minden nehézség nélkül, fogalma sincs az átlag felhasználónak sem arról, mi az a TOTP, azt csinálta, ami oda volt írva. Kivéve azt, hogy olvassa el az ÁSZF-et, adatvédelmi nyilatkozatot, mert azt nem csinálta. Átlag felhasználó eladta testét-lelkét az ördögnek, de nem aggódik ezen, mert el sem olvasta, min is kellene aggódnia, egyébként meg csak egészség legyen és térerő, holmi szabadságra nincs igénye, a privacy-ről meg azt sem tudja, melyik földrészen keresse.
2) Aki ezzel szemben érzékeny a privacy-re, nincs okostelefonja, az azt tapasztalja, kihúznak alóla olyan technológiákat, amelyek korábban működtek. Aki olvas ÁSZF-eket és adatvédelmi nyilatkozatokat, az ezekből megtudhatja, hogy gátlástalanul minden személyes, szenzitív, intim információt gyűjtenek mindenről. Életmódról, kapcsolati hálóról, szokásokról, tartózkodási helyről, mindenről, és harmadik féltől beszerezve is. Akinek nincs okostelefonja, annak meg kell dutakolnia, hogyan lehet MS-free, Google-free, Facebook-free módon megoldani Android és iOS nélkül ezeket a dolgokat úgy, hogy az ne legyen használhatatlanul körülményes.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az Android es az iOS kliensek nem tartalmazzak ezt a featuret, de weben, siman a jobb gombos menuben a copy video url at current time alatt megtalalod.
Az androidon nem tudom, hol van (ha van). weben jobbklikk
Androidon nincs böngésző?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az androidos apprból beszélek, amin az ember ott általában a youtubeot nézi.
Böngésző egyébként van, jobb klikk viszont nem igazán :) De megnéztem neked, böngészőből ha nyomom hosszan (amire általában előjön a "jobbklikk" menü) ez esetben gyorsabban játszik le (egyébként konzekvensen az appal).
De úgyse használsz ilyet, nem rohadt mindegy neked?
A támadónak ehhez tudnia kell a jelszavamat. Amit viszont sose használok, mert mindig tokennel lépek be az e-bankba (igazából nem is tudom a jelszavamat, sose használtam). Ennek hiányában nem sokra megy az SMS fallback-kel.
Azt mondod téged az véd meg, hogy még te sem tudod a e-bankhoz való jelszavadat? Ez esetben nem is kell 2FA, elég biztonságot ad az "ismeretlen", fix jelszó.
Mondjuk telefoncserénél vagy egyéb esetekben érhet némi meglepetés, amikor mégiscsak kellene tudni és beirni valahova azt a jelszót.
Ezt már leírtam máshol. Van két eszközöm, egy telefon és egy tablet. Mindkettőn van egy SW-token. Eszközcsere esetén új tokent kell generálni. ilyenkor a másik eszközzel belépek, és azzal hitelesítem az újat. Jó párszor váltottam már így, mióta a chipkártyáról átállt a rendszer SW tokenre, kétszer cseréltem tabletet és vagy háromszor telefont. Nem kellett a jelszó.
Szoftveres token van. Az nem elég? Az SMS-nél minden szempontból jobb.
De! Mostmar csak az kene, hogy az SMS letilthato legyen.
Lásd feljebb. Ha SW tokent használok, és jelszót sose, akkor nem tudják megszerezni sem, vagyis akár letiltom az SMS-t, akár nem, az nem fog működni.
Tok jo, csak peldaul az Apple/Google Pay-es kartyadigitalizaciohoz nem kell jelszo. Eleg a kartyaszam + az SMS kod.
Ez igaz. Persze a CVV is, de az is megszerezhető. Ennek viszont nem sok köze van ahhoz, hogy a webes/mobilos banki alkalmazás belépése tokennel működik-e vagy sem.
Ott azért van néhány kör, amit végfelhasználóként nem látsz... És van, hogy nem digitalizálható a kártya onnan és úgy, ahogy szeretnéd. És mindegy, hogy wallet-ből vagy banki mobilalkalmazásból indítod a folyamatot.
Ezt mondd azoknak, akiknek a kartyait viszont sikerult digitalizalni a filippino scammernek. Azt tudom, hogy en nem tudok csak ugy fizetni a kartyammal az EU-ban, szerencsere a harmadik vilagbeli orszagokban ez pont nem issue.
Hazai bankot tudsz mondani, aminek az ügyfeleivel ez megtörtént?
Marmint mi? Ez az egyik legpopularisabb scam manapsag. Jon SMS-ben egy kamu link (Foxpost, akarmi), bekeri a bankkartyaszamodat, azzal elkezdik a tuloldalon az Apple Pay onboardingot, arrol ugye kapsz egy SMS-t, amit a kamu oldalon bekernek a usertol. A kodot meg ugye beirja a hulyegyerek a tuloldalon, es kesz a digitalis kartya.
Ez nem bankfuggo, meg ismerosi korben is volt, aki beszopta, mit tudom en, melyik banknal van.
Hülye user+agyhalottaknak kitalált mobil+ökoszisztéma tökéletes táptalaj a hülyeség kihasználására.
Igy van, ezert kene az SMS-t tiltani.
Ha feldobna az app egy kerdest, hogy figyelj, Kenyabol probalja valaki epp egy iPhone 12-re digitalizalni a kartyad, akkor a user jobb eselyekkel indul, mert mondjuk eleteben nem jart Kenyaban, es iPhone-ja sem volt soha.
Na akkor mégegyszer... Mi az a módszer, ami a legtöbb felhasználónál rendelkezésre áll. Na az kell legyen a default fallback. (És a kártya digitalizálásánál a kliens IP-je alapján (GeoIP) a fraud simán adhat(na) sárgát, hogy tesséh telefonálni a bankba a digitalizálás befejezéséhez.)
Az egyetlen dolog, ami mellett itt kampanyolok, hogy a default fallback legyen opcionalis. Erted, hogy legyen opt-out lehetoseg. Ha neked jo a default, akkor nincs teendod, hagyd bekapcsolva.
Adhatna. Es, ad?
"Adhatna. Es, ad?" - Igen, van ilyen. (Sőt már hamarabb "útba eső" komponens is elkaszálhatja a kérést, ekkor a fraud-ig már el sem jut.)
egyszer reagálnál már gelei érdemi kérdésre sms ügyben :)
Igazából nem mindegy. Most sajnos elég sokszor kellett kártyát digitalizálnom (elveszett a táskám, kártyák letiltása után új igénylés), és amikor a mobilbanki alkalmazásból indítottam a digitalizálást, akkor csak azt kérdezte, hogy a telefonra vagy az órára tegye rá, a többit elintézte az alkalmazás. Ha meg a walletből indítottam, akkor kártyaszám, lejárat, CVV + a megerősítő SMS kód kellett hozzá.
Attól, hogy "elintézte az alkalmazás" még a folyamat nagyjából ugyanaz. A mobilbanki alkalmazás ismeri a kártyaadatokat, de attól még a tokenizálási folyamat lényegét tekintve azonos, ugyanott tud elhasalni/megakadni.
Nekem, mint felhasználónak nem mindegy. Ja, és abból a szempontból sem, hogy nem volt szükség SMS-azonosításra. A folyamat 'nagyjából' ugyanaz. Mindig attól függ, milyen távolságból nézzük.
Szerintem te nem láttál nagy pénzintézetet belülről - az Isten pénzét is elverik ezek IT-ra. Akkora összegek repdesnek hogy lefordulnál a székről ha hallanád.
Ez nekünk (beszállítóknak) csak jó ... Isten tartsa meg jó szokásukat!
trey @ gépház
Hany misi havonta? En ketto banki fejlesztot ismerek, (cib, bb), mind bagot kapnak legacy takolasert
Félreértetted! Nem a banki melós kapja azt a pénzt, hanem a bank baszik el temérdek milliót mindenféle outszorszolt 3rd party cégnek kifelé. A banki alkalmazott(ak többsége) esélyesen aprópénzért csinálja a (szar) munkáját. Plussz bónuszként ott van az összes pénzintézetre jellemző nehézkesség, impotens bürokrácia, bezártság, 0 innováció, 0 lehetőség up-to-date tech dolgokkal foglalkozni. Azaz kb. a saját sírodat ásod minden ott töltött évvel, elvesztegetve h. máshol kurrens értékes(ebb) tudásra is szert tehettél volna ugyanezen idő alatt.
Remekul osszefoglaltad amire ki akartam lyukadni.
Amig a babzsakos menedzserek napi 4 faszveros meetingben elvernek excelben rahedli penzt mindenfele kurva fontos plecsnire, certre, hogy folfele kipipaljak a checkboxot addig marad a fostakolmany, mert egy ambiciozus fejleszto sem fog szart lapatolva burokraciaval viaskodni.
”Azaz kb. a saját sírodat ásod minden ott töltött évvel, elvesztegetve h. máshol kurrens értékes(ebb) tudásra is szert tehettél volna ugyanezen idő alatt.“
Tobbsege pont ezert megy oda. Leulom a napi fix semmitevos oramat, csak gondolkodni ne nagyon kelljen, foleg ne tanulni.
Ha ezer milliárd EUR-s (háromszáznyolcvanezer milliárd Forint) asset állományt kellene felügyelned akkor valószinűleg te is kétszer meggondonád hogy mit cselekszel.
Nagyvállalati pénzintézetek általában nem "a felkúrok egy új webservice Simple néven, MFA nélkül mert úgy olcsóbb fejleszteni" kategóriában játszanak.
OTP a nagyvállalati pénzintézeti IT megkerülésére létrehozta a kis start-up inkubátorát, ez a poszt ennek az eredményéségéről szól.
Minden bank ezt csinálja. A bénábbak nem csinálnak hanem vesznek.
Gábriel Ákos
Nincs is igazán innováció ezen a piacon.
Épp az agyament menedzsment szokta nyomatni az Edzsálylt és egyéb vallásos baromságokat (SCRotUMvakarás, Bimbam stb.), ezzel is "segítve" a (valóban) dolgozókat.
Nem az OTP hibája, hanem a usereké. Nem történt semmi "feltörés", hanem a balfaszoknak leakelődött a jelszava (feltehetőleg más platformhoz is ugyanaz a mail + pw van) és a bot belépett vele. Azért egy "IT" portálon lehetnénk kicsit szofisztikáltabbak is.
Aláírás _Franko_ miatt törölve.
Jákub egy .
neut @
Hm, az e-mail cím megváltoztatásakor nem kéne a *régi* címre küldeni egy levelet amelyben van *valami* ami az új címre átíráshoz szükséges? Értem, hogy ez arra van, ha valaki alól kiment az e-mail szolgáltató (vagy a fiók :-) ), node akkor is.
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
És ha épp az kompromittálódott?
Meglepően sokan "veszítik el" a régi mailcímüket. Pl. elfelejtik a jelszót.
Persze ettől még mehetne ki értesítés, és "ha nem te voltál, ide kattints" dolog, de lehet hogy ez már nem fért bele.
Valóban:
https://haveibeenpwned.com/
Egy-két embernek mondtam, hogy ellenőrizze le. Meglepődtek.
Nekem is van spamgyűjtő e-mail címem, ami kiszivárgott. Az egyik a Dropbox, a másik a Kickstarter megtörésekor. Jó tisztában lenni ilyesmikkel. Nyilván, fintech alkalmazásokban nem ezeket a megtört e-mail címeket használjuk a pénzünk védelmében. Ezek pont erre vannak, hogy vigyék, ha akarják.
trey @ gépház
Összes használt emailcímem érintett, nagy kaland. Random generált jelszót használok mindenhol.
Nyilván ez azoknak nagy kaland, akik mindenhol ugyanazt használják és fogalmatlanok. A lakosság 99%-a kb.
trey @ gépház
Ez mondjuk jogos. A fenti oldal akkor lenne hasznos, ha tudnám belőle, h honnan szivárgott ki a jelszó.
Nekem listázza, dátummal, leírással.
> A lakosság 99%-a kb.
Vagyis nem az emberek a hülyék, hanem aki azt állítja, h az IT rendszer biztonságos a bankoláshoz. Öszintén szólva, a monitor szélére kiragasztott postit "jelszókezelő" tűnik lassan a legbiztonságosabbnak!
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
#worksforme
(nem, nem tízezer forintokkal gurigázok)
trey @ gépház
De bammeg, az userek a hülyék. Sajnos nem tanították meg nekik az oskolában (ahol persze a dél-dakotániai Fütyimatyi királyságának az összes lényegtelen adatát be kell se&&elni, ahogy azt is, hogy Miskanéni,mint költő mire gondolt amikor leírta, hogy "'szomba"...). Maguktól meg nem tanulnak, nem próbálnak agyikag fejlődni . megmaradnak az agyilag zokni szinten...
Egyszer csekkoltam ezt az oldalt úgy, hogy csináltam egy vadiúj emilcímet. Kb. 10 perccel később ez az oldal már asszonta, hogy bizony ez az emilcím is "pwned". Innentől valahogy nem tudtam komolyan venni...
Jó ez az oldal. Ja, nem egészen. Az rendben, hogy megmondja, hogy egy, két, három, valamennyi site-on kompromittálódott az adott login, azt viszont nem írja ki, hogy hol. Mivel a jelszavaim különbözőek, de az email cím nem, így hogy találom meg, hogy hol (és mikor) került ki az adat?
Megnézed, hogy melyik dumpokban található meg a jelszavad, és a dumpoknál le van írva, hogy mely oldalak vannak benne.
Aláírás _Franko_ miatt törölve.
Jákub egy .
neut @
Én valamit nem értek. Ez az oldal azt írja, hogy az emailcímem (trécéhá/protkómél) szerepel egy helyen valami Gravatar-ról kiszivárgott dumpokban. Én meg azt se tudtam a mai napig, hogy van ilyen oldal, hogy Gravatar. Direkt odamentem, hogy lecsekkoljam, hogy nem csak elfelejtettem-e, hogy valamiért egyszer bereggeltem ide valamikor (kizárt: amire ad-hoc bereggelek valami miatt, aztán megy az account a levesbe, meg a feledésbe, ott én is valamelyik spamgyűjtő szemétládámat adom meg), de a view profile-hoz beírva az emilemet azt kapom, hogy "There is no profile associated with this email address.", ha meg be akarok lépni, akkor meg ugyan küld egy verifikációs linket, de a subject nem login, hanem sign up, a content meg az, hogy köszi, hogy csatlakozol, azaz nem vagyok regisztrálva. Akkor hogy szivároghatott ki innen az emilem, ha egyszer sose regisztráltam be ide vele? (Sőt, a jelek szerint más se tette meg helyettem.)
Nem mintha fontos lenne: össze-vissza mindenféle kriksz-kraksz jelszót használok az accountjaimnál - csak nem értem.
Oldschool Computer - http://oscomp.hu
Akkor az rosszul szivárgott ki. :) De komolyan, a bűnözők is hibázhatnak, pláne, ha anyagi érdek is motiválja a dolgot: még több logint eladok, amiből 10% valós.
Ahá, szóval valaki a lescrapelt cuccokba véletlen generált emailcímeket is belepakolt, az én háromkarakteresemet meg nem nehéz még véletlenül se eltalálni. Thx, ez nem jutott eszembe.
Oldschool Computer - http://oscomp.hu
Ezek ilyen meghokkento it-s sztorik?
nalam az vitte a palmat, amikor regisztraltam, es visszabokte, hogy aszondja:
"Password matched with cutekittie89, please choose an another one. New password cannot be the same as old password."
Vegulis valaszthattam volna valami komolyabb jelszot, de azert kicsit pletykas na.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Vagy bevezetik a tufát, változik az ÁSZF, az adatvédelmi irányelv, amelyet a user nem fogad el. Nekem így szűnt meg az összes gmail-es címem. Pedig volt egy pár.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Vagy bevezetik a tufát" - jelen esetben kifejezetten hasznos lett volna, ha van a simple fiókokon 2FA...
Nekem ez vörös posztó, ilyenkor szoktam eldobni a szolgáltatást. Egyrészt benne van az, hogy hülyének néznek, azt vélelmezik, hogy 123456 a jelszavam, vagy ennél picit erősebb ugyan, de mindenhol azt használom. A másik, hogy nincs okostelefonom, azok a megoldások kapásból kiestek. A harmadik, ha esetleg lehet SMS-ben, nagyon nyűgös. Hogy lesz? Elindítom a Claws Mail klienst, s 10 percenként, amikor lehozza a leveleimet, vagy megnyomom a get mail gombot, jön egy SMS, és be kell írnom az üzenetben kapott kódot valahova?
Továbbá belefutottam abba, hogy utalni akartam, de már kikapcsoltam a telefonom. Eléggé felcseszett, hogy jó, akkor ágyamról telefon felvesz, bekapcsol, PIN beír, vár, SMS-ből kód beír, remél, hogy nem timeout-ol, felület használ, SMS töröl, telefon kikapcsol. Mindez azért, mert van néhány polgártársam, akinek 123456 a jelszava.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
authy-t ismered? bitwarden-t ismered? vannak desktop megoldások 2fa-ra, igaz kicsit "defeat the purpose", de van.
Gábriel Ákos
Nem ismerem ezeket. Ezeknek van linuxos megvalósítása?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
van.
nem lepodtem meg, h alapveto dolgokkal SEM vagy tisztaban a postjaid alapjan.
Ezen a területen valóban nem, mert ez félelmetes számomra azáltal, hogy öles léptekkel számolja fel a személyes szabadságot, s tesz mindenkit életmódja és minden mozdulata tekintetében kontrollálhatóvá, egyúttal kiszolgáltatottá.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
^^ 2 FA-rol hallottuk egy alisapkas velemenyed, holgyeim es uraim (es diverzek)
Igen, mert előbb-utóbb az van, hogy használj okostelót.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
alusapi fel, 3, 2, 1...
Érveid is vannak a gúnyolódáson túl?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
2FA-hoz nem szukseges okostelefon. Meg papiron is ki tudnad szamolni a TOTP kodokat, ha eleg gyors vagy. :)
Ez nem eleg erv?
De. Ráadásul még tetszik is, mert érzem, lesz megoldás, ha rákényszerülök. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
https://datatracker.ietf.org/doc/html/rfc6238 - a referencia implementáció is megtalálható benne.
Múltkor is kapott egy csomó alternatívát, de akkor sem volt hajlandó foglalkozni vele.
Mert sohasem jutok odáig, egyelőre kényelmetlenül ugyan, de ki tudom kerülni ezeket a sz.rokat. Majd ha már kényelmetlenül sem tudom, felteszem itt a kérdést, mik az aktuális trendek, s mivel lehet a privacy-t leginkább kímélő módon megoldani ezt.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Majd ha a statikus user/pass párosod kiszivárog valahonnan, és ott megszemélyesítenek/kizárnak, és fájni fog, akkor talán rádöbbensz, hogy miért jó a -gyakorlatilag minden loginnál új/más jelszót jelentő- 2FA...
Azért asztali gépen még mindig könnyebb biztonságban tartani a jelszavakat meg tufakódokat. Ráadásul ha jól látom, az Auhty valami kláudos cucc (legalábbis felhőbe ment), innentől kezdve ez kuka. Bitwardennek is csak akkor lehet értelme, ha magának szolgáltatja az ember (saját vasról, sajátnak mondható ingatlanból), felhőből használva az is felejtős.
Nokia 3310-re is van TOTP... :-)
(és is használom)
Érdekel, mert ilyen telefonom van, bár csak GSM, azaz 2G-s, tehát nem LTE változat. A másik, hogy ne menjünk bele, mert megint le leszek szúrva, hogy kínáltátok a megoldást, csak nem foglalkoztam vele. És valóban, most nem érdekel még. Amúgy meg nem szeretnék semmilyen Google szolgáltatást elfogadni, tehát csak akkor érdekel, ha Google-free, MS-free a cucc. Kell hozzá valamilyen hálózat? Bluetooth a számítógéppel? Vagy GSM-en (2G)?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nézz utána, keress rá, hogy mi ez és hogyan működik -de ezt már a másik topicban korábban n+1 alkalommal leírták/tuk neked... _Semmilyen_ külső kommunikáció nem kell neki, csak az indulásnál kell valamilyen módon a kezdő hash-t megadni neki, amit jellemzően egy QR-kód beolvasásával csinálnak meg az alkalmazások, de lehet úgy is, hogy a QR-kódból kinyered a hash-t, és odaadod az alkalmazásnak egy stringként.
Hash nem lehet egy random szám a /dev/urandom-ból? Mondom, azért ne beszéljünk erről, mert a korábbi alkalmak részleteire is azért nem emlékszem, mert annyira félelmetesnek tartom ezt az egészet, annyira a szabadság végének, hogy nem foglalkoztam vele, mert fáj. Ha valamiért már muszáj lesz, akkor fogok kérdezni, addig megpróbálom ezt odázni.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ha egyszer végre hajlandó lennél foglalkozni vele, akkor rájönnél, hogy a félelmeid (viszonylag) megalapozatlanok. Lehet privacy sértő módon is csinálni, de speciel pont elég sok dolog van, ahol egészen konkrétan feature a privacy. Veszel egy hw tokent, azon jól tárolva vannak a secretek, és működő második faktort tud adni önmagában, a szolgáltatásra egyedileg. De a TOPT is alapvetően teljesen privacy mellett is használható megoldás. Vannak rossz gyakorlatok (pl sajnos elég sok helyen nyitnak azzal, hogy telefonszámot próbálnak kunyizni, meg nem lehet rögtön FIDO-t állítani, meg ilyenek, de ezek alapvetően nem technológiai, hanem policy korlátok.
Csak mi lenne akkor, nem kürtölnéd folyamatosan bele a szócsőbe, hogy ez egy rakás szar, és fujj és rossz, miközben saját bevallásod szerint sincs fingod se róla?
Az irány rossz. Régen jó volt a felhasználónév, jelszó. Ma is jó lenne, ha nem akadékoskodnának a szolgáltatók, nem találnák fel a langyos vizet. Azt értem, hogy vannak, akiknek lenyúlják a jelszavát, de ez olyan, mint az az ember, aki a megtakarított kétmillióját odaadja egy futárnak, hogy segítsen a balesetet szenvedett unokáján, és csak a pénz átadása után gondol bele, hogy nincsenek unokái.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Régen jó volt az openrelay SMTP is, gyakorlatilag bármilyen SMTP-t be lehetett állítani, és elment a mail a címzetthez. Szóval az, hogy régen mi volt jó, már régen nem jó érv :)
Nekem ma is jó lenne. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Hogyan? Nincs okostelefonom. Van egy nagyon régi fényképezőgépem. Arról felmásolom a QR-kód képét a desktop gépre, s megkínálom egy alkalmazást vele? De mondom, ne most, mert amikor tényleg érdekelni fog, azt fogod mondani, olvassak vissza, s nekem akkor kell majd a segítség, nem most.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Lehet egyszerűbb, ha a desktop gépen copyzod ki a képet. :) Szerintem a TOTP pont a szabadság mert nem kell hozzá semmilyen 3rd party (google/faszbook/amazon...), egyszerűen van egy közös titkod a serverrel ahova loginolsz, amit soha többé nem küldesz át a zsinóron, csak abból + az aktuális időből készült nagyon rövid hasht (általában 6-8 karakter). Desktopon is megy, nem kell hozzá okostelefon. Igen persze ez a közös titok ellopható, ha bénán tárolják, az ellen nem véd. De kitalálni az átküldött számsorból nem lehet (ha elkapod hálózati forgalomban, sms-ben, keyloggerrel, vágólapról stb).
A QR kód nem szerves része semmi ilyesminek, az alapvetően csak egy kényelmi funkció, hogy az összes faszott paramétert, meg a preshared keyt kényelmesen lehessen beállítani a kliens applikációdon, jellemzően egy TOPT paraméterei vannak benne. Én még nem láttam olyat, ahol ne lenne gomb arra, hogy "nincs qr kód olvasóm, mutasd a paramétereket", és aztán ne lehessen belepötyögni az authentikátorba kézzel.
Egyébként pedig tippre van egy köbvödör qrcode olvasó lib, gondolom van hozzá valami offline tool is magában.
Én régi J2ME telefonon ezt használom évek óta: https://github.com/baumschubser/hotpants
A srác csinált is nekem tavaly egy javítást, mert a másodperc nem állítható a telefonom óráján (Sony-Ericsson P1i), ezért csinált egy Time Configuration beállítást, amivel igazíthatom, hogy PONTOSAN mennyi az idő. (+/- 60mp, ugyanis a TOTP-hez pontos idő kell.)
Semmi Google, semmi mobilnet, ez csak egy algoritmus ami percenként csinál egy hatjegyű számot amit bekér a weblap a név/jelszó után. A banknál nincs ilyen, de vagy 20-25 egyéb helyen használom.
Sajnos mivel sok weblap QR kódot rak ki és nem az ezekbe beírandó KRIX-KRAX-OT (ú.n. TOTP secret), ezért okostelefont előszedem a fiókból, bekapcsolom, leolvasom, és abból kiírom a "secret"-t a P1i-be. Az okostelefonon AndOTP nevű proggit használom és arról készül a biztonsági mentés is, hogy meglegyenek a TOTP kódjaim. Illetve, csináltam a PC-n egy KeePassXC adatbázist, amibe szintén beírom ugyanezeket a "KRIXKRAXOKAT", az is egy biztonsági mentés. Ezeket sose veszem elő, csak amikor újabb TOTP-t regisztrálok, legyen meg a mentés.
Én imádom ezt a kényelmetlenséget, hogy fel kell venni a telefont, feloldani, megnyitni a TOTP app-ot, beírni a 6 számot. Lelki megnyugvás. ;-) (Pedig mindenhol más a jelszavam és kb 20 karakteres random vackok.)
Ha jól értem, akkor ehhez elég lenne egy akár C-ben írt CLI alkalmazás, amit terminálban futtat az ember desktopon.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
OATH Toolkit
(ezt is használom)
Igen, rohadt régen próbáljuk neked elmagyarázni, hogy egy alapvető TOTP/HOTP authentikációhoz nem kell semmi network magic, meg bármiféle nagytestvér. Benne van az RFCben, hogy miből mit kell számolni.
egy gyors dnf search ezt dobta: numberstation, adj neki egy dnf installt, aztán nézd meg. Gyors gugli dobta még ezt: https://github.com/yitsushi/totp-cli. Ugyan nem C, mert go, de na.
Na, ez már valami:
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ja, és bizonyára van még pár. De ugye rettegni sokkal jobb...
Nem jobb. Csak egyrészt nem foglalkoztam vele mélyebben, másrészt a gyakorlatban az emberek igen sok százaléka okostelefont illetve Google szolgáltatást használ ilyenre, harmadrészt weblapokon olyanokat látok, hogy lépj be Google-lal, MS authentikátorral, Facebook-kal, s nem látok olyat, hogy lépj be papír-ceruza módszerrel, terminálban futó számolós alkalmazással, mindenhol QR-kódok vesznek körül, amivel nem tudok mit kezdeni, mindeközben céges levelezés eléréséhez eddig simán meg lehetett nyitni, hogy SMS-ben kérem a második faktort, már csak egy apróbetűs link visz az oldalra, ahol SMS-ben kérhetem a második faktort, a default az, hogy azt látom-e az okostelefonomon az authentikátorban, amit mutat a weblapon. Tehát megy az átnevelés, átterelés, nyomásgyakorlás, felkészülés a kivezetésre. És akkor azt mondod, indokolatlan az aggodalmam.
Ha azt mondjátok, lesz megoldás okostelefon nélkül, s az nem csak elméleti, azaz nem használhatatlanul körülményes, akkor megnyugodtam.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Hosszan tudnék írni, de felesleges, szóval igyekszem elég röviden. Az emberek nagy része immár legalább 10 éve okostelefont és google szolgáltatásokat használ. Te meg nem, és nyeffegsz, hogy nem igazodik hozzád a világ, hanem ezek vannak minden hova odaírva.
A 2FAra pedig folyamatosan öntöd a félelmedet privacy szempontból, miközben az ipari szabvány technológiák pont hogy tervezésüknél fogva privacy awarek, és félelmeiden tisztán látszik, hogy tények helyett képzelgéseken alapulnak. Ha kapsz róla infót, olvasnivalót, akkor elhesegeted azzal, hogy ez nem segít, mert ez téged nem érdekel. Mivel mérnökemberként minden kvalitásod megvan hozzá, hogy maximum pár óra alatt megértsd az egész hóbelevancot, ezért az a következtetés, hogy te ezen rettegni akarsz, ahelyett, hogy megértenéd a valós kockázatokat. Lelked rajta, csak ne csodálkozz, ha hülyének néznek. Jelen helyzetben erősen hasonlítasz a kisgyerekre, aki a fülére tett kagylóra formázott kézzel dobol a fülén, és közben fejhangon kántálja, hogy pa-pa-pa-pa-pa-pa-pa-pa....., hogy nehogy bármit meghalljon, amit a felnőtt mondana neki.
Különösen vicces, hogy ragaszkodsz ahhoz, hogy hülye maradj a témában,de volnának elvárásaid, hogy hogyan kell ezt csinálni, hogy ne legyen szar, de közben kikéred magadnak, hogy a te torkodon toljanak le dolgokat, mert mások hülyék.
Mondom, azért nem ásom bele magam, mert frusztrál, félelemmel tölt el. Ha muszáj lesz, akkor előveszem a témát, addig csak a szorongásom nő, mert a limitációk egyre magasabbra teszik a lécet. Egyelőre megoldás volt, hogy megváltam előbb a Skype accountomtól, később dobtam a Gmail fiókjaimat. Az összeset, pedig egy csomó helyen hivatalosan is azt adtam meg elérhetőségnek. Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel. Egyelőre.
Másfelől te is bizonytalanságban tartasz. Egyfelől azt mondod, nem kell okostelefon, Android a tufához, másrészt
Lehet, hogy okostelefon nem kell, de ha Google kell - tényleg, kell? -, akkor visszakerültem a start mezőre. :(
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Így van, és ahelyett, hogy megértenéd mi ez, meglátnád, hogy a félelmeid közül melyik teljesen légből kapott, és melyik valós, és tudnál ez alapján egy számodra elfogadható cselekvési tervet építeni inkább félsz és frusztrálódsz, kb konstansan, ami egy meglehetősen szar élethelyzet (közben ráadásul simán még lehet szopatod is magad, mert információ hiányában matchetével vagdalkozol magad körül). Segíteni úgy lehet ezen, hogy a félek mert nem értem, de biztos sárkányok vannak ott helyett elzavarod a benned lakó gyereket a kormánytól, és megkéred a felnőttet, hogy kormányozzon már most ő egy kicsit, és legyen kedves racionálisan viselkedni.
Ezt félreérted, csak azért mondtam, mert jöttél azzal, hogy nem az van a reklámokon, hogy hogyan kell ezt cliből csinálni. Persze, hogy a reklámon az lesz, ami a nagy többség valósága.
Ráadásul neked erősen összemosódik a gonosz multik elveszik a privacymat félelmed a 2FA-val, ami miatt nehéz. Konkrétan egészen úgy tűnik, hogy nálad a "2FA == mindenképp egy csúnya gonosz multi közreműködése kell hozzá", illetve (és következésképp) a "csúnya gonosz multit kell használnom == azonnal javíthatatlanul csorbát szenved a privacy "egyenlőségek vannak a fejedben. És bár kétségtelenül léteznek privacy problémák mindkét területen, de ez a két egyenlőség egyáltalán nem állja meg a helyét, főleg nem az első.
Az általam látott szolgáltatások túlnyomó részében a 2FA valami szabványos megoldást használ. Ezek privacy szempontból nem rosszak, sőt az újabbak kifejezetten jók. Mivel szabványosak, ezért jelenleg is, és várhatóan a jövőben is lehet őket saját infrastruktúrán üzemelő saját szoftverekkel kezelni. Granted, helyenként bizonyára kényelmetlenebb lesz, meg nehezebb lesz beállítani, mintha a spoonfed megoldást használnád, ami neked nem elfogadható kötődésű.
Az okostelefon = gonosz amcsi multi sem igaz így. Vannak alternatív OSek, ezzel elérhető készülékek. Bőven van hardware, amin google szolgáltatás mentes androidot lehet futtatni, itt a hupon is egész sokan vannak, akik -- valószínűleg többnyire hozzád hasonló privacy aggályoktól vezérelve -- ezt teszik. Sőt, a dolgok jelenlegi állása szerint pl a huawei, egyébként egészen mainstream gyártó cuccain sincs google, mert az amcsik kitiltották. Szóval itt is vannak lehetőségek. A 2FA megoldások ezekkel is fognak menni.
Vannak, lesznek persze kivételek, amikor valami vacak köti az ebet a karóhoz (a bankok és banki appok egyébként pont ilyenek, kötik az ebet a karóhoz, meg a saját inhouse szarjukhoz, és a csakazeredeti google a jó telefonhoz, benne is van a topicban, hogy gelei felemeli emiatt a középső ujját nekik), de ameddig leragadsz ott, hogy minden, ami 2FA az eredendően gonosz, addig nem fogod tudni ezt érdemben kezelni.
Tehát a gonosz Google nem jó, mert az algoritmusa marketing célra adatot gyűjt, de:
- a netszolgáltató lyukas és karbantartatlan levelezőszervere, amire évente 1x néznek rá, amikor már a Mátrix folyik le a képernyőn, annyire egyértelmű, hogy felnyomták - az megfelel?
- a freemail, ami egyébként tök biztonságos, mert oda aztán tutira nem kapsz meg semmiféle fontos levelet? Ezzel az erővel mehetne a /dev/null-ba is.
- a yandexKGB-re inkább rábízod a személyes adataidat, mint egy ugyan pénzéhes, de alapvetően viszonylag civilizált törvények szerint működő multira?
Az megvan, hogy aki bent van az emailfiókodban, az kb. bárhová bejuthat az életedbe? Csak egy jelszóemlékeztető távolságra van tőle, főleg ha a 2FA-t nem használod - avagy Password reset is the new login.
Azt javaslom, keress magadnak más okot a félelemre - mert a fentiektől sokkal inkább kellene félned.
Mit értesz a mailbox felnyomásán? Miért vagy ennyire rossz véleménnyel az internet szolgáltatókról, akiknek szinte más dolguk sincs, mint az üzemeltetés? Mennyiben rosszabb egy magyar ISP üzemeltetése, mint a Google-é, és miért?
Nem ez a tapasztalatom, bár számlaértesítőt valóban nem várok a freemailre.
Mi a bajod a Yandexszel? Amúgy nem KGB, hanem FSZB és SZVR. A Google nem egyszerűen pénzéhes, továbbá világhatalmi törekvései az USA-nak vannak, Oroszország csak regionális hatalmi ambíciókkal bír. Azok a civilizált törvények olyanok, amelyek alól épp kivételt képeznek azok szükségessége esetén, szóval inkább hagyjuk. A népek altatására van, de semmire sem jó.
Ez nincs meg, de talán majd elmondod. Továbbá a szolgáltató mindenképp hozzáfér, de ha lehet, ez lehetőleg ne az USA cége legyen. Így sem megúszható, ha ellenben a partnernek gmailes címe van.
A te világnézeteddel, amennyiben elhiszed azt, hogy a Nyugat jó, mindenképpen. Én viszont nem hiszem ezt el, látva, hova tart a világ, látva, amikor a valóságot tagadva hoznak az állampolgárai érdekeivel szembenő döntéseket nyugat-európai vezetők, látva, hogy nem az élet, hanem a halál mellett érvelnek és kardoskodnak a világhatalmi érdekek kiszolgálóiként és a még több pénzért.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel. Egyelőre." - bammeg... A Google nem, de a frííímél/netszolgáltató/yandexpontru az igen... Aaazigen... #facepalm
"Lehet, hogy okostelefon nem kell, de ha Google kell" nem, nem kell hozzá... Az, hogy a legelterjedtebb platformokra a GA és az MS authenticator app az, ami a legismertebb, az egy dolog, de egyik sem kell, sajátot is összerkhatsz, az RFC tartalmazza a referenica-implementációt is...
Miért is? Ezt csak így bemondtad a levegőbe, elszállt, de ennyi.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"lépj be Google-lal, MS authentikátorral, Facebook-kal" - Identity provider a kifejezés, amit keresel.
"céges levelezés eléréséhez eddig simán meg lehetett nyitni, hogy SMS-ben kérem a második faktort" - céges levelezéshez jobb helyen user+pass(+2FA) és kliens cert van már régóta... Ha saját magának csinálja a cég - ha G/MS szolgáltatást vesz, akkor meg a 2FA természetes követelmény, hogy a jóskapista user ellopott jelszavával ne lehessen megszemélyesíteni jóskapistát...
Van kliens cert, akartam is csinálni magamnak a Claws Mailhez, de valahol a vége felé elakadtam. És erről beszélek, hogy annyira el van bonyolítva az egész, hogy egy éjszaka, dokumentációt olvasva lépésről lépésre haladva csináltam végig az egészet, majd eljutottam egy hibaüzenetig, amire persze nem adott választ a doksi. És ekkor elfog az érzés, hogy abban a világban szeretnék élni, amikor a levelező kliens beállításához egy felhasználónév és egy jelszó elegendő volt, és ez így működött is.
A lap alján a Step 4-ben a copy the full URL you were redirected to into the
Authorisation codefield résznél akadtam el, mert itt hibaüzenet jött vissza a böngészőben.Aztán győzködtök, hogy ez így van jól, de hát nem, mer b.szik működni! Marad a vékonykliens megoldás, belépek böngészőből, de marha kényelmetlen és gyűlölöm, de biztos így jó, mert néhány f.sz ezt így találta ki. Remek.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ahol nekem kellett ilyet összerakni (on-prem webmail), ott a szerver oldalon be lett állítva a tls-t végződtető komponensen, hogy milyen CA-val aláírt kliens certeket fogadhat el, a kliensekre (mobiltelefonok) meg a támogatók felrakják az egyedi, userre generált, jelszavazott p12 fájlt, telepítik belőle e kulcsot+certet, majd törlik a p12-t, így a user használni tudja, de kinyerni és lementeni már nem a certet+kulcsot.
Amíg nem fogod fel, hogy a csak usernév/statikus jelszó alapon megvalósított azonosítás önmagában miért rossz, addig nem fogsz tudni előbbre lépni.
Azért rossz, mert vannak naiv emberek. Azok, akik annyira naivak, hogy kiszolgáltatják személyes adataikat, életük minden mozzanatát a világ legagresszívebb állama fedőcégeinek, azok ki fogják adni az adataikat bárkinek, rosszindulatú hekkereknek is. Ezen többség miatt rossz a felhasználónév jelszó páros, meg azért, mert ugyanazt használja sok helyen, meg azért, mert 123456. Viszont attól, hogy ezt értem, nekem még mindig csak egy nyamvadt hibaüzenet jött vissza, amikor a Claws Mailt be akartam állítani a céges levelezés kliensének, szóval annyira azért nem vagyok előrébb, ráadásul elszúrtam vele kb. háromnegyed órát az életemből. Mindhiába.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Azért rossz, mert vannak naiv emberek. Azok, akik annyira naivak, hogy kiszolgáltatják személyes adataikat, életük minden mozzanatát a világ legagresszívebb állama fedőcégeinek, " - Nem. Azért rossz, mert ha elviszik a jelszavadat, egyrészt baromira nem fogod észrevenni, másrészt azzal adott helyen (vagy a hülyéket máshol is) meg tudják személyesíteni úgy, hogy csak azt veszed/veszik észre, hogy valaki más csinált valamit a hozzáférésüket használva.
Nekem a fentebb megadott módszernél nagyjából 2 perc volt a teljes folyamat mindenestől, onnantól kezdve, hogy a p12 fájlt átküldtem az érintett user telefonjára, odáig, hogy meg tudta nyitni a levelezését. Akinek meg volt olyan jogosultsága, hogy desktop-ról is elérje a levelezést, annak meg csak fel kellett pakolni a certet+kulcsot, a böngészőben megnyitni a webmail-es felületet, a böngésző máris kérdezte, hogy kliens certet kér a túloldal - és feldobta az ablakot, ahol kiválasztotta a megfelelő kliens certet, és máris nyomhatta a webmail-en a logint.
Google apps fiókhoz valóban sajtreszelő lehet a vastagkliens - megmondom őszintén soha nem próbáltam...
Nem Google, hanem MS. Office365-nek, vagy mi a frásznak hívják ezt az istenverését.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az O365/MS365 webmail-es felülete szerintem kifejezetten jó. lehet sajtot reszelni, de szerintem ott is fölösleges. A levelek on-prem mentését/tárolását meg nem a klienseken kell megoldani.
Már megint az van, más akarja elmondani, nekem mi a jó. Az a baj, hogy ezt azok is szentül hiszik, akik ezeket az authentikációkat megálmodják, webes mail klienseket kitalálják.
Nekem nem jó a webes felület, mert minden belépéskor SMS-t kell olvasgatnom. Nem jó, mert vigyáznom kell, nehogy véletlenül bezárjam a böngészőt, vagy a webmail fület. Nem jó, mert nem egységesen ugyanazt látom, mint az összes többi mailboxom esetén, ahogyan a Claws Mail megjeleníti, hanem van egy attól teljesen eltérő felület. Továbbá, ahogy írod is, az offline elérés, a lokális tárolás, vagy ennek beállíthatósága is szempont.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Neked az nem jó, hogy a webmail elszáguldott pár évtizeddel melletted, míg te leragadtál az SMS-nél, és NAGYON nem akarod felfogni, megérteni, hogy a TOTP nem ördögtől való, nem veszi el senki a magánéletedet vele (sőt, mi több, az SMS-hez kell egy mobilszám, amihez rendelt SIM nálad kell legyen, miközben a TOTP esetén tényleg semmilyen plusz adatot nem kell a szerver oldalon tárolni rólad...)
A Claws felülete teéjesen más, mint a mutt volt, ergo sz@r, mert nem úgy mutatja a leveleimet, mint... :-P
Most a felülettel érveltem. Megpróbáltam megcsinálni, hogy menjen Claws Mail alatt, nem voltam rest doksit olvasni, csak hát hibaüzenettel örvendeztetett meg. Erre mi a korszerű megoldási javaslatod? Mert nagyon korszerű akartam lenni, a baj épp csak az, hogy nem működik!
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Gondolom van support a használni kívánt klienshez, illetve a céges oldalon is támogatott, úgyhogy kérdezd őket.
Fogalmam sincs, de ezekkel a rém korszerű dolgokkal épp az az egyik problémám, hogy még az sem derül ki, mitől nem megy valami, hadd csesszem el az időmet számolatlanul.
A felhasználónév jelszó páros működött, tehát az jó. Ez tényleg ennyire egyszerű empirikus alapon.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Fogalmam sincs, de ezekkel a rém korszerű dolgokkal épp az az egyik problémám," - Akkor első feladat: megkeresni a supportot, és megkérdezni, hogy hogyan tudsz SSL-es IMAP-on 2FA nélkül menni?
"A felhasználónév jelszó páros működött, tehát az jó." - DE nem elégséges, ez az egyik, a másik meg az, hogy vajon az adott r=1 usered jogosult-e nem 2FA-val menni?
Tufátlanul nem vagyok jogosult elérni a szolgáltatást.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Akkor meg is van a válasz... Gondold szépen végig, hogy miért.
Nem tudom végiggondolni, mert nem ismerem a technológiát. Adalékok:
Szóval fogalmam sincs, mi van, de hogy ez ezerszer rosszabb, mint a jól bevált username, password páros, az biztos. Az üzembiztonság az olyan, hogy egyes helyekről, configokról megy, másokról nem megy, ha kér félévente MFA-t, akkor rájövök, hogy ugyanabban a levelezésemben vannak a login adataim, amelynek az eléréséhez meg kell adnom a login adataimat és a második faktort. Mert ne gondolja senki, hogy ekkor csak a második faktort kell megadni, de a logint is. Aha, csak az a mail szerveren van, amelyről ötletszerűen épp kizárt az MS, mert jó ötletnek tűnt szerinte.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"itthon webes felületen minden belépéshez kér SMS-t" - nem SMS-t kér, hanem TOTP-t, ami lehet SMS _is_, azoknál, akiknél a naptárban az év az 19x-szel (vagy maximum 200) kezdődik...
Az, hogy _saját_ tulajdonú gépről dolgozol, az felvet néhány kérdést, de mindegy, ezért fájjon a cég megfelelő felelőseinek a feje...
Mégis milyen kérdéseket vet fel? Ott van az asztalomon a céges gépem is. Ha nem bízik bennem a cég, ne alkalmazzon! Nem a fizetett ellensége vagyok, hanem az a mérnök, aki úgy gondolja, közös érdek, hogy menjenek a dolgok. Én pénzt kapok, a cég a munka eredményét. Szabotázst céges gépről is el tudnék követni, valamint azt akárhonnan követném el, gazdasági bűncselekmény lenne, simán perelhető lennék érte.
Szerk.: sőt, két saját gépről dolgozom. Home office esetén az itthoni desktopról, a szervert VPN-en érem el, bent a kis linuxos gépemről, Windows-only software-ek használata esetén pedig a céges windowsosról.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Azt, hogy a cégnél a DLP, meg úgy általában az adatbiztonság témakör khm. vagy erősen alulszabályozott, vagy van ugyan szabályozás rá, de betarta(t)ni azt nem...
Céges adatot, információt tárolni saját, privát gépen, amit bármikor elvihetsz, amire semmilyen ráhatása nincs a munkáltatódnak...
Miért ne lehetne? Ha valaki feldug a hüvelyébe egy pendrive-ot, akkor mi van? Ha lenyelek egy SD-kártyát? Van céges know-how, de arról egy A4-es lapra rajzolva egy kocsmában is beszélhetnék, nem? Vagy az agyamat is törölni kellene minden nap, amikor haza indulok?
Nem minősített államtitkokkal dolgozom, hanem hardware fejlesztő vagyok. Tény, hogy sokat árthatnék a cégnek, de mondom, ha ennyire nem megy a bizalom, azzal az a probléma, hogy elmondhatom a titkokat szóban is.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az esetek nagy részében a cég megbízik a dolgozóban annyira, hogy az nem fog szándékosan kárt okozni (azért ez ellen is fel kell készülni, de nyilván megvannak a korlátai). Azonban arra is fel kell készülni, és lehetőség szerint kivédeni, hogy az alkalmazott véletlenül, gondatlanságból okozzon kárt. Ebbe már sok minden belefér, pl. az is, hogy céges adatok csak céges gépen forduljanak elő, megelőzendő a véletlen adatszivárgást. (kötelezően titkosított SSD, pendrive, SD kártya tiltása, és lehet fokozni)
Ebből a szempontból elsősorban pont a túlzottan magabiztos emberektől kell védekezni a cégeknek. Amilyen te is vagy.
Céges notebook-ot biztos nem fogok hurcolászni, mert nehéz, nem autóval járok. Értem a szavakat, amit mondasz, hogy tőlem kell elsősorban védeni a céget, csak azt nem, hogy miért. Nem tettél mögé semmilyen érvet.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Pont magad vagy az érv, ezzel a hozzáállással. Ja, egyébként tettem érvet. Az, hogy ignoráltad, nem az én problémám.
Emögé nem tettél érvet. Az, hogy épp én vagyok az érv, az rekurzió, nem magyaráz meg semmit.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Már rég letettem arról, hogy téged bármiről is meggyőzzelek. Az, hogy neked bőven elég az, hogy jelszóval védesz mindent, elég sokszor leírtad. Ahogy azt is, hogy innentől kedve te tökéletesen védett vagy, mert a jelszavadat csak te tudod. Ez a hozzáállás pedig jelzi, hogy túlzottan bízol az egyébként messze nem bombabiztos védelemben. Tehát ezt nem nagyon kell bizonygatni, erre írtam, hogy magad vagy az érv.
A "miért" az a tapasztalat. Egy X1 Carbon töltővel együtt sincs másfél kiló... Egyébként én sem autóval járok, igaz, nem minden nap cipelem a gépemet, de a notebook.os "dolgozós" hátizsákom alaphangon több, mint három kiló (gép+töltő+egér+USB-s lomok+headset+...), igaz, ebben egy 15.6"-os notebook van, nem egy 14"-os apróság.
Ahogy a 2FA (MSauthenticator) kapcsán írtam, én cégvezetőként ezzel kapcsolatban is az ott jelzett két opciót kínálnám fel...
Ezért nem dolgozom nálad. (Bár gondolom, ez a „cégvezetőként” úgy értendő, hogy ha cégvezető lennél.) Nehogy már az legyen a munkavégzés feltétele, hogy lemondatnak a személyiségi jogaimról. Ezzel az erővel kezdhetnénk úgy a munkavégzést, hogy ezen a munkahelyen és annak 5 m-es körzetében érvénytelen a Munka Törvénykönyve.
Mondom, céges SIM és SMS auth lett a megoldás.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
en sem vennelek fel.
Jó hír, hogy erre egyikünknek sincs szüksége. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Bingo. Ezt már legalább 1234 alkalommal próáltuk leírni neked... Igaz, hogy a pécén tárolt shared secret nem lesz biztosnágban annyira, mintha kifejezettenilyen célra kialakított tárolóba kerülne, dehát valamit valamiért...
Mert hülye is vagy - már bocs. A statikus user/pass páros eltulajdonítása/harmadik fél általi megismerése után a következő jelszócseréig meg tudnak személyesíteni, akár úgy is, hogy te nem tudsz róla. A 2FA ezt kockázatot zárja ki azzal, hogy gyakorlatilag minden bejelentkezésed során más a jelszavad.
Az SMS-t 2. faktornak használni egyébiránt ősi dakota szokás, máshol már kitárgyaltuk, hogy nagyon nem való/nem jó most már erre a célra.
Azt is kitárgyaltuk, hogy az SMS tufa azokat érinti, akik okostelefont használnak, s screenshottal ellopják a képet, vagy akiknek a SIM-jét a támadó a sajátjára cseréli, a szolgáltató meg nem ellenőriz személyazonosságot, az áldozat meg nem veszi észre, hogy „nincs térerő”. Szóval az az ősi dakota szokás teljesen jó.
Értem, hogy szerinted hülye vagyok, csak eléggé rossz megoldások vannak. Vagy valami amerikai cégnél tárolt kulcsok vannak, vagy nem nyílt forrású megoldások, vagy okostelefon szükségesség, vagy nem Linux desktop kliens, és így tovább. Talán a YubiKey tűnik egyedül jónak, remélem, ahhoz van linuxos interface.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Vagy valami amerikai cégnél tárolt kulcsok vannak, vagy nem nyílt forrású megoldások, vagy okostelefon szükségesség, vagy nem Linux desktop kliens, és így tovább. Talán a YubiKey tűnik egyedül jónak, remélem, ahhoz van linuxos interface."
Ha a Google Authenticatorra gondoltál, akkor nagyon mellé ment a dolog a 2FA kérdésben, mert nem kell neki semmilyen hálózati kapcsolat, nem tárol semmit az eszközödön kívül. Ugyanezt a funkciót n+1 alkalmazás tudja (https://en.wikipedia.org/wiki/Comparison_of_OTP_applications), és mivel az algoritmus nem zárt, így te is le tudod fejleszteni a kedvenc programozási nyelvedet használva.
A Yubikey más jellegű 2FA eszköz - tessék utánanézni a TOTP, HOTP, Fido és hasonló dolgoknak.
Az SMS-sel az is a gáz, hogy nem garantált szolgáltatás(!), a TOTP app meg futhat bárhol, ahol a secret (a kiindulási hash) megfelelően védett módon tárolható (Ezért javasolt Android/iOS okostelefon, mert ott van erre megfelelően védett tároló.
Nem hiszem, hogy egy autonóm szolgáltatásba a magyar állam vagy egy magyar cég felveheti a Google nevet csak úgy, tehát azt bizony a Google nyújtja, azaz nem ment mellé.
Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!
Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű.
Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!
Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Az, hogy a Google csinált egy alkalmazást, ami a TOTP funkciót nyújtja, az annyit jelent, hogy ők rakták össze Android-os telefonokon lehet használni, de ennyi köze van a Google-nek hozzá, semmi több.
"Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!" - Azt írtam, hogy az eszközödön _kívül_ nem tárol semmit. Értő olvasásból elégtelen. Az idő alapú egyszer használatos jelszóhoz kell egy adathalmaz, ami alapján az időtől függő egyszer használatos (helyesebben megadott rövid ideig (legfeljebb percekig) érvényes), azonosításra szolgáló kódot (hat jegyű szám) ki tudja számolni.
"Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű." - Olvasni, tájékozódni kéne a témában - más a "shared" infromáció, illetve más az algoritmus, amit a felek használnak az egyszer használatos kód előállításához.
"Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!" - Ilyen alapon valóban, csak ha megnézed, az SMS célba érkezését semmi és senki nem garantálja...
"Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem." - Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.
Mint említettem volt, semmilyen kommunikációra nincs szükség a GA-t futtató telefon és a külvilág között - oké, ha nem pontos az órája, akkor azt néha helyre kell húzni, de arra a GPS (ami passzív eszköz, azaz csak futásidőt mér, visszafelé nem kommunikál) is tökéletes megoldást ad.
Tehát kell hozzá androidos telefon, Google ÁSZF elfogadás, van benne GPS, egy kémgép az egész.
Ezt gondolom, úttörő becsszóra mondja a Google, ezért nekem el kellene hinnem.
Valóban, de az egész annyira nyomasztó, annyira lehúz, hogy amíg nem muszáj, kerülöm.
Ahogyan egy TCP csomagét sem. Akkor sem, ha épp ez az UDP-hez képest a mássága. De nem, mert ha kihúzzuk alóla a fizikai réteget, varázsolni a TCP sem tud. A valóság nem olvassa az RFC-ket.
Ezt teszem.
Azért lehet, nekem megteszi a file-ban tárolás is. Valahogy a /etc/shadow is képes hash-t tárolni a gépemen. Látod, még azt is megmondtam, hol tárolja.
A GPS nem. Az csak meghatározza a helyet, a telefon meg elmondja a Google-nek hálózaton, hogy hol van. Ha véletlenül nem lenne GPS, megteszi ezt a környező SSID-k alapján. A környék többi telefonja majd elmondja, azok az SSID-k milyen GPS koordináták közelében vannak.
Mindettől függetlenül van egy olyan gyanúm, hogy hamarabb kell Google ÁSZF-et és adatvédelmi nyilatkozatot elfogadnom, mintsem bármit csinálhatnék a telefonnal, továbbá nem tudom kontrollálni, hogy ne kommunikáljon egyáltalán hálózaton.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Értő olvasásból már a második elégtelenedet írhatod be magadnak... NEM kell hozzá semmilyen online kapcsolat, és offline-ban, wifi meg mobilhálózat nélkül, az apk-t mondjuk blútyúkon ráküldve ki nem sz@rja le, hogy az asztalon pihenve (mert ugye csak azstali gép az istencsászárkirály, és csak onnan bármit is) milyen adatokat tárol a nemmozgatásáról, a nemnyomkodásáról...
"Ahogyan egy TCP csomagét sem. Akkor sem, ha épp ez az UDP-hez képest a mássága. De nem, mert ha kihúzzuk alóla a fizikai réteget, varázsolni a TCP sem tud. A valóság nem olvassa az RFC-ket" - az SMS az nagyjából az UDP szintje, valaki elindítja, fizet érte(!), és vagy odaér a címzett SIMID-t tartalmazó eszközhöz, vagy sem. De erről semmilyen visszajelzést nem fogsz kapni.
"A GPS nem. Az csak meghatározza a helyet, a telefon meg elmondja a Google-nek hálózaton, hogy hol van. Ha véletlenül nem lenne GPS, megteszi ezt a környező SSID-k alapján. A környék többi telefonja majd elmondja, azok az SSID-k milyen GPS koordináták közelében vannak."
Leírom lassan: a TOTP működéséhez semmilyen hálózati kapcsolat, semmilyen más eszközzel történő kommunikáció nem szükséges. Az eszköz sem nem fogad, sem nem küld adatot, kizárólag a preshared secret az, amit be kell valahogy tolnod a készülékbe, például úgy, hogy QR-kódot olvas le az eszköz, akár full offline módban.
"nem tudom kontrollálni, hogy ne kommunikáljon egyáltalán hálózaton." - SIM-et nem raksz bele - mobilhálózatra nem tud hozzád vagy bárkihez kapcsoltan feljelentkezni (hiszen nincs benn előfizetőazonosító modul, azaz SIM), csak a segélyhívásokat tudja kezdeményezni. WiFi-hez nem adsz neki adatot - wifi-re sem fog tudni feljelentkezni.
De sokadszor (és újabb elégtelen értő olvasásból...) leírom, hogy ez csak egy kényelmes és biztonságos lehetőség a presared secret tárolására és abból idő alapon TOTP kód generálására - megteheted, hogy te raksz össze egy alkalmazást a pécéden, és ott tárolod azt az adatot, amiből a TOTP kódot generálod.
"Azért lehet, nekem megteszi a file-ban tárolás is. Valahogy a /etc/shadow is képes hash-t tárolni a gépemen. Látod, még azt is megmondtam, hol tárolja." - és aki root tud lenni a gépen, az viheti is... Vagy viszi a gépedet mindenestől...
Na, dehát az épp én vagyok! Ha viszi a gépem, akkor már mindegy. Ha az ujjamat levágja, akkor van ujjlenyomata, ami az enyém. Ez ilyen.
Nem az a gondom, hogy ne hinném el, hogy a TOTP-hoz nem kell hálózat, hanem az, hogy ha vennék egy ilyen sz.rt - eleve miért költsek rá súlyos tíz- esetleg százezreket -, a bekapcsolása után szerintem a bejelentkező képernyő, hogy elfogadom a Google ÁSZF-ét és adatkezelési szabályzatát. Gondolom, csak OK opcióval, Mégse gomb nélkül, hogy növeljük a felhasználói élményt, nehogy eltévedjen a felhasználó. És akkor vihetem vissza a berendezést azzal, hogy elnézést, nem működik ez a sz.r, kérem vissza a pénzem. Továbbá nem tudom majd használni a TOTP-ot sehogyan sem. Ráadásul itt sem adtok majd tanácsot, mert ezt az esetet még senki sem próbálta ki, de örömmel olvassátok az erről szóló tapasztalataimat.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"Na, dehát az épp én vagyok!" - Nem. Te az vagy, aki azt hiszi magáról, hogy kizárólag te tudsz root jogot szerezni a gépeden. Nagyon nem mindegy...
Az ellen semmi sem véd, ha az NSA a CPU mikrokódokba is backdoor-okat rakat.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Használjon akkor egy külön, air-gapped, azaz offline PC-t vagy laptopot a TOTP kódjainak tárolásához. Ezt a gépet tárolja egy páncélszekrényben és csak arra az időre vegye elő, amikor éppen belép vele a bankba, illetve amikor utal. Biztonságos lesz, de kényelmes nem.
"R7: The keys MAY be stored in a tamper-resistant device and SHOULD be protected against unauthorized access and usage." (idézet a vonatkozó rfc-ből)
Ezt egy chmod 600 teljesíti.
LOL :-D Ha nem ő a root, akkor pláne lol (sőt, ha nem ő a root, akkor a jelszavazott tárolás is csak majdnem jó...)
Nézd, egy OS beépített jogosultsági rendszere, aminek az a dolga, hogy authorizációt végezzen az accessen, az bizony minden emberi értelmezés szerint " protected against unauthorized access and usage."
Azt elhiszem, hogy neked ez nem tetszik, mert szerinted ez kevés, mert szerinted kizárólag a mobilos secure storage a megfelelő, a valóság ezzel szemben az, hogy ezt az általad idézett félmondat maga sorolja explicit a nem kötelező kategóriába. Az, hogy szerinted a chmod szarabb access control, mint amit egy mobil OS csinál, az az rfct nem érdekli, ha lol, ha nem.
(Azt az öngólt meg hagyjuk is, hogy ha az ember nem root az eszközön, akkor ez az egész kevés, miközben kedvenc bankjaid a safetynetes színházzal aktívan nem hagyják, hogy root legyél ;) )
Ez nagyon hardverfüggő. Titkosítatlan filerendszeren, gépből kiszedett eszközön azt csinálok amit akarok, chmod ide vagy oda.
Gábriel Ákos
Ez így van. Valamiért az RFC mégsem megy bele ebbe alaposabban. Illetve egy kicsit de:
A másodikból következik egy külön service user, vagy a megfelelő selinux/apparmor policyk. Attól függően, hogy hogyan értelmezed a tamper-resistantot az elsőben, esetleg rá lehet fogni, hogy az már mondjuk az adathordozó fizikai védelmét jelenti (sav tabletta, nyitás riasztó, stb), és a data-at-rest protection titkosítás még a másodikba értendő. De tekintve a "particularly" példát, ami runtime dolgot feszeget, nem hiszem, az az én megítélésem szerint már a tamper-resistant részhez tartozik (egyébként a példád már egyértelműen az első, a disk kivétele mindenképp tamper).
Vegyük észre, hogy
Szóval értem én, hogy nem tetszik (bár van véleményem arról, hogy egyébként miért ilyen "laza" ez), de bizony az RFC-ből akkor is az következik, hogy a "szokásos" authorization az elvárás (és indokkal még attól is el lehet térni!), márpedig az linuxon a chmod és a chown.
Tehát az okostelóm, amihez még rootjogom sincs, biztonságosabban tárol bármit is, mint a gépem, ahol titkosított merevlemezen, titkosított állományokban (Tomb és tsai.) titkosított jelszóadatbázisokan tárolhatok dolgokat, és titkosított mentéseket tudok csinálni (mindezt akár testre szabva, nem úgy, mint okosteló esetén)?
Igen, így van. A pécéden egy root jogú processz mindenhez hozzá fog férni, a memóriában ott lesz a titkosított fájl kinyitásához szükséges adat, ahogy a fájl tartalma is részben vagy egészben elérhetővé válik a feloldást követően.
Próbáltál már Android-os telefonra felrakott privát kulcs+cert (klienst ezzel azonosítja a túloldal) párost kinyerni Android-os telefonról?
A gépemen elvileg csak nekem van rootjogom; a telefonomon nekik van, nekem nincs. Ez így minden, csak nem megbízható. Ja, és valószínűleg nem erre gondoltál, de egy nem Gugli által szállított tufaalkalmazásból tudtam magamnak mentést csinálni a gépemre; anno ez a Gugli-tufával nem sikerült, mert ők jobban tudják, és nem kell az nekem.
Igen, nekem is ezzel van bajom. Nem bízom meg egy olyan eszközben, amely fölött nem én gyakorlom a kontrollt, amelyhez nem lehet root jogom, ami tele van szenzorokkal, ami epedve várja, hogy hálózaton kommunikáljon az anyacéggel, ha akarom, ha nem.
Részlet a Microsoft honlapjáról, de ennél jóval több van ott (böngészési előzmények, érdeklődési kör, partnerek és kapcsolatok, tartózkodási hely):
Rövidebben: mindent gyűjtenek mindenkiről, mindenhonnan, gátlástalanul. És ez csak az MS, nem a Google.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
A telefonon ahhoz a tárolóelemhez, amibe a kritikus/érzékeny adatokat pakolja az Android, te tudsz hozzáférést adni az alkalmazásoknak azzal, hogy azonosítod magad - célszerűen biometriával. Nagyon másképp vannak a jogosultságok, mint a (ugo)x(rwx), de az UID=0 mindent visz szint...
"Gugli-tufával nem sikerült, mert ők jobban tudják" - Igen, jobban tudják - ugyanis a gépeden nem tudsz olyan biztonságos tárolóelemet alárakni a mentés alá, amit az Android és az alatta lévő hardver tud.
Egyrészt ne csináljunk már úgy, mintha !mobil OS-en ne lehetne biztonságosan tárolni érzékeny adatot, vagy ne lehetne akár hardwares megoldást dugni bele, ha nagyon kell, ne szórakozz már, konkrétan veszel egy yubit, vagy bármi más tokent, másrészt meg igen vicces, hogy odalent mi van ha a selinuxot megnyomják, bezzeg androidon, ahol ugyanaz a selnuxal megvalósított access control, az az überkirályság.
Ami természetesen nem igaz. Lásd még: SELinux.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Mely selinuxot UID=0 processz fejen tudja bacni. vagy épp ha lukas a selinux implementáció, akkor ugyebár bimm-bamm, harangoztak neki...
És androidon mi adja Mandatory Access Controlt .... taddaaam csak nem az SELinux?
Semmit nem fog számítani, az átlag user amíg személyesen nem érintett, pont szarik az egészre, tök mindegy milyen a bank, a kiszolgálás, a szolgáltatás vagy mennyik a költségek.
"Sose a gép a hülye."
azta k.va !
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Ugye a nagy kérdés, hogy ez melyik app - mert OTP Simple app-ból csak a Google Play-en van kettő is (régi és az új) - vagy esetleg maga a háttérrendszer?
Korábban, máshonnan kiszivárgott e-mail/jelszó párokat próbáltak be és volt, ami működött. Ez csak tipp, erre fogadnék pusztán csak a játék kedvéért.
A tipped valószínűleg helyes. Idézet a frissített Telex cikkből:
Akkor egy újabb érv amellett, hogy minden weboldalhoz külön jelszava legyen az embernek.
És egy újabb érv a kötelező MFA, 2FA mellett. Igen, a HUP-ra is. Szerintem.
Értem, tehát azért, mert más hülye, sz.pjak én. Avagy, mert más nem zárja be az ajtaját, vagy a lábtörlő alá teszi a kulcsot, hegesszük be minden reggel, távozásomkor az én ajtómat is. Remek.
Szerk.: Szerintem jobb az, amit én csinálok. Mindig eseti bankkártyás fizetés, nem regisztrálok fiókot.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ha nincs simple fiókod akkor neked miért is releváns hogy van-e ott MFA?
Gábriel Ákos
Na, de pont erről beszélek. Nem kell fiókot regisztrálni és nincs probléma. Attól még lehet Simple által fizetni.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ezé' a kommenté' jöttem. :) Hozzátéve, hogy általában sem mentem el semmilyen oldalon/alkalmazásban a kártyaadataimat,
mert értékelhető haszna nincs, a kára viszont nagy lehet.
-1
[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS
Nem. #worksforme
Kedves Balázs, Te ugyanazt a jelszót használod a HUP -on mint amit a banki fiókjaidban is?
[ ] - Igen, és már látom, hogy hol a hiba.
[ ] - Nem, és ezért nem kell a HUP-ra 2FA.
[ ] - Egyéb, leírom, bár tudom, hogy nincs igazam.
:-)
Nekem mindenhol 12csilllag a jelszavam.
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Egyeb, le is irom ide a jelszavam, hogy megmondjatok, eleg eros-e.
Hulye az hulye. Volt, van, lesz. Nem tudsz veluk mit csinalni. Gombhoz kell a kabatot varrni, mert ok vannak tobben.
En fittib techet adaptalo idosebbeknek javasolni szoktam, hogy inkabb ne. Tobbeket atkurtak kozuluk mar nem egyszer.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
Most jött az üzenet, hogy a 2FA-t bevezetik 2023. dec. 11-től. Ezzel kicsit elkéstek egy olyan szolgáltatás esetén, ahol kártyaadatok vannak tárolva akár részben is.
Szerencsére nem használom az app-ot (régen használtam), nincs tárolva egy kártyám sem, valószínűleg nem bíztam már akkor sem semmilyen OTP-s megoldásban.
Minden forintom megvan. 😆
trey @ gépház
Te is dollárban tartod a pénzed?! ;)
Amilyen jó híre van a dollárnak ... inkább nem.
trey @ gépház
igen, a HUFnak sokkal jobb :DDDD
eskuszom csak a trey mannaert jarok ide, jobb mint barmelyik standup
Mondd annak a balfasznak, aki 430-nál bevásárolt belőle, hogy most 379-nél semmi baj, lehet, hogy egyszer majd valamikor a pénzénél lesz. Én a te bölcsességeidért járok ide, főleg az üzletiekért :D :D
Amíg ezek a szerencsétlenek arra várnak, hogy visszakapaszkodjanak a "0-ra", addig én röhögve keresek évi 20% körül. Szólj ha meglesz nekik a "0"-n vagyok :D
trey @ gépház
^^^ "aZ aLlaAmPapirRRR aZ EegyEtlenN lYo beEFektEETes"
-- nekem mindig igazam van (c) by trey
Kínodban feldobtál magadnak egy hazugságot? Vagy mi?
Ingatlanok, luxus ingóságok, állampapír, egyéb értékpapír befektetéseim vannak, hogy csak a nagyobbakat említsem. Fogalmam sincs, hogy az alternatív világodban mik vannak meg velem kapcsolatban.
trey @ gépház
Ha dollárról van szó, akkor volt az 450 is. Most 350 körül van.
Szerintem lesz itt némi sajtóper ahol olyan cimmel hozták le, hogy az otp rendszerét törték fel.
bementek illetéktelenek? okoztak kárt?
kellő gondossággal jártak el az adatgazdák?
nyílt, azonnali és teljeskörű volt a kommunikáció?
lehetnek kellemetlen kérdések...
Gábriel Ákos
Lehetnek kellemetlen kérdések, ettől még szerintem meg fogják szivatni azt, aki azt állitotta, hogy az ő rendszerüket törték fel, mert nem ez történt. Fogyatékos userek, nehogy banki, de általános internetes használatra alkalkatlan jelszavakat használó fiókjaiba léptek be.
Egy banki rendszer feltörése ettől irgalmatlan messze van.
Egy banki rendszer megtörése pontosan így néz ki. Mert a ne legyen MFA, mert nem felhasználóbarát az pontosan ide fut ki. A felhasználó szemszögéből a bank van megtörve, ha nincs meg a pénze. Akkor is, ha ő a hülye az IT-hoz.
https://naszta.hu
Ez nem egy banki rendszer, hanem egy fintech alkalmazás, amiben megadtál - hacsak nem egy hülye balfasz voltál - egy belimitált virtuális bankkártyát.
trey @ gépház
Az OTP alkalmazása. Varázsolhatsz köré mesét, de ezért is népszerű. És a user-ek - mivel OTP - simán megadják a rendes bankkártyájukat is. (Egyébként a fintech nem a megoldás: a lesajnált Revolut-nál pl. van MFA.)
Egyébként nem olyan rég ez volt az etalon fintech app nálad. Mi változott?
https://naszta.hu
Ez nem egy banki alkalmazás. HTH
Továbbra is része a vásárlásaimnak az Simple: parkolójegy, alkalmanként tömegközlekedés stb.
Érintés nélküli fizetésre közben megérkezett a Google Pay az OTP-hez is.
trey @ gépház
Nezopont kerdese. Nekem, mint OTP kliensnek az OTP leanyvallalata altal szallitott appot hasznalva - aminek a problemaival kapcsolatban nem az OTP mobil, hanem az OTP bank nyilatkozott - eleg eroteljesen banki alkalmazas.
Error: nmcli terminated by signal Félbeszakítás (2)
Utca emberének banki alkalmazás.
trey @ gépház
Mivel a bank kommunikal a leanyvallalata helyett, mindenki masnak is az kell(ene), hogy legyen.
Error: nmcli terminated by signal Félbeszakítás (2)
Banki rendszer volt a kinyilatkoztatás. Semmiféle banki rendszert nem törtek meg. Sérülékenységet használtak ki? Jelen infók szerint nem. Mit használtak ki? Hanyag userek hanyagságát.
Engedjük már el a hülyeséget.
trey @ gépház
A bank megengedte, hogy a felhasználók nem biztonságos jelszavakat használjanak. Pluszban nem használnak ezt a problémát enyhítő egyéb megoldást mint pl az MFA.
A mai világban nem elég a jelszó komplexitást erőltetni. Aktívan kellene nekik is nézni, hogy elérhetőek a felhasználók jelszavai nyilvános adatbázisokban, nem használnak-e olyan gyakran használt olyan jelszavakat amik a komplexitási kritériumoknak megfelelnek.
Semmit sem jelent. Balfaszság feltörésről beszélni, amikor az ajtón mentek be a hozzávaló kulccsal (jelszó). A kulcsot a tulaj hagyta el. Az ajtót nem kellett feltörni. Az más kérdés, hogy a belépés illetéktelen volt, de itt vastagon van felelőssége a tulajnak is.
trey @ gépház
A tulaj felelőssége nem kérdés.
Itt azt feszegetik többen is, hogy a példádban az ajtó gyártójának (vagy aki beépítette) is van felelőssége mert korszerűtlen a védelem.
Ma már a kulcs elhagyás ellen is lehet (sőt bizonyos esetekben kötelező) védelmeket beépíteni.
Erre írtam, hogy igen, az OTP csinálhatta volna jobban. De, kérdeztem is: van ilyen kötelezettsége? Pont azért könnyítettek (szerintem) a használaton, mert
A túl bonyolult használat pont azt ölné meg, amire ezt a fintech appot létrehozták: a gyors és kényelmes fizetést
trey @ gépház
Nem az ő kötelességük ellenőrizni, hogy jogosulatlanul ne lehessen hozzáférni a szolgáltatáshoz?
Ahhoz, hogy biztonságosan lehessen használni nem kötelező, hogy bonyolultabb legyen. Mivel applikációból használják gondolom sokan, meg regisztrált böngészőből, milyen kényelmetlenséget okoz a napi használatban, ha nem engedik új eszközről (telefon, böngésző) csak másodlagos azonosítás után használni???
Tudták, hogy a fehasználóik jó része hordozza ezt a kockázatot, de nem tettek semmit sem ellene miközben
Ha fintech ha nem akkor is van banki hátterük.... így még cikibb a dolog...
Kérdeztem. Törvény, jogszabály akármi előírásuk van rá? Ha nincs, akkor nem. Azt sem kell ellenőrizniük, hogy te a bankkártyádra alkoholos filccel ráírod-e a PIN-t, utána pedig ott hagyod az ATM-en a leolvasó padon.
Amit nem törtek meg. Vagyis: amit sem törtek meg.
trey @ gépház
Mondjuk csak a PSD2 jut eszembe, de nem vagyok ügyfelük. Itt amúgy ezt írják: https://simple.hu/simplecore/uploads/2023/10/Simple_AFF_eng_20231025.pdf
105. Service Provider informs the User, that with respect to the Simple Card service, Service provider acts as tied agent on behalf and for the benefit of OTP Bank Plc., pursuant to 10. § (1) ab) of Act CCXXXVII. of 2013 on credit institutions and financial enterprises; moreover, that with respect to said tied agency, Service Provider falls under the authority of the National Bank of Hungary. The National Bank of Hungary’s records on financial intermediaries may be accessed and viewed by the User at the following address: https://alk.mnb.hu/bal_menu/piaci_szereplok/nyilvantartasok/penz_kozv_lekerdezo
106. Regarding the tied agency of the Service Provider, the consumer protection information and the complaint regulations of this GTC shall apply accordingly.
Jah csak 1 fintech (az OTP logo meg smafu...)
Pedig ezt megtették, hiszen letiltották ezeket a fiókokat.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Miután illetéktelenek hozzáfértek ezen fiókokhoz -> nem akadályozták meg az illetéktelen hozzáférést.
Mielőtt a tulajuk
Ugye?
trey @ gépház
Ez mind oké, de szolgáltató oldalról megtették a 2023-ban minimum intézkedéseket, hogy az ismert felhasználói szokások következtében bekövetkező illetéktelen hozzáférést megakadályozzák?
Kérdeztem már többször, hogy milyen minimális intézkedések vannak előírva rájuk. Mit kellett volna betartani? Mit lehet rajtuk számon kéni bíróság előtt? Amíg erre nincs válasz, nem lesz válasz a kérdésedre sem.
trey @ gépház
Annyi időm nincs, hogy ezt kutassam neked itt. A szakmai oldalról (ez egy szakmai portál) viszont ez vérciki.
Ha ellopták eközben a személyes adatokat és a kártya adatokat (amiket ők kezeltek) akkor lehetne mit kapargatni.
(és miért ne tették volna, hiszen hozzáfértek a Simple rendszerében ezekhez)
Beperelni nem érdemes őket emiatt mert nem keletkezett ügyféloldalon nagy kár azon kívül, hogy az ügyfeleknek javasolt átgondolnia, hogy a kártyaadatai illetéktelen kezekben lehetnek és költségek merülhetnek fel a kártya cserékkel kapcsolatban.
Szerencsére nem vagyok ügyfelük, mert nem bíztam meg bennük ;-)
Értem, tehát akkor nem tudod, nem akarod, nem vagy benne biztos.
Mit tudunk akkor?
trey @ gépház
Amit tudok, hogy szakmailag nem védekeztek egy ilyen esemény ellen pedig lehetett volna.
A viselkedésük alapján gyanús, hogy érzik a problémát ők is. Bíróságot felesleges idekeverni a fentebb írtak miatt. Nem érte az ügyfeleket jelentős kár. Személyesen meg nem vagyok érdekelt.
Most majd tesznek ellene, mert üzletileg sem kifizetődő egy ilyen akció utáni takarítás. Főleg nem mert a jelenlegi rendszerrel változtatás nélkül tuti, hogy elő fog fordulni időnként újra és újra...
Ühüm, akkor délután 15:34-kor eljutottál oda, amit én reggel 9 körül írtam:
trey @ gépház
Akkor egyetértünk, csak a hangsúlyokat helyeztük máshova 😊
A vita eddig is ebben volt:
Az, hogy a security-t mindig lehet(ne) jobban csinálni, azt senki sem vitatta. A kérdés az, hogy egy ilyen proxyappnál ezt érdemes-e.
trey @ gépház
jah, attol meg mindenki tekintsen el, hogy rajta van az otp ugyfelszopato logoja... :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Pontosan mit szopat? Mi az, amit a nem balfasz ügyfelek beszoptak? Ez megint olyan FUD lesz, mint amit az állampapírok ellen levágtatok?
🙄
vs. OTP Bank Nyrt.
trey @ gépház
A rendszer és az OTP viszonyáról: itt írtam.
Ezt nem csak az ügyfelek szívták meg hanem maga a Simple is. Reputációs kár is keletkezhetett valamekkora, de munka is van a helyzet megoldásával bőven gondolom...
Itt a szolgáltatói oldal is ugyanolyan balfasz volt (sőt)...
Tehát, akkor foglaljuk össze:
trey @ gépház
A cikk címe:
Ebből mi a nem igaz? Az ügyfelek egy jelentős részét megszemélyesítették és jogosulatlanul hozzáfértek a rendszerhez és az abban tárolt személyes és bankkártya adatokhoz. Az szolgáltató egyáltalán nem védekezett ez ellen a nagy valószínűséggel bekövetkező és könnyen kivitelezhető (és könnyen kivédhető) általános támadási forma ellen.
Az OTP simple ugyanannyira - ha nem jobban - felelős a helyzetért mint a felhasználók. Ezt közösen hozták össze.
Ha odaadom másoknak a lakáskulcsom, bemennek a lakásomba, megeszik a kajámat a hűtőmből, azért a kerületi polgármester a felelős?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Tevőlegesen itt nem adták oda a kulcsot a felhasználók senkinek.
Az történt, hogy a polgármester olyan lakásokat építetett ahova a bejárati ajtóhoz a kulcsot nem egyedileg adta oda a felhasználóknak hanem megengedte nekik, hogy hozzák a saját megbízhatatalan kulcsaikat is amit máshol is használnak. A máshol használt kulcsot és azt az információt is megszerezték hogy ezek a lakások így épültek és védtelenek. A vége az lett, hogy bementek. Sokakhoz...
Alapvető tézis, hogy nem használunk pénzügyi rendszerekben gagyi, máshol is használt jelszavakat.
BTW: az ismert tény előtted, hogy a Simple beállításokban van két faktoros auth. lehetőség? Az is minek, mi?
trey @ gépház
Így van. Csak itt nem ez volt a nóta, hanem elindult a balfaszmentegetés.
A topik címe fals.
trey @ gépház
Igen a topic címe az félrevezető. A credential stuffing sem mai dolog a NIST-be 2017ben került be. A credential stuffing cikkek szerint a felhasználók 60+%-a használ azonos felhasználónév/jelszó párost különböző szolgáltatásoknál. Ez kvázi egy adottság amihez alkalmazkodni kell. Ide adminok járnak azért koncentráltam a szolgáltatói felelőssége és a védekezésre.
Afelelőtlen felhasználókat oktatni kell, remélhetőleg ebből az esetből is tanulnak. Aki menthetetlen az meg...
Kikérem magamnak ezt a hírnévrontást! :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
https://kriszti.timba.biz/media/2011/05/otp-bank.jpg
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Szerintem ha többezer állampolgár személyes adataihoz hozzáférnek, az nyuodtan nevezhető nagyobb kárnak.
Feltételeztem, hogy az érintettek nem a legtudatosabb felhasználók ;-) de igazad van ott lehetne fogást találni...
Akkor a MÁV-nak meg kellene akadályozni, hogy az öngyilkos jelöltek ne üttessék el magukat a vonattal? A késgyártóknak élvédő tompulással kellene kést gyártani, így legalább késként sem funkcionálhatna? Vagy hogy?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
A MÁVnak azt nem, de tehet a balesetek ellen pl.: sorompóval védett vasúti átjárók. A gyalogosok, bicikliseknek épített vezető korlátok. Jelzőberendezések stb... (és tesznek is)
A késgyártók is úgy tervezik a késeket, hogy szándékolatlanul ne okozzanak sérülést. (pl megfelelő markolat)
Én inkább a gyorshajtás miatt bekövetkező baleseteket hoznám példának. A gyorshajtásról nem sikerült leszoktatni a népeket, de sokat javított a biztonságon a biztonsági öv és a légzsák is.
"Nem az ő kötelességük ellenőrizni, hogy jogosulatlanul ne lehessen hozzáférni a szolgáltatáshoz?" - Ellenőrizték. Azzal, hogy az user által javasoltan csak ott használt valid jelszóval lépett be a fiókjába.
Azért álljunk meg. Hol lesz a komplexitás határa? Minimum 16 katerrel és minimum 3-4, nem egymás melletti speciális karakterrel? Egyébként nem a jelszavak minősége, hanem a kiszivárgása volt a probléma. Ha a szuperkomplex jelszó kiszivárog, és mindenhol ezt használja az illető, akkor a hajára kenheti a komplexitását meg a hosszát.
Ezt te sem gondolod komolyan, hogy minden szolgáltató majd azt vizsgálja, hogy a kedves juzer jelszava az merre hova szivárgott ki.
Miért, a Simple esetén nem ez történt? :)
Dehogynem. Több értelme van a kiszivárgott jelszavakat vizsgálni a saját usereknél mint a komplexitással bohóckodni egy szint fölött.
Lehet akármilyen komplex ha ellopták valahol - és nyilvánosan hozzáférhető. Nem kéne ezt minden szolgáltatónak vizsgálnia csak azoknak akik adnak a biztonságra ;-)
(kb ugyanazt mondjuk)
Alternatívaként nem csinálnak olyan rendszert ahol a sima user/pass párossal azonosítanak mint a múlt században... (és akkor mindegy, hogy kiszivárgott.e vagy nem)
wait, van olyan lopottjelszó-kereső szolgáltatás ahol hash-t kell megadni?
Ilyesemire gondolsz? https://haveibeenpwned.com/Passwords
Alkalmazás példa. NextCloud 2018-as cikk: https://nextcloud.com/blog/nextcloud-will-check-passwords-against-database-of-haveibeenpwned/
Egy elég jó és kompakt cheat sheet: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
Sőt erre az esetre ez még relevánsabb: https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet.html
Az első linken levő szolgáltatás jelszót kér - ugye az a probléma hogy a user jelszavát neked nagyon nem szerencsés plaintext tárolni, tehát lookup-t sem tudsz csinálni ha a lopottjelszókereső nem fogad el hash-t.
... ergo akkor kell lekérdezni, amikor még megvan plaintextben, tehát a felhasználó épp begépelte. Ahogy a megfelelő jelszóbonyolultságot is akkor ellenőrzi a rendszer.
.. ergo ez fél - egyév múlva már irreleváns lesz - meg egyébként sem ártana egyrészt már a kliens oldalon hash-t generálni, másrészt informálni a usert hogy elküldöd a jelszavát valahova (ami aztán valamit csinál vele).
Husz evvel ezelott irtam egy gagyi weblapot, volt user kezeles, regisztracio es chapta. Ami jelszot a user begepelt, abbol lett egy md5 hash, ehhez hozzafuztem egy szerverrol kapott egyedi stringet, ebbol ujra md5, es ez utazott vissza hozzam. A jelszava nem hagyta el a bongeszojet. Aki ma, 20 ev mulva a jelszavamat kikuldi az internetre, az IMHO rohadjon meg.
Nem muszáj kiküldeni. Lokálisan is lehet tartani a kiszivárgott jelszavak adatbázisát és abból lekérdezni és azt frissíteni.
Jogilag elég ingoványos területnek tűnik lopott jelszók milliót tárolni.
Egyébként YleGreg arról írt hogy a hash a kliensen jön létre, ott biztosan nem lehet lopottjelszóadatbázist tárolni.
mint ebben a szektorban dolgozó pontosan értem amit mondasz.
ha viszont a simple "csak egy fintech alkalmazás" akkor az arcodba tolt zöld otp logo minimum megtévesztő.
tudom hogy otp leánycég. a nagy kérdés az hogy az átlag jóskának tényleg ennyire értenie kell hozzá hogy biztonságban legyen a pénze?
vajon nincs a simple-nek felelőssége amikor kb mindehol szembejön a reklámja hogy regisztrálj nálunk fiókot?
ezek nyílt kérdések, kéretik úgy válaszolni rájuk
Gábriel Ákos
Leszarom ezeket a kérdéseket, de szakmai oldalon próbáljuk már elválasztani a dolgokat, ahogy többen is rámutattak ...
Az, hogy az OTP az appjával járhatott volna el gondosabban, senki sem vitatja. De nem lássunk bele többet, mint ami és nem mentegessük a balfaszokat.
trey @ gépház
A Simple (legalábbis részben) mindenképpen banki program. Az a része, amely a kártyaelfogadási funkciókat végzi, az banki program, mert az banki tevékenység, azok is kötelezően használják, akiknek nincs Simple fiókjuk, csak olyan helyen vásárolnak valamit online, amely az OTP-vel kötött kártyaelfogadói szerződést. (BKV, Volán, MÁV-jegy) Ebből a szempontból ráadásul választásom sincs, hogy használom-e vagy sem, ha BKV-jegyet kell vennem, akkor rákényszerülök. Szóval ez nem fintech alkalmazás, hanem a bank kártyaelfogadói szolgáltatásának része. Az, hogy Simple fiókok is vannak, ez ettől független, de az OTP szándékosan egybevonta a kettőt.
A többivel egyetértek, bár a 4. ponttal csak részben. Valóban nem kötelessége a sajtó felé bejelenteni a dolgot, viszont jól felfogott érdeke ezt megtenni. Szerintem meg is tették, különben nem lenne a cikkben ez az információ.
Ezek közül melyik banki szolgáltatást tudja?
Ha ezeket tudná, nem kellene az OTP mobilbank alkalmazás. Nem véletlen kettő alkalmazás a kettő. A Simple egy fintech app, ami az online bankkártyás és azonnali fizetési megoldásokra specializálódik. Nem banki alkalmazás és legfőképpen nem banki rendszer, ahonnan indultunk.
trey @ gépház
Kártyaelfogadási szolgáltatást nyújt.
Ettől fintech app.
trey @ gépház
Kisse egyszeru a vilagkeped.
A világképem teljesen rendben van.
trey @ gépház
Nem világképről van szó. Egyszer kijelentette, hogy ez nem banki alkalmazás, ezek után már minden eszközzel kidumálja magát, illetve a valós érvek leperegnek. Fenn kell tartani a tévedhetetlenség mítoszát. Mindenesetre én leszarom.
Ez nem a tévedhetetlenség mítosza. Te nem tudtál arra válaszolni, hogy ez mitől lenne banki app. Mindenesetre, én is leszarom. Hogy neked mi.
trey @ gépház
Szokásos Trey-blablát olvashattunk.
https://hup.hu/comment/2998104#comment-2998104
Ide válaszolj! Valami blabla-t.
trey @ gépház
A nagyobb baj az hogy kártyaadatot is tárol. És igazából egy totál szükségtelen köztes szereplő.
Gábriel Ákos
A Simple app/fiók, vagy a mögötte álló/kártyás részt végző bank? Nagyon nem mindegy...
Letiltották a webes bejelentkezést. Nyilván azért mert amúgy minden a legnagyobb rendben, ugye?
Gábriel Ákos
Akárcsak a CBA a sarkon.
http://www.micros~1
Rekurzió: lásd rekurzió.
Nem egészen. A CBA a sarkon elfogadja a kártyát. Ennek érdekében szerződést köt egy bankkal, (pl. OTP) amely rendelkezésére bocsát ehhez kártyaolvasót, és folyamatosan nyújtja a kártyaelfogadói szolgáltatást. Ugyanezt a szolgáltatást nyújthatja a bank online kártyaelfogadáshoz is, az OTP esetében ehhez felhasználja a Simple alkalmazás egy részét.
Persze. Pont annyira banki app, mint a Paypal, ahol megadom a bankkártyám és különböző helyeken fizetek vele.
Ugyanolyan proxy app/szolgáltatás, csak annyi különbséggel, hogy az egyiket történetesen az OTP egyik divíziója gyártja a másik meg 3rd party.
De, ettől még nem banki app és főleg - 20-adszor írom - nem banki rendszer, ahonnan indultunk.
trey @ gépház
Mi a különbség szted az informatikai biztonsági követelményekben?
Terelés. Sem a Paypal sem a Simple nem banki app. A banki app-pal banki műveleteket tudok végezni. Leírtam. Nem írom le őket még egyszer.
trey @ gépház
Mint például utalni? :)
A pénzküldés funkcióra gondolsz? Az nem utalás.
trey @ gépház
Figyelmetlen voltam, azt hittem, h az otp bank című appról megy a téma. :)
Nem, az OTP Simple nevű proxyappjáról.
trey @ gépház
Az más, az valami 3rd party cucc, jaja.
Nem biztos hogy baj volna ha tájékozódnál kicsit (és nem csak hallomásból) hogy a paypal mit gondol magáról mielőtt ilyen kijelentéseket teszel.
Az se lenne baj ha meg tudnád különböztetni a kártyaelfogadás és a kártyaadat-tárolás funkciókat és a mögöttük húzódó hatósági és egyéb követelményeket.
Persze lehet hogy ez utóbbi túlzó elvárás és csak a ténylegesen a területen dolgozóktól elvárható - ebben az esetben viszont fogadd el az infót azoktól akik ezt élik minden nap.
Gábriel Ákos
Ez eddig csak blabla. A szokásos. Meg tekintéllyel érvelés -> érvelési hiba.
trey @ gépház
Arra akarok kilyukadni hogy alábecsülöd a paypal-t. Kezelnek azok kártyaadatot, pénzt meg még hitelt is adnak. Minden szempontból több nagyságrenddel nagyobbak mint a simple.
Gábriel Ákos
Újabb blabla. A kártyaelfogadási szolgáltatást az OTP nyújtja. Az OTP bank, tehát banki app. Ennyi. Az, hogy más pénzintézeti vállalkozás is nyújthat kártyaelfogadási szolgáltatást, nem változtat azon, hogy az OTP mint bank nyújtja a szolgáltatást.
Igen, te mindig azt hiszed, hogy ha bármit leírsz 20-szor, akkor az igaz lesz, mert te leírtad. Ez persze tévedés, de ez téged nem szokott zavarni. Most hagyok helyet, hogy még 20-szor leírd.
Ez így nem pontos: a kártyaelfogadást az ezzel foglalkozó cég nyújtja. Mondjuk a SIA-CE.
Gábriel Ákos
A SIA-CE (leánykori nevén GBC) ebben alvállalkozó. Adott esetben ő biztosítja a személyzetet a terminál kihelyezéséhez (nem feltéltenül persze), valamint biztosítja a kommunikációt - vagy annak egy részét, de a kártyaelfogadói szerződést jellemzően a bankkal köti meg az elfogadó.
(ha jól tudom, pont az OTP nincs szerződéses viszonyban az említett SIA-CE-vel)
Sokszereplős a sztori.
Vásárló, bolt, kártyaelfogadó (ke), bank1 (vásárló bankja), bank2 (bolt bankja).
Amit írsz az úgy igaz.
Én egy másik szitura gondoltam:
- vásárló vásárol a bankban és mondjuk bank2 le van szakadva
- ekkor vásárló nyugodtan elmehet, részéről a tranzakció letudva
- ke már zárolta bank1-nél az összeget
- ke meg majd bank2-vel lerendezi amikor sikerül
- bank1 leszakadása jó kérdés, ke és bank1 közötti szerződéstől és megvalósítástól függ hogy ilyenkor is sikerülhet-e a tranzakció
Gábriel Ákos
Amikor a banki számlavezető rendszer zárt állapotban/offline-ban van, akkor meghatározott szereplő az, aki authorizál, a zárt állapot/offline kezdetekor megkapott egyenlegek alapján.
NEXI Group, hogy pontosak legyünk :-P
Bla, bla, bla.
trey @ gépház
Ki kell hogy javítsalak, de csak egy picit.
Ez egy EU szabályozás alatt működő Emoney (EMI) szolgáltatásról beszélünk a Simple esetén (főként azért, mert van pénztárca funkciója is) Magyarországon ezeket egy név alatt "pénzforgalmi intézmény"-nek hívják.
Itt elérheted ki a szolgáltató, és milyen tevékenységei vannak:
https://intezmenykereso.mnb.hu/Details/Index?LId=163002&EntityType=Inst…
Ja igen, a szabályok nagyjából ugyanazok egy ilyen intézményre nézve mint egy bankra. (IT szabályozás teljesen ugyanaz)
Nyugodtan javítgathatsz, a HUP adatbázisban sok minden elfér. Továbbra sem lesz banki app, sem banki rendszer.
Nem is véletlen, hogy sokkal kevésbé védik. Nézd meg az OTP banki appját és találd meg a lényeges különbségeket köztük. Beleértve a biztonsági funkciókat is.
trey @ gépház
Legalább magad ne cáfold meg, ez egy *banki rendszerrel egyenértékű rendszer* a szabályozás szerint. (itt pont van, vitát képtelen vagyok nyitni róla)
Az hogy megtörték. Én ezt a szót nem értem. Nem tudok semmit az aktuális eseten kívül mint amit itt olvastam, ezért az összes *következtetés* az alapján történik. Én itt azt látom, a szolgáltató szerint a felhasználói mulasztottak.
Amit te írtál az maszatolás. Ennek a rendszernek hasonló biztonsággal kell üzemelnie mint egy bank belső rendszerének.
Nem is volt baj a biztonsági rendszerével, nem törték meg a Simple-t. Van néhány user, aki odaadta másoknak a login adataikat, s mások azt felhasználva beléptek.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Miért vagy offtopic?
Szerintem itt te értetlenkedsz. Akik a szálat az elejétől követik, láthatólag értik miről van itt szó.
trey @ gépház
Teljes mértékben a topic címében jelzett témáról írtam. Attól, hogy kinyilatkoztatsz valamit, itt azt, hogy offtopic a hozzászólásom, az még nem válik igazzá.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Azt nem értem mi a baj az embereknek a világgal?
1, ebben a szálban Trey hülyeséget bizonygatott
2, te nem erre válaszoltál -> offtopic
3, kinyilatkoztatásnak hívod azt, ha megismered a tényeket
Hogy te valami párhuzamos világban élsz.
trey @ gépház
Igen, csak az a párhuzamos világ a valós jelen esetben..
Hát, hogyne :D Abban, amiben az ukránok mindjárt nyernek, a Tesla-t nem kell szervizelni, amelyikben az állampapíron nem lehet keresni, amelyikben a nem létező ellenzék a többség és még a végtelenségig sorolhatnám a hülyeségeket, amik a párhuzamos világaitokból jönnek. Ilyen pl. az is, hogy megtörték az OTP Simple rendszerét :D
trey @ gépház
Hova tűnt a szakmaiasság igénye?
Most miért nem azzal érvelsz, hogy azért beszélek baromságot, mert: (és itt szakmai érvek szerepelnek pl. hogy te tudod mi a különbség a bank és a EMI közt és ezek emiatt más követelmények vannak). Nem azzal, hogy más, szerinted általam kritikusan képvisel véleményem ütközik a tieddel? Vagy eddig tartott az igény a szakmaiasságra?
Mert trey. :) Képzelheted milyen lehet egy ilyen következetlen főnöknek dolgozni. Dehát ugye ez általános Mo.-on
Tőlem érdeklődsz, hogy te mit nem értesz? Ebben tényleg nem tudok segíteni. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
.
Légyszi más témákban is!
Más témákban elválasztottuk. Azért kerültek a más témák az Egyéb -> Flame-be.
trey @ gépház
Nem így értettem, hanem, hogy az "anyósomtól hallottam" vagy "úgy gondolom" jellegű f@szságokat hanyagoljuk.
Ez esetben ne terjesszünk olyat, hogy megtörték a banki rendszert. Ott, ahol ilyen ordas faszságokat olvasol, miért nem ott rendezkedsz?
trey @ gépház
off
Nem neked. Trey, megtérték -> megtörték, érdemes javítani. Jó, válaszolhattam volna neked is, rád nem vonatkozik, hogy csak addig szerkesztheted, amíg valaki nem válaszolt rá. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nagyon nem. Banki rendszer megtörése úgy néz ki, hogy még a normális user (egyedi, erős jelszó stb) számlájához is hozzáférnek, mert nem a user belépési adataival bohóckodnak, hanem a backend-et képesek vezérelni.
Itt még csak hasonló sem történt.
De gondolom - ha van bármi közöd az informatikához - amikor a laikusok arról beszélnek, hogy felnyomták valaki facebook-ját, akkor te sem arra gondolsz, hogy felnyomták a facebook biztonsági rendszerét, hanem egy tökhülye user belépési adatait szerezték meg és zárták ki a fiókjából. Hát is pont ezt történt.
Ez a te definíciód rá? (nem támadólag)
Sztem a "feltörték/megtörték" szó használata a butaság jelen esetben.
Az adott eset (az üzemeltető szerint) olyan sérülékenység amely a felhasználó oldaláról jogosan elvárt körültekintés elmulasztására mutat vissza.
Ha ez maradéktalanul igaz, még mindig lehetséges, hogy lesz kapargatni való a szolgáltató háza táján. Ha nem igaz, hanem a rendszerek a rendszer sérülékenységéből fakadóan kerültek ki (ugye erre vonatkozóan csak a szolgáltató álláspontját ismerjük ami szerint nem így van, amit következő információig elfogadunk) akkor egész más a helyzet.
Akkor lehetne beszélni arról, hogy megtörték a banki rendszert, ha úgy tudnál egy felhasználó fiókjához hozzáférni, hogy nem ismered a felhasználó autentikációs adatait, viszont találtál biztonsági rést, amin keresztül autentikációs adatok hiányában is tudsz tetszőleges felhasználó nevében eljárni.
Az nem feltörése a banki rendszernek, ha Jóska leírta egy papírra a netbank jelszavát, és te utána beléptél vele.
Pontosan. Főleg, még akkor, ha egy banki rendszer lenne a Simple, de még csak nem is az.
Tehát, duplán baromság az állítás.
trey @ gépház
Elvárható - nem lepődnék meg ha jogszabályi követelmény is lenne - lenne hogy személyes és bankkártyaadatokat elvárható védelemmel lássák el, ez itt nem történt meg.
Milyen kártyaadatokat tudsz kiolvasni a Simple-ből? Az utolsó 4 karakteren meg a lejáraton kívül?
trey @ gépház
Nem kell kiolvasni, lehet onnan is tranzakciót inditani.
Meg ki lehet szedni a nevet, lakcímet, email címet, autó tipusát és rendszámát és még ezer dolgot amit a partnerek szolgáltatásaihoz tároltak.
Ne, ne terelj. Nem ezt állítottad. Te kártyaadatok védelméről beszéltél.
Igen, a kibaszott jelszóval, amit elhagytál valahol ...
trey @ gépház
Nem csak arról beszélt:
Én a kártyaadatok részt challenge-elem itt egyelőre ... Amit állítólag nem védett meg kellően.
trey @ gépház
Kártyaadatok védelme alatt a kártyához való hozzáférést értettem,
azt hogy fizetni tudsz vele a Simple-ben.
Ja, ok. Akkor nem a kártyaadatokról van szó. Mert azok ezek:
Persze, tudsz. Szerintem 5000 forintig (a vásárlási limit lejjebb vehető: profilkép -> vásárlási limit), anélkül, hogy a bank ne kérne jóváhagyást.
trey @ gépház
Az onnan indított tranzakciót megfogja a 3DSecure.
Nem, nincs enforce-olva a 3DSecure a v1-ben.
Link: https://simple.hu/eros-ugyfelhitelesites-folyamata-a-simple-alkalmazasb…
trey @ gépház
Nem minden hős visel köpenyt, egy tündér vagy. :*
Nincs enforce-olva.
Ez egész addig igaz, amíg az EU-n belül marad a tranzakció. Egy USA-beli vagy kínai (aliexpress és társai) vásárlás esetén nem.
Hát nézd, ha a sajtó este ~9 körüli kezdésről tud, és fél 12-kor már épkézláb információkat kap az otptől, amiből kiderül, hogy ismerik a támadás módját, az érintett felhasználókat, ezek védelmére már hoztak intézkedéseket, megtörtént a kárfelmérés legalább első lépése, és folyamatban van a tájékoztatás az érintetteknek, akkor azért nem hiszem, hogy olyan nagyon kellemetlen lesz ezekre a kérdésekre válaszolni.
Erdekesseg, hogy a Telekom most kuldott SMS -t, hogy ha kaptam SMS -t linkkel, akkor ne nyissam meg, hanem haladektalanul toroljem. Namost ok is a Simple -t hasznaljak... lehet, hogy ez nem is user hiba?
Error: nmcli terminated by signal Félbeszakítás (2)
Ha a simple fiókodban van rögzítve telefonszám _is_, úgy a bot, ami bement, az ahhoz is hozzáfért, és azzal, meg az összeszedett egyéb információkkal simán elképzelhető, hogy célzott támadást indítsanak a felhasználók felé - például SMS-scam...
Van rogzitve, ugyanakkor a Telekomnal mar tortent olyan, hogy valamelyik kiszolgalojuk login adatait benne felejtettek a forraskodban, ha nem csal az emlekezetem.
Error: nmcli terminated by signal Félbeszakítás (2)
És küldtek linket az SMS-ben, hogy 'további információt itt talál: .....' ? :D
Arról nem küldtek SMS-t, hogy ők sose küldenek SMS-t??? :-D
Egy kérdésem lenne: hogy tud BÁRMILYEN szolgáltató védekezni az ellen, ha egy adott felhasználójuk nem teljes körültekintéssel jár el > pl. azonos felhasználói azonosító/jelszó használata különböző szolgáltatók esetében
Ha bármelyik szolgáltató komprommittálódik, akkor az összes többi szolgáltatáshoz hozzáférést nyer az adatot megszerző. Ez ellen természetesen lehet védekezni multi-faktor azonosítással, stb de ez sem jelent teljes körű védelmet.
Lásd pl egyéb manapság népszerű telefonos/netes csalások ahol a userek ÖNKÉNT adják meg a visszaéléshez szükséges adatokat és/vagy saját maguk hagynak jóvá olyan tranzakciókat, amiket nem Ők kezdeményeztek.
Lehet ekézni bármelyik bankot/szolgáltatót/stb/stb/stb de MINDIG az ember lesz a leggyengébb láncszem.
MFA-val a támadási vektor az ezredére csökken.
Persze, ha a felhasználók elpártolnak a szolgáltatástól. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Van erre felmérésed? Az MFA lehet kényelmes is...
Nincs. Amihez okostelefon kell, az nem lehet kényelmes, ha nincs az embernek okostelefonja.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Még mindig nem kell okostelefon az mfa-hoz.
Gábriel Ákos
Ez jó hír, de akkor mondjátok, ha valóban szükségem lesz rá, ne most!
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Amihez ész és gondolkodás kell, az neked nem lehet kényelmes...
Gondolod? Akkor a hw és fw fejlesztéshez nem lenne kényelmes? Most azon túl, hogy személyeskedsz egy jót, mi a hozzászólásod hozadéka? Jólesett így ebéd után?
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Étkezz rendesen és rendszeresen.
Jó. De hogy jön ez ide? :D
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Délután négykor mondtad neki hogy ebéd után. :D
Ma szabadságon vagyok, ilyenkor későn reggelizem, korán vacsorázom és nem ebédelek. Ha munkahelyen vagyok, az más, akkor háromszor eszem. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Oke, de milyen idozona szerinti 4 ora? :-)
Kezel több időzónát a hup?
csak te nem tudod ezt megugrani 2023-ban.
Mégis mit? Jellemzően okostelefonos megoldási javaslatokat lát az ember alapértelmezetten.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Konkretan tobbszor leirtuk mar neked a kulonbozo megoldasokat, keresd vissza, nem kell minden 2FA-topikot spammelni ezzel az tettetett ertetlenkedessel.
Nem tettetett.
1) Mivel ugyan egyre nehezebben, de meg tudom oldani - pl. SMS -, nem vetődött fel bennem valós kérdésként, csak elkezdünk beszélgetni róla, mondhatni, belesodortok a beszélgetésbe, ugyanakkor továbbra sem nézek mélyebben utána, még a fogalmakat sem értem mert jelenleg nem érdekel mélyebben, aztán meg azt mondod, ezzel spammelem a fórumot. :( Lehet, azt kellene, hogy nem reagálok. Nyilván a kíváncsiságom miatt visszakérdezek, s máris nyakig benne vagyunk.
2) Akkor mondjátok a különböző megoldásokat, ha ezt valóban kérdezni fogom. Mert az nem jó, hogy csak szőr mentén belesodródunk a témába, úgy élitek meg, hogy segítettetek, miközben egyelőre csak a félelmeimet fogalmaztam meg, de nem kértem segítséget. Eljön majd az a pillanat, amikor konkrétan segítséget kérek, olvasni fogok doksikat, kérdezni fogok fórumon, mert szükségem lesz rá. Most nem én kérdeztem, ti mondjátok akkor, amikor még nem jegyzem meg, amit mondtok. Fiatalon anyám csinálta ezt, hogy elmondott valamit, ami akkor és ott nem érdekelt, amikor már érdekelt, mert kellett az infó, megkérdeztem tőle, majd szóvá tette, hogy már mondta, miért kérdezem. Hát azért, mert akkor mondta, amikor még semmi szükségem nem volt az infóra. Akkor mondja, ha kérdezem!
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Teljesen jogos a "félelme". Akárhányszor írjátok le, hogy tufához nem kell okostelefon (ami eivben igaz is), van, ahol csak QR-kódot írnak ki, és neked kell bohóckodnod, hogy ezt telefon nélkül beolvasd; ill. van, ahol kizárólag saját mobilalkalmazással lehet tufázni. (Pár éve kerestem kedvezőbb bankszámlákat; az egyik bankot akkor dobtam a jelöltek közül, amikor megtudtam, hogy náluk a 2FA az szigorúan és kizárólag a saját alkalmazásukkal lehetséges. Asszem, erre mondják, hogy "instakuka".)
Tehát van pár eset, ahol mobiltelefon nélkül be kell olvasni egy QR kódot (ami teljesen szabványos, felrakod a zbar-t aztán odaadod neki a képet, vagy bármi mást, gondolom van még egy köbvödör), és van néhány szolgáltatás, aki ragaszkodik valami házibarkács szarhoz, ezért teljesen jogos a félelem hogy 2FA=a google meg az ms megszekszuálja a privacymat. Jogos a fenét.
Nem az a félelem jogos, hanem az, hogy 2FA (sokszor) = korlátozás. (De nyilván egyszerűbb szalmabábozni, mint érvelni.) A "néhány szolgáltatás"-hoz meg annyit, hogy helyből két bankról tudok, aminek a netbankjához kell saját alkalmazás, itt máris kicsesztek a tudatos ügyfelekkel. (Meg lehet nézni az alkalmazások értékeléseit...) Az meg, hogy QR-kód mellé nem írnak karakterláncot is, az megint elfogadhatatlan. Elvégre nem egy nagy kunszt, sokan meg is tudják oldani, mások képtelenek rá (vagy csak nem hajlandóak). (Részben hasonló eset: pár hónapja volt valami félnapos gebasz a BKK mobiljegyes vackával. Mit mondtak? A helyreállításig tessenek papíralapú jegyet venni. És hol lehet jegyet venni? Jegypénztárból már alig maradt pár, tehát oda először el kell jutni, az automaták számát pedig csökkentették, így ott többet kell sorban állni... Engem nem érintett, mert "papírt" veszek, de a bátor H. Aladárok megszívták.)
De hát ő ezt mondja, nem disztingvál. Ráadásul folyamatosan.
Szóval ne gyere ezzel, nézd meg csak ezt a topicot, hányan próbáltunk neki valami fényt tölteni a fejébe. És nem először, másodszor, vagy harmadszor. Erre az a reakció, hogy de ő nem érti meg, mert ő fél és szorong és ezért szerencsétlen (iróniamentesen, kurva szar érzés ez, én egészen konkrétan azért nem megyek el mellette, hogy hátha egyszer végre elovassa, amit el kéne, és nem szenved tovább) szajkózza a saját képzelt világképét, és explicit elmondja, hogy ő nem is akarja ezt megérteni. Szóval légy oly kedves, és ne nekem told, hogy szalma bábozok, mikor ő csinálja.
A felvetéseid jogosak, de ha eljutna idáig, már tudna vele mit kezdeni, mert ezek már kézzel foghatóak, nem a gonosz mumus az ágy alatt.
- Úgy tűnik, a világ jelentős része támogat TOTP-t vagy FIDO-t. Ezek szabványosak, keresek egy nekem szimpatikus authentikátor megoldást (van pár), használom azt. Esetleg veszek egy FIDOt tudó hw kulcsot, mert az kicsit secureabban tárol, és kényelmesebb. És olyan szolgáltatásokat keresek, ahol ezt be tudom állítani. Mivel elég elterjedtek, valószínűleg lesznek használható alternatíváim az esetek nagy részében.
- Nincs a qr kód mellett karaktersor (mondom, én ilyet még nem láttam, de biztos), márpedig ezért nem akarok mobilt venni. Igen, ez kellemetlen, hm, a QR kód egy szabványos valami, keresek rá megoldást, ami megy a gépemen, nem tűnik haváriának, maximum kicsit kellemetlen lesz. (Konkrét probléma megoldását megnéztem az előbb, három perc alatt találtam valamit, amit simán fel dnf installol a fedorájára, és kész. De pl az általam használt authentikátor tudna screenshotról olvasni (csak épp szar a waylanden, hehe, viszont ezért tudom, hogy még nem kellett eddig egyszer se qrkódból kipiszkálnom a konfigot).
- Igen, a bankok nagy része valami saját szart hajtogat, ráadásul szopatnak a "gyári" androiddal. Ez valóban nehézkes lesz, ezt át kell gondolnom. Körbenézek, és keresek olyat, ami támogat valami értelmeset, és lehetőleg minden van a webes felületen. Megnézem, nem ad valaki valami hardware tokent valami prémiumabb kategóriában. Ha nem találok, keresek valamit, ahol még jól van sms, és reménykedek, hogy egy ideig megmarad. Átgondolom, lehet, hogy akkor a bankolást ezentúl Telebankon keresztül intézem, keresek olyat, ahol ez jó. Kényelmetlen ugyan, de nekem számít ennyit a privacym. Megfontolom, hogy mégiscsak veszek valami olcsó androidos mobilt, amit dedikáltan erre tartok, otthon, a fiókban, alapból kikapcsolva. Esetleg utána nézek, hogyan lehet a mindenféle nekem nem tetsző dolgokat korlátozni.
- Ráadásul sokszor erőltetik, hogy meg kell adni a mobil számomat. Én ezt nem szeretem. Lehet, hogy kéne venni valakitől egy erre dedikált számot valami fos olcsó előfizetésben. Hmm, ha úgy is így áll a helyzet, lehet fentebb mégiscsak inkább a dedikált mobilnál maradok.
És így tovább. Én nem azt mondom, hogy könnyű dolga van annak, aki érzékeny a privacyjára, de ha megértem, hogy mi történik, akkor tudok megoldást találni, amivel tudok együtt élni, lesz kontroll a kezemben. Ha maradok annál, hogy 2fa=mordor, google/ms=mordor, okostelefon=mordor, és ha meglátom ezeket a sztringeket akkor félek, szorongok, és elszaladok, akkor folyamatosan egyre szarabb lesz nekem, mert a világ nem fog megfordulni.
Ez nagyon kedves, csak azért nem világosodom meg, mert egyelőre nem igazán kérdeztem ezt, legfeljebb belesodródtunk erről való beszélgetésbe. Akkor mondjátok, ha nyitok arról topikot, hogy sürgősen meg kell oldani, mert nem férek hozzá a bankszámlámon a pénzemhez, nem tudom megnézni a céges levelezésem, meg a többi. Addig hiába, mert még a szavakat sem értem. De mondom, fog érdekelni, mert szűkül a mozgásterem.
De, ha már itt tartunk, van abban valami félelmetes, hogy az egész olyan, hogy egy érettségivel vagy általános iskolai végzettséggel ez nem tudható. Úgy értem, mindenhol az van, használd az okostelefonod, a Google fiókod, ne törődj azzal, mi fog történni. Egyáltalán van erről részletes, magyar nyelvű dokumentáció onnantól, hogy rövidítések, fogalmak definíciója, odáig, hogy hogyan működik, netán mi az algoritmus, hogyan implementálhatom magamnak?
Gondolom, az azért megvan, hogy az ÁSZF és adatvédelmi nyilatkozat elfogadására azért kérdeznek rá, mert ott lehet szabadon választani az elfogadás, és nem elfogadás között. Utóbbi esetben viszont nincs mód az okostelefon használatára. Erre az esetre is kell lenni megoldásnak, mert az utalásokat, vásárlást, levelezést valahogyan meg kell oldani azoknak is, akik nem fogadják el a Google ÁSZF-ét és adatvédelmi nyilatkozatát.
Egyébként a felsorolásodban igazad van, ebbe az irányba fogok mozdulni, ha már muszáj lesz.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Melyik ketto? Itt picsogok mar napok ota, hogy mindenhol kotelezoen engedelyezett az SMS, mint opcio, te meg kettot is tudsz, ahol csak soft token van? Melyik az?
Az egyik talán a Rafi vagy az Erste volt. Egy akkor ott dolgozó kollégától kérdeztem is, hogy tényleg csak a mobilalkalmazásukkal lehet-e belépni a netbankjukba, és ő is megerősítette. A másik az OTP lenne, aminél én még a régi netbankot használom, de megerősítéseknél kiírja, hogy aki az új rendszert használja, annak már az OTP-s mobilalkalmazással kell(ene) QR-kódot beolvasnia. (De ha nem így van, annak nagyon fogok örülni.)
Rafit nem ismerem.
Erste-s voltam regen, akkor meg nem volt lehetoseg az SMS-t letiltani, mindenkeppen letezett, mint fallback opcio. (Piros pont, hogy ok legalabb magukat is beazonositottak az SMS-ben.)
OTP-nel biztosan van SMS fallback, ha azt hazudod, hogy nincs nalad a telefon.
A Simple esetében ez megvalósult kb. A hírek szerint 4300 user volt érintett és van vagy 2.5 millió felhasználójuk... :)
De egyébként tök egyetértek Veled.
vagyis ez akkor siman belefer szerinted. :) valszeg maskent gondolnad, ha erintett lennel..
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Őszintén, sztem ennyi pont belefér, meg néha kell is az ilyen hírverés. De azért lássuk be, hogy a topic tárgyában jelzett visszaélés azért nem a Simple miatt következett be, hanem szükség volt a userek balfaszságára.
Biztosan másképp gondolnám ha érintett lennék, de szerencsére én már korábban megégettem magam, még az internet hajnalán, az ilyen típusú hozzáállással > azonos user/pass mindenütt.
Tanultam belőle, csak kérdés, hogy azok is tanulnak-e ebből akik most érintettek...
Nem tudja megmondani a Simple hogy hány user érintett, ez technikailag kivitelezhetetlen.
Logokból simán előállítható az érintettek köre. Csak megfelelően kell paraméterezni a lekérdezést.Miért lenne kivitelezhetetlen?
Hogyan szűrnéd le?
Ha megvan, hogy mit csináltak a támadók az egyes felhasználók esetében, akkor abból a mintázatból ki lehet szedni olyan infókat ami alapján lehet keresni a logokban.
Illetve lehet IP alapján is szűrni, mivel gondolom nem nagyon foglalkozott a bot azzal, hogy IP-t cseréljen.
szerk:
Illetve ahogy olvasom a weboldalra léptek be és ott mókoltak valamit. Magamból kiindulva, bár használom a Simple alkalmazást, de idejére sem emlékszem, hogy mikor léptem be a weboldalra.
És gondolom azért más-más log keletkezik az egyes helyeken (app, website, stb)
Beléptek és kiszivták a személyes adatokat, landing page-ből egyetlen kattintás.
Nem tűnik egyedi pattern-nek, talán még naplózva sincs.
Az ország nagyobbik fele már NAT mögül éri el a zinternetet, ki lehet a bűnös? :)
Nem csak beléptek és kiszívták az adatokat:
"..Amelyik felhasználói fiókba be tudtak jutni, ott megváltoztatták a kapcsolattartási emailcímet, feltehetőleg azzal a céllal, hogy azon keresztül eltereljék a szolgáltató és a felhasználó közötti kommunikációt...."
Hidd el, hogy naplózva van az. Ez nem a PC-Kuckó Bt weboldala.... :)
Ez ugye nem zárja ki hogy tömegesen vannak fiókok ahol csap loptak adatot?
De, ez egy MFA nélküli hulladék, ami arra sem képes hogy alapból értesítse a felhasználót ha valahol bejelentkeztek. A könyebb átláthatóság és managelés kedvéért két publikus release-t maintainelnek, azonos funkcionalitással és UI-al.
"talán még naplózva sincs." - Láttál már te naplózásra vonatkozó elvárásokat...?
Hol? Mert a Simple nem pénzintézet.
Még egy egyszerű webshopnak is elég komoly kötelezettsége van (lenne). Ne már...
Gábriel Ákos
Ez a kötelezettség miből eredeztető?
Biztos vagyok benne hogy nincs olyan jogszabályi követelmény ami explicit előírja hogy a beállítások módosítását logolnod kell.
A mikor, honnan mit csinált infók alapján... (Ha pl. volt 1-2 órán belül tranzakckiója/bejelentkezése Bivalytöcsködről (GeoIP), és az e-mail cím cseréje viszont 300km-rel odébbról volt, akkor az minimum gyanús. De elég, ha a lecserélt címek valamilyen algoritmussal készültek, azt máris le lehet listázni, hogy adott időszakban kinek lett olyan jellegűre lecserélve a címe...
És vannak még bőven ötleteim...
Fentebb folytassuk.
"Lehet ekézni bármelyik bankot/szolgáltatót/stb/stb/stb de MINDIG az ember lesz a leggyengébb láncszem."
- kimondtad a kulcsmondatot, tehat akkor mi kovetkezik ebbol? :)
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Boszorkány! :D
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
"- Na jól van. Kiegyezek veled döntetlenben!" :D
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Elvileg a SimplePay vállalta a PCI-DSS követelményeket:
https://simple.hu/simplecore/uploads/2021/10/PCI_statement_template_HUN…
Ami pedig elvileg kellene hogy MFA-t támogasson, bár felületes rápillantás szerint inkább ez a belső rendszerek védelmére vonatkozik, nem a user oldali hozzáférésekre.
https://listings.pcisecuritystandards.org/pdfs/Multi-Factor-Authenticat…
Amit a bank tehetett volna, szerintem:
1. 2FA kötelezővé tétele
2. Jelszó erősség policy (hogy ha valahonnan hashelt jelszavak szivárognak ki, ne legyen könnyű dolguk és legalább kicsi legyen a blast radius)
3. Gyanús belépési próbálkozások elleni védelem (valószínű, hogy a rosszemberek szokatlan IP címekről és sok hibás jelszóval próbálkoztak)
4. Fel kell iratkozni egy lopott jelszó aggregátor szolgáltatásra (mint pl. a haveibeenpwned) és naponta végigszkennelni, hogy lett-e nyilvános olyan belépési infó, amivel hozzájuk be lehet lépni, és azt a júzert rögtön letiltani, tessék bemenni a bankfiókba azonosítás és fejmosás céljából
Ha van normális SOC team, van SIEM + egyéb szokásos toolok (pl: IDS, IPS, behavoiur and log analysis, Splunk), akkor elég gyorsan pirosan kellett volna villognia a SOC kolléga képernyőjének: nagy tömegű belépési kísérlet, nem magyar IP-kről (feltételezés), rövid időn belül, sokszor hibás jelszóval (feltételezés).
Csak esélyes, hogy
- sem normális SOC team nincs
- sem normális toolok nincsenek
- sem emberek nincsenek, akik ezeket konfigurálják és használják
Ezt technikailag hogyan képzeled el kivitelezni?
Nem tudhatom pontosan, hogy itt most mi történt, de feltételezem:
1. Gonoszember szerez egy jelszó dumpot
2. Kinyeri belőle a belépési adatokat
3. Belép az adatokkal és az nekünk rossz
Ugyanezt megtehetné a bank, az 1. és 2. lépés ugyanaz, a 3. pedig a júzer kitiltása.
Én azt értem, hogy a jelszó dumpok egy részét darkweben adják-veszik és nem publikus, evvel a bank se tudna mit kezdeni. De egy jó részük viszont publikus, így szerzi meg a haveibeenpwned is. Tehát a bank is beállhatna a vevők sorába.
Azt is megértem, hogy ez nem könnyű, nem olcsó, stb. De ha a gonoszemberek meg tudják csinálni, akkor a bank meg tudja csinálni még könnyebben. Ha a gonoszembereknek megéri, akkor a banknak még jobban megéri.
Az a gond vele hogy ezek nem hash-t kérnek hanem plain text jelszót - az egy nagyon jó kérdés hogy miért van szükségük plain text jelszóra egy lookup-hoz.
Amikor a usered megadja a jelszót, akkor ezt neked még kliens oldalon illik hashé változtatnod, onnantól pedig nem fogod tudni lookup-olni.
A másik probléma hogy a usert tájékoztatnod kell arról hogy az általa megadott jelszót elküldöd valahova, ami csinál vele valamit.
> Az a gond vele hogy ezek nem hash-t kérnek hanem plain text jelszót - az egy nagyon jó kérdés hogy miért van szükségük plain text jelszóra egy lookup-hoz.
Vonatkoztassunk el attól, hogy a webes lookup oldalak hogyan működnek. A bank nem őket hívná direktben.
> Amikor a usered megadja a jelszót, akkor ezt neked még kliens oldalon illik hashé változtatnod, onnantól pedig nem fogod tudni lookup-olni.
Tévedés. A publikus dumpból kijön a cleartext jelszó. Ekkor a banki robot megpróbál belépni avval a jelszóval. Teljesen ugyanúgy, mintha a rosszember lépne be. Csak meg kell őt előzni.
> A másik probléma hogy a usert tájékoztatnod kell arról hogy az általa megadott jelszót elküldöd valahova, ami csinál vele valamit.
Nem. A jelszót a bank szerzi be a feketepiacról, és rápróbál a saját bejelentkezési felületén, saját magának küldi.
Szerinted ez életszerű?
A tapasztalatom szerint a bankok idióták, ilyen szempontból persze nem. De én avval kezdtem, hogy ideális esetben egy komoly cégtől mi lenne elvárható. Ez is a pentesting egy formája.
Teljesen. Ezek a jelszó adatbázisok beszerezhetőek és alkalmasak mind a jelszóbeállításnál ellenőrzésre mind utólagos auditra. Példa: https://safepass.me/2020/02/25/finding-pwned-passwords-in-active-directory/
Persze ez azonnal nem lesz fontos ha nem csak a felhasználónév/jelszó párosra építjük az autentikációt.
Nem a technikai megoldást látom problémásnak hanem azt hogy egy pénzintézet lopott credential-ök tízmillióit tárolja és használja. Életszerűtlen hogy erre a jog lehetőséget biztosít neki.
Azok a jelszavak már nyilvánosak, a pentesting pedig nem tilos és az is használhat egyéb "tiltott" dolgokat pl. exploitokat.
Amúgy meg ki kell szervezni egy pentester cégnek, és ők meg azt csinálnak, amit akarnak, meg ami szakmailag elvárható. Biztos megvan ennek a jogi alapja. Ők majd szépen szereznek "valahonnan" adatokat, és szólnak előre, hogy X időpontban Y IP-ről lesz Z millió belépési próbálkozás, kapcsolják ki az alerteket és tűzfalakat (már ha volt, ugye...).
Ha én ilyen helyzetben lennék, rögtön indulna a bank oldaláról egy phishing kampány is. Amelyik ügyfél megadja az adatait, azt kötelező tréningre küldjük a phishing veszélyeivel kapcsolatban :). Orange team néven fut ez sok cégnél.
Miért ne tehetné meg? Önmagában egy jelszó nem személyes adat. Akár azt is megtehetné, hogy szótárakat tárol, és nem engedi a szótár-alapú jelszavakat.
Így van.
Én el vagyok képedve, hogy vannak itt olyanok, akik ezektől a módszerektől úgymond megijednek vagy életképtelennek tartják. Pont azt kell csinálni, mint a hekkerek, csak még jobban és gyorsabban, különben sosem lesz biztonság.
És ezért szeretjük a "versenyszférát", amíg az Outlook web accessre hajazó form náluk nem abuse, vagy nem értik mi a baj vele és ezért verseny. Addig lesznek hülyék akik kitöltik a crm formot. (Customer is always right...)
Tehát, akkor a sok feleslege szócséplés helyett a következőket javaslom:
A Simple app-ba hozzám hasonlóan virtuális kártyát rögzítsen mindenki, amin max. néhány ezer forint van folyamatosan, ami bőven elegendő a micropayment-ekre. Ha pedig nagyobb kiadást kell rendezni a Simple-ön belül (én pl. tegnap vettem állampapírt vele), akkor a vásárlás előtt helyezzen csak el rajta annyi zsozsót, ami éppen akkor kell. Ez az OTP banki appjával (ugye-ugye) kb. 20 sec. alatt megoldható.
Ez függetlenül attól javasolt, hogy van-e 2FA vagy nincs. Ugyanis a 2FA sem golyóálló.
Ilyen setup mellett a 2FA is kb. opcionális. Ugyanis nincs mit elvinni belőle.
trey @ gépház
Vagy mivel az OTP is eljutott végre arra a szintre , hogy hozzá lehet adni a kártyáját a Google Pay-hez , egyszerűen felejtsük el a simplet. ;)
Nem felejtjük el, mert ugyan érintéses fizetésre nem, de egy csomó helyen és dologra kényelmesen lehet használni. Én éles kártyát oda sem adok meg (G Pay). Ott egy ingyenes Revolut kártyát használok proxy-nak (mert amikor még még nem volt támogatva az OTP, már akkor is ment, azóta meg még nem cseréltem le, de oda is mehetne az OTP virtual már (nem teszteltem)), ugyanis én senkiben sem bízok.
Ja, és ennek a megoldásnak az a kurva nagy előnye, hogy univerzális. Sehol nem adok meg éles kártyát. Sehol. Erre vannak az eldobható/virtuális bankkártyák. Immár 10-15 éve.
Jó reggelt!
trey @ gépház
+1 a virtuális bankkártyáknak.
+1 a virtuális bankkártyáknak.
Ki hitte volna!
Ki hitte volna!
Dehá', dehá' ... főtörték a renccert!!! Ne'? Nem, jenőke. Nem.
A kártyaadatokhoz se ...
Ki hitte vóna!
Ezek olvasták, amiket írtam?
Linkóci: https://telex.hu/techtud/2023/12/07/rekonstrualtuk-hogyan-tortenhetett-…
trey @ gépház
Egy zseni vagy, mivel ezzel egyezett meg a szolgáltató tájékoztatása is (az írásodat megelőzően). Arra várjunk egy picit, hogy a körülményekben találnak e a szolgáltatónak felróhatót a szabályozó szervek.
Nem olvastam semmilyen tájékoztatást, le se szarom.
trey @ gépház
Yep, az igazi HUPper nem olvassa el azt, amirol ir, az ilyen konnyiteseket meghagyja a gyenge foldi halandoknak. :-)
Nem értem miről beszélsz. Történt egy esemény, ami engem nem érint, leírtam az itteni állításokról, hogy miért balfaszságok.
Akik ezek szerint elolvasták és annak ellenére írogattak itt mindenféle balfaszságot? :)
trey @ gépház
Mellette magad is hozzátettél némi balfaszságot.. Így megy ez itt.
Kimaradt egy nagyon fontos dolog: szerény véleményed szerint
trey @ gépház
Aha, meg a tények szerint szintén, bár az "alternatív igazság" világában ez ugye már mindegy.
annyira birom, hogy ami a te pofadbol omlik, az mindig teny, esetleg szakertelem; amit mas mond, az pedig a velemeny - hazugsag - osszeeskuves elmelet skalan bir mozogni. Magadba nezhetnel egy kicsit, nemde?
Mint mondtam, egy igazi HUPper nem olvassa el azt amirol ir, igy nekem sem kell tudnom, hogy mirol van szo, ahhoz, hogy tudjam, igazam van. Az onbizalom nagyon fontos dolog, es az enyem nagyobb mint a tied. Ugyhogy most kerlek elegedj meg azzal, hogy nekem van igazam, kesobb lehet, hogy majd elmondom, hogy miert, miutan rajottem, hogy egyaltalan mirol beszulunk. :-)
Ezt csak most lattam. Jo nagy kula fejlesztoi vannak ennek a fosnak. Gondolom Indiaba outsourceoltak a fejleszteset.
Azert erre meg regen is gondoltak az emberek modern 2fa elott, hogy megvaltozott bongeszo/netszolgaltato/ip/orszag/barmi eseten megerosito emailt kuldenek loginhoz. Szegyen szaradek banda. Azert fejlesztok, hogy a fogyatekos, olvasni is alig tudo emberek helyett is gondolkodjanak.
De mondjuk nem is varnek mast pl ilyen utan. Gondolom hasonlo pro emberek fejlesztik azt is.
Horror b+!
Ha ezzel fizetek, akkor OTP-s kártyára esetén nem jön a push, másik (pl erste) esetén jön. Fura, nem?
Eddig is k.rva lassú volt a fizetés, de így egy kártyás tranzakció kb 10 perc. És most nekem kellene vagy 20-at csinálni...
De most tényleg, valakinek az okoz örömöt, hogy másokkal kib.szik??? #rohaggyommeg
Itt a második hullám:
Ismét feltörték az OTP SimplePay rendszerét, több felhasználó jelszavát is megszerezték
A támadás során a hackerek több felhasználó adatait is megszerezték.
EZT AZZAL BIZONYÍTOTTÁK, HOGY A LEVÉLBEN LEÍRTÁK A CÍMZETT SIMPLE JELSZAVÁT IS.
Az angol nyelvű levél többek között az OTP-t „banki pöcegödörként” jellemezte, és azzal vádolta a pénzintézetet, hogy „extra adót szednek” és „nem képesek biztonságban tartani a felhasználók adatait. Az email kitért Magyarország politikájára is: a támadók azt állítják, hogy Magyarországon ellopták az EU-s pénzeket, az ország pedig a népirtást elfogadva Izraellel kötött szövetséget.
Hát ez igaz, de nem a teljes igaz: kimaradft még devizahitelezés, meg a kilakoltatások, az ügyvédkedés a károsultakkal szemben...stb
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
1, Nem bizonyítottak semmit, csak annyit hogy rendelkeznek a jelszóval.
2, Bankok nem szednek adót, OTP se
3, Az vita tárgya, hogy biztonságban tudják e tartatni az előfizetői adatokat, a fiaskó mérete arra utal (4300 személy) hogy valami mód tudták, hogy van OTP Simple hozzáférése az adott felhasználóknak, ellenkező esetben a nagy mértékű sikeretlen próbálkozás számának növekedését az Simple szolgáltatás üzemeltetőjének is fel kellett volna tűnni, de ez nem jelenti azt a hozzáférést tőlük szerezték volna meg.
4, A "levél" belekeveri a politikát is
Ha idősebb mint 9 éves a levél írója, akkor komoly gondok vannak vele.
Honnan gondolod, hogy nem árulják egy ideje ezeket bejelentkezési adatokat? Miért gondolod, hogy a "levélíró" nem csak egy vásárló ebben a szituációban?
Megint egy "second hand anonymous"
Nem kell érteni az IT biztonsághoz mindenkinek, de ha nem értesz hozzá és a nettó gyűlölet amit fel tudsz mutatni a témában, sztem kár szakérteni.
> Nem kell érteni az IT biztonsághoz mindenkinek
Hát ez kb mindegy is, ért-e hozzá mindenki vagy sem. Lassan már úgy is arra sorsa jut mint mondjuk a SEO. Immunisak lesznek az emberek az illyesmivel házalókra! És a [mielöbbi] jövőben kritikus rendszerek nem az "IT biztonsághoz" értők által lesznek védelmezve remélhetően - mert ez a fogalom ha jelent is valamit egyáltalán, az biztos h az elvárt feladatnak soha nem tudott megfelelni.
"antiegalitarian, antiliberal, antidemocratic, and antipopular"
Félelmetes, hogy még mindig nem érti itt se, meg az újságírók között se, hogy nem törték fel.
Istenem, ennyi balfaszt.
Most meg majd jön a sírás a sok balfasztól (ahogy szokott), hogy minek a 2FA. Sajnos a pénzügyi/IT analhabéták ellen az se véd. Csak az ilyen script kiddie "támadások" ellen, max. Vagy se.
trey @ gépház
https://flic.kr/p/2pkF6Lk
Sajnos ez nem fog segíteni azokon a balfaszokon, akiknek az e-mail fiókjába is ugyanazzal a jelszóval lehet belépni 2FA nélkül 😆😆😆😆😆
trey @ gépház
A rendesben 6 input field van, és a hatodikba nem lehet beirni 🤣 szóval végülis de 🤣🤣
Mit gondoljunk arról a szolgáltatóról aki egy ilyen kompromittálódás után _ezt_ sem gondolja végig?
Gábriel Ákos
Hogy nem lehet mindenkinek az anyja ... BTW: a szolgáltatás neve Simple, ami arra utal, hogy egyszerűen lehet használni fizetésre.
Ha elbonyolítják, akkor már nevet kell találni, mondjunk hogy rohadtbonyolult.hu
trey @ gépház
Valaki? :D
A Simple szo a szolgaltatas fejlesztoire utal.
Bár valóban igen szórakoztató, de ez a megoldás valójában nem őket, hanem azokat védi, akiknek nem kompromittálódott a címe.
Így elesett accountokon elméleti síkon sem tud segíteni egy második faktor utólagos bekapcsolása, hiszen az új faktort a régi csatornán kéne lekommunikálni.
A simplenek egyébként azért valamennyi esélye van, olyan usereknél, akiknél rögzítve van a telefonszám, lehetne azt használni (de ez ugye pl locsemege inkompatibilis :)), annak hiányában kb még azt tudom elképzelni, hogy egy korábban sikeres tranzakcióra használt bankkártyával újra lehet hitelesíteni az accot, ez még talán mehet egy jó nulla forintos tranzakcióval, kötelező 3DS mellett.
Ha csak egy e-mail volt, az bizony igazából IJ, ott max azt lehet csinálni, hogy a hónod alá csapod az irataid, besétálsz, aztán Mancika a régi mindenféle tranzakcióból vagy elhiszi, hogy a tied, vagy nem....
(és halkan jegyzem meg, hogy azt nem tudjuk, hogy az elesett accokkal is simán ez történik-e)
Miért ne lehetne egy új csatornán kommunikálni? Triviálisan adódik a humán ügyfélszolgálat, videós azonosítás.
Semmiben nem más mint egy vadonatúj (banki) ügyfél azonosítása.
Gábriel Ákos
Mert egyáltalán nincs meg, hogy kivel? Az új ügyfél más, ott az azonosított üf kap egy új számlát. Ha a simple annyit tud, hogy bubuka@gmail (ami potenciálisan törött), akkor el se tudja érni azt, akiről aztán a videótól nem tudja megmondani, hogy ő az eredeti tulaj.
Hát, ha a mailbox tulajdonosa adja hozzá a személyijét meg az új ÁSZF szerinti felelősségét akkor lelke rajta, nem?
KYC alapokból most fog vizsgázni a Simple - eddig nem tették meg.
Gábriel Ákos
Csak ha közben a mailbox tulajdonosa nem az, aki eredetileg volt, az nem jó.
Ezt most egyedül a Simple állítja.
Vagy elhiszed nekik hogy közel 10 ezer felhasználó jelszava meg volt már egy lopottjelszó adatbázisban, vagy
azd gondolod hogy plaintext tárolták.
Végül is a négyezervalahányszáz az kellően hunyorítva nevezhető közel tízezernek...
Kb 1 hete regisztráltam Simple fiókot. Eddig 1 alkalommal használtam a szerencsejáték.hu egyenleg feltöltésére.
Ios program ma azt mondja: hibás e-mail cím vagy jelszó.
Apple által generált erős jelszót használok.
A weboldal szerint a mobil alkalmazások mennek.
????
Ott a popup tájékoztató: weboldalon tiltva a belépés egyelőre
trey @ gépház
A regisztráció mihez kell? Van olyan, hogy valahol csak Simple-lel fizethetsz, de ott is csak regisztrált Simple-felhasználóként? Egyszeri fizetés nem játszik?
A, simple nem csak egy fizetés proxy, tele van fiszemfaszommal parkolástól mozijegyig.
Oh, már melegítem a honeypotot és várom a leveleket "Veszélyben az OTP Simplepay hozzáférése, cserélje, gyorsan jelszavát !" tárggyal. Plusz jöhetnek a narkós, szétbagózott hangú ügyfélszolgálatosok hívásai, hogy telepítsem az új Simplepay alkalmazást, különben világégés, irgumburgum....
Arról nem beszélve, hogy jön a hó közepi bankolás. Kíváncsi leszek, hogy a fiókban mivel próbálnak rávenni a netbankos és egyéb fiszem-faszom netes hozzáférések engedélyezésére....
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
Eddig tudtommal arról volt szó, hogy nem törték fel a simplepay-t. Ennek ellenére most jött egy ilyen a kereskedői fiókomra:
Random, csak ide használt jelszó volt rajta, amit időnként le kell cserélni, szóval részemről nincs aggodalom. Két dolog jutott eszembe erről, egyik hogy ezzel csak a béna jelszavakat akarják a rendszerükből kicsapni (bár úgy rémlik eddig is erős jelszavakat fogadtak csak el), a másik lehetőség (szerintem) hogy találtak valami biztonsági rést, amin bementek a simplepay kereskedői admin felületére. Kíváncsi leszek a holnapi új cikkekre :)
Ettől függetlenül simplepay-el eddig se voltam megelégedve, azonnali átutalások feldolgozása rendszeresen lehal évek óta, ha épp péntek este, akkor egész hétvégén rossz, hétfő reggel jön az email "rendszer lassulásáról" (igen, végül is a szolgáltatás kiesést 3 nappal később lehet lassulásként is értelmezni), aztán pár órával később jön a helyreállásról az email, közben meg bepotyognak az elmaradt IPN hívások.
vps4you.hu kupon VPS szolgáltatásra: HUP2023
Ha igaz, amit írsz - random jelszó, csak ide használod, rendszeresen cseréled stb. -, akkor melegebb a pite, mint amilyennek eddig a Simple-t mentegetők gondolták. :)
A béna jelszavakat másképp is ki lehetne pörgetni: kötelező jelszóváltoztatás mindenkinek. Ja, hogy ez oltári nagy égés lenne a Simple-nek / OTP csoportnak és sehogy se tudnák kimagyarázni, hogy őket "nem törték fel, nincs itt semmi látnivaló". Mancika / Pista bácsi csak annyit ért ebből, hogy valami naaaagy baj van.
Ezt a helyzetet lehet úgy is kezelni, mint karácsonyi ajándék. Csak 2017. decemberében / 2018. januárjában a Spectre / Meltdown kavarta fel az állóvizet, most meg ez a "feltörés".
Úgy tűnik, most kitoltak csillió+1 e-mailt, hogy bekapcsolták a 2FA-t (aminél e-mailben küldenek kódot - LOL), így az mobilos app gyakorlatilag döglött, élő netkapcsolat esetén is internet-kapcsolat hiányát reklamálja - tippre nem tud becsattanni a kiszolgálófarmra...
Update: sokadik próbálkozásra sikerült, és az e-mail is megjött - remélem, a webes felület is gyógyulni fog, illetve ott lehet majd a mobil device-t kezelni (kijelentkeztetni/törölni/felfüggeszteni)...
egyébként mi a francért használja még bárki ezt a megbízhatatlan fostaliga appot? parkoláskor, és tömegközlekedés esetében is 10-ből 3-4x cserben hagyott. parkolás tekintetében áttértem Parkl-re, azóta semmi bajom, 10/10 működik. a Simple többi funkcióját is bőven megtalálni máshol működő formában. szerintem ideje lenne beszántani ezt a szart.
nem kevés pénzt kaptam vissza az OTP-től mert nem 1x megbüntettek amiért nem tudott betölteni a Simple app a buszon és így nem tudtam felmutatni a bérletem. mielőtt trejcsi a gatyájába élvez elmondom: a buszon senkinek ment akkor, hiába volt androidja :((( a facebookjuk is tele volt panaszokkal amit persze törölgettek is :D:D:D
azt fogja irni hogy ne buszozz, evi 3km-re 10 auto kell meg 3 motor
van céges autóm, van saját autónk ennek ellenére van amikor tömegközelekedek ha a helyzet úgy kívánja, vagy séta, vagy elektromos roller. szerencsére attól, hogy valakinek kocsija van, nem kell a budira is azzal menni.
legkozelebb vegyenek iphone-t :)
Megszállott apple-ös... Azért írta, mert erre szokták azt írni neki, hogy szar az iphone-od, vegyél androidot. :)
"Sose a gép a hülye."
Ha a túloldalon az API, ami egy https-en figyelő kiszolgálófarm nem érhető el, vagy hülyeséget beszél, akkor teljesen mindegy, hogy milyen eszköz van az ügyfélnél...
Ez a bérletes dolog érdekes, mert a Simple csak akkor kell a BudapestGo-nak, amikor megveszed. Utána már csak az appnak kell netkapcsolat. Bérletet viszont nem a buszon kell venni, hanem felszállás előtt. Úgy már jártam, hogy nem tudtam megvenni a jegyet, szerencsére volt nálam egy tartalák papíralapú jegy.
Most jött a mail, hogy lesz 2fa. Ami igazán izgalmassá teszi, hogy nincs is simple fiókom, bár tény, ha az OTP-n keresztül vásároltam egy webáruházban, nagyrészt ezt a mail fiókot használtam. Csak
erről honnan tud az OTP ?
http://www.micros~1
Rekurzió: lásd rekurzió.
Ket opcio van, vagy a kereskedo adja meg a Simple-nek, vagy olyat is lehet, hogy a Simple ker be szamlazasi cimet, emaillel. Mindket esetben letarolodik valahova, onnan meg eleg egy select csillag.
Köszi. Csak furcsa.
http://www.micros~1
Rekurzió: lásd rekurzió.