Fórumok
Én szerettem volna ma bekapcsolni a 2FA-t az Ügyfélkapuhoz. Úgy gondoltam, hogy 2024. januárjára már elég stabil ahhoz, hogy használni is lehessen. Picit tévedtem.
A https://ugyfelkapu.gov.hu/felhasznalo/adminisztracio/totp/eszkozparosit… oldalon ugyanis a jelszóbeviteli mező legfeljebb 30 karaktert enged bevinni. Komolyan, 2024-ben ott tartunk, hogy korlátozzák a jelszó hosszát? Nooormáááális, Margit.... Utoljára IBM termékben találkoztam súlyos jelszólimitációval (15 karakter).
Abban bíztam, hogy 2024-re ezt a téveszmét kinövik a fejlesztők. Tévedtem.
Persze rögtön írtam is a https://ugyfelkapu.gov.hu/kapcsolat űrlapon keresztül. Kíváncsi leszek, hogy mikorra javítják ki ezt a hibát.
Hozzászólások
hat azert 30 karakter nem akkora korlat szerintem... minek ennel hosszabb pw? gondolom megneztek hogy a hash entropiaja mennyi, annal hosszabb jelszonak ugysincs ertelme.
De. Nekem 30 karakter nem elég. Főképp ismerve az IT rendszerek védelmét, jelszószivárgásra hajlamosságát. Bizalmatlan vagyok.
Normál weboldalaknál megelégszem a 24 karakterrel. Fontosabb rendszereknél 32 karakter, nagyon kritikus rendszernél (nálam az Ügyfélkapu is ide tartozik) 48 karakteres jelszavakat használok. Tudom, év vagyok a hülye.
de miert?
ha ellopjak, tokmind1 hogy 8 vagy 80 hosszu, akkor is el lesz lopva.
ha meg hasht kell torni, akkor a technika mai allasa alapjan 12 karakter hossz folott mar nem eri meg bruteforcolni, mert evekig tart, es a rainbow tabla se jatszik mar ilyen hossznal mert sok petabyte meretu lenne.
Egyrészt a hit. Minél hosszabb, annál nehezebben törik fel. Akkor is, ha ellopják. Nyilván ha a kedves rendszer titkosítatlanul tárolja a jelszavakat, akkor mindegy a hossz.
Továbbá van ez a jelszócsere mánia, ami már nem divat, sőt, ellenjavallt - lásd: NIST ajánlás. Egy megfelelően hosszú jelszó / jelmondat esetén emiatt se kell aggódnom.
Ha célzott a támadás - pl: magyarorszag.hu ellen -, akkor megérheti bevetni az erőforrásokat.
Miért van egy olyan érzésem, hogy nem hash-elve tárolják a jelszavakat...?
Na miért...?
az, hogy most a 30 karakter jónak tűnik, nem biztos, hogy most megszerzett információ nem lesz aktuális post-quantum korszakban. lásd: harvest now, decrypr later
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Amikor a 30 karakter kevés lesz, nem hiszem, hogy a jelszó hossza fogja meghatározni a biztonságát, sőt valószinű nem is jelszavakat fogunk használni.
mire lesz elerheto technika a 30+ jelszo toresehez, a jelszo ervenyessege mar ugyis lejar :)
Valaki számoljon velem.
62 alfanumerikus karakter + 33 non-alfanumerikus karakter = 95
2^X = 95^(30)*2^S ahol X a hash mérete, és S a salt mérete
=> X-S = 30 * log2(95) ~ 60
=> ~60 bittel nagyobb a hash méret a salt mérethez képest ?
Én sem érzem ezt erős korlátnak, ahol nem limitálják kevesebbre, 24 karakteres jelszavakat használok, de többre sosem volt igényem, ettől éppen nem lesz rosszabb a szolgáltatás (tök jól működik 2FA-val is).
Sőt:
Ezt hogy kell erteni? En bekapcsolom a 2FA-t, de ha valaki ellopja a jelszavam, valaszthat 2FA nelkuli belepest? Nice.
Ezt úgy kell érteni, ha bekapcsolod a 2FA-t akkor mondjuk a NAV-os mobilappba soha a büdös életben nem fogsz tudni belépni, mert a sima ügyfélkapuval próbál azonosítani és a 2FA-t miatt simán hibát dob belépéskor.
Vagy ott van a https://gate.gov.hu -n (régi MOHU auth gondolom még van egy két szolgáltatás ami ezt használja) amin máig simán jelszóval be tudsz lépni akkor is ha be van kapcsolva a 2FA mert miért ne.
Jól ki van ez találva.
Ha be van kapcsolva a 2FA-d, de oda kattintasz ezen a felületen, hogy Ügyfélkapu, akkor nem enged be: kapsz egy generic hibaüzenetet, hogy elírtad a jelszavadat, vagy van-e 2FA-d Ha be van kapcsolva a 2FA-d, akkor a fenti felületen az Ügyfélkapu+-t kell választanod. Securityben nem sérül, de aki ezt a UI-t kitalálta...
(de vannak/voltak olyan állami oldalak, amik a beállított 2FA ellenére beengedtek, ami nem az új, képen látható ügyfélkaput használta, hanem még ennek valami régi verzióján keresztül léptetett be... lassan ezek kikopnak talán)
Tényleg több mint harminc karaktert szeretnél ügyfélkapus jelszónak? :) A KAÜ süti cuminál bosszantó lehet ha hosszú.
Neked be van állítva valami script, ami kaparássza a HUP-ot és ha ügyfélkapu téma bukkan fel, akkor riaszt, vagy állandóan itt vagy egy másik nickkel és ilyenkor átjelentkezel erre? :D
Én az utóbbira tippelek.
trey @ gépház
Eddig is itt voltam, ez az egy nickem van. :)
Amúgy érdekes, hogy a jelszóváltoztatásnál 150 karakter a password length limit, a 2FA hozzáadásánál meg csak 30 karakter, valaki megint minőségi munkát végzett. Én a helyében megpróbálnám a 2FA-nál fentebbrakni a password input maxlength-jét 150-re, mert valószínűleg az a helyes érték. Bár ha 150 karakterbe se fér bele akkor ez sem megoldás és lehet kibertámadásnak értékelik. :)
lehet 120 karakter kell nekik a 2FA infok tarolasara igy mar csak 30 marad az sql rekordban a jelszonak :)
Engem pont ez triggerelt. Hogy lehet olyan béna rendszert alkotni, ahol egyik felületen X hosszú, másik felületen belépve csak X/5 hosszú jelszót tudok beírni? Ez így nem következetes, megtévesztő.
A vicc, hogy még értelmes hibaüzenetet se adott az oldal. Nekem kellett sakkozgatni, hogy miért nem jó a jelszavam - amivel 1 perccel korábban léptem be.
Decemberben valaki redditen ugyanilyen balfékségre panaszkodott a webkincstár Androidos appja kapcsán, lehet ugyanaz kódolta?
Nekem lejárt a jelszavam decemberben, jött róla mail('Ügyfélkapujának bejelentkezési jelszava 2023.12.17 napon lejár'). Mégis be tudok lépni??? Nem is jelezte, hogy változtassam meg simán beengedett. Kíváncsian várom mikor veszti el érvényességét.
update:
A tarhely.gov.hu -ra simán be tudtam lépni, de a https://ugyfelkapu.gov.hu/ -ra belépve egyből kérte a jelszó megváltoztatását. Természetesen utána tárhely-hez is az új jelszó kellett.
Azt vártam volna, hogy dec 17 után oda sem tudok belépni a régi jelszóval.
Az emailben ott van, hogy lejár ugyan az adott dátumon, de utána még 60 napig be tudsz lépni a régivel és kötelező az azonnali váltás (ahogy írtad). Ha kifutsz ebből a 60 napból, akkor már csak személyesen tudod megváltoztatni.
OK, de akkor is furcsa, hogy a tarhely.gov.hu -ra simán beengedett ügyfélkapus azonosítást használva. Még ma is néztem és semmi sem utalt arra, h bármi probléma lenne, nem kérte a jelszó megváltoztatását. Ha nincs ez a topic akkor meg sem keresem az emailt és nem keresem fel az ugyfelkapu.gov.hu -t ahol belépés után egyből kérte a jelszó megváltoztatását.
Ezek szerint 60 napig használhattam volna a tarhely.gov.hu -t majd rohantam volna az okmányirodába mert már nem engedi a jelszó megváltoztatását ? Ez elég furcsa. Treynek biztos nem így működik. :)
Jaaaa, hogy a tarhely.gov.hu nem kérte a jelszómódosítást. Gondolom nem készültek fel arra, hogy valaki az ugyfelkapu.gov.hu helyett azzal indít. :-)
Ez azért is érdekes felvetés, mert rendszeresen jön szembe olyan hivatalos e-mail, amiben direkt a tárhely van belinkelve. (Persze, értem.)
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
Általában a kapcsolt rendszerek nem mindig dobnak a jelszóváltós felületre egy SSO megoldás esetén. Mi is szívunk azzal, hogy némelyik megoldás nem dobja a parasztot automatikusan a jelszóváltós felületre, amikor lejár neki, hanem vagy beengedi, vagy nem engedi be egyáltalán, de a jelszóváltás az így fel sem merül ötlet szinten se, hiába tudná a termék.
Blog | @hron84
via @snq-
Frissítés - 2024.11.06.:
Felemelték a limitet 150 karakterre. Picit lassan ment a változtatási igényem lefocizása. A lényeg: működik. Így már boldog Ügyfélkapu+ felhasználó vagyok. Mindig van remény...
Mit lehet erre írni? Maximum annyit, hogy gratulálok neked. Szimpla állampolgár létedre sikerült elérned, hogy egy közhivatal (gondolom annak számít) a panaszodat kezelte, ráadásul úgy ahogy te szeretted volna. Nekem még ilyen élményem nem volt. Irigyellek.
Még nincs aláírásom.
És relatív gyorsan, 10 hónap alatt végigfutott a teljes folyamat...
Azért a képhez hozzátartozik:
- Több ticketet nyitottam.
- Ha leráztak, akkor vártam pár hetet, esetleg hónapot és újra próbálkoztam a hibámmal.
Konteó on: Még az is lehet, hogy látják, hogy a DÁP nem fog tudni mindent határidőre. Már most is csúszásban vannak. Ergo az Ügyfélkapu+-ra átállás elengedhetetlenné vált szinte mindenkinél.
Teljesen jól csináltad, minden gúny v. cinizmus nélkül írom.
Köszönöm.
Szerintem nagyon fontos a pozitív híreket, információkat is megosztani. Sokkal vidámabbá teszi a hallgatók életét is. Feltölt picit mindenkit.
picit offtopic: sikerült valakinek belőnie a keepassxc-t az ügyfélkapu+ login formhoz? Mivel a usr/pwd/totp field nem ugyanazon a formon belül van, nem tudom rávenni, hogy mindent helyesen töltsön ki (manuálisan ok, de az ugye nem kunszt :) )
"The only valid measurement of code quality: WTFs/min"
> sikerült valakinek belőnie a keepassxc-t az ügyfélkapu+
persze
> manuálisan ok, de az ugye nem kunszt :)
ja hogy ugy. hat nekem minden manualisan megy, nem szeretem a bongeszobe (is) integralt jelszokezelot...
keepassxc tudja...
Nekem tönkrement a telefonom amin a 2FA token volt. Lehetetlen megoldani egy új regisztrációnál így inkább kértem DÁP-ot.
Használj Google Authenticator-t, az simán folytatja új telefonon. Hogy ez azt jelenti e, hogy a Google hozzáfér az MFA összes faktorához, valószínűleg igen...
https://support.google.com/accounts/thread/149245119/recover-secret-key…
Pedig itt azt mondják, hogy istenbizony nem tölti fel sehova a seedet.
Értem, de mivel az új telefonra költözéskor (Samsung->Samsung) egy csomó hibám volt (nem a költözés miatt, mint utóbb kiderült, hanem a túl új Android), ezért full gyári reset után egyesével raktam fel az új alkalmazásokat. Az Authenticator miatt nem is töröltem a régi telefont, hogy amíg mindent elintézek legyen működő. Hát nem kellett. Authenticator szűz install, Google account bejelentkezés, megjelent az összes csatolt alkalmazás összes csatolt profilja és működik is.
Ezért mondják h. a yubico authenticatora annyival megbízhatóbb h. ott a seed-et beadod a kulcsnak, és onnantól az authenticator nem tárolja local-ban (bár beállítható, ha nagyon akarnád ezt...)
Google authban is van szimpla export import qr-koddal.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
A tokenben attól még ott lesz, csak épp nem tudod belőle kinyerni, mert "benne van" a totp-t számoló hardver is, ami ha kérnek tőle egy kódot, kinéz az órára, és visszaadaja az f(idő, shared secret) eredményét.
Akkor biztos erre szokta mondani zeller, hogy a banki appok egy szuperbiztonságos tárolót használnak a kulcsaikhoz, amit mezei hekker nem tud kiszedni a telóból...kivéve a google :D
A TOTP shared secret-et az alkalmazás menthető/backup-olható módon tárolja. Egyébként a Microsoft authenticator is ugyanígy működik, ott a Microsoft fiókon keresztül van költöztetési/backup lehetőség. De ha mutatsz egy totp megvalósítást, ami nem ilyen módon tárol, akkor azt fogom használni én is.
Próbálj meg feltölteni egy kliens cert/key párost a telefonodra, majd visszaolvasni/kinyerni a privát kulcsot az eszközből - az nem fog menni.
A mobilbanki alkalmazások erős azonosításra biometriát, illetve push-t használnak, illetve a deviceID-t is használják az eszköz azonosítására/hozzáférés engedélyezése során, ami a bárhol, bármilyen módon, tetszőleges példányszámban tárolt shared secret-et használáó totp-nél több szempontból is jobb.
:)
legtöbb helyen ez az "erős azonosítás", csak egy kényelmi fícsör hogy ne kelljen a 6-jegyű pin kódot használni... szóval pont annyira 'erős' mint a 6 jegyü pin, ugyanis arra bármikor lehet failback-ot forszolni.
úgy általában a bankok úgy 5-6 év lemaradással (és/vagy ahgy a PCI-DSS megköveteli) 'követik' a securty best practice-eket ;)
szrintem.
zrubi.hu
A műveletek kapcsán szerintem az auth módja is naplózásra kerül... A PCI/DSS a kártyaadatokat kezelőkre vonatkozik - nem minden bank/banki rendszer esik ennek hatálya alá - ellenben a hazai pénzintézeteknél az MNB "ajánlások" betartása az elvárt, ami több esetben szigorúbb is lehet akár...
Off topic:
Megy mar az MS Authenticatornak az, hogy Android <-> Apple kozott tudjon koltozni?
Egy ideje nem neztem, de par eve meg nem tudta.
Ha a "nem ilyen mód" alatt azt érted, hogy nem kell fiók a mentéshez, akkor azt az Aegis is tudja (meg, felteszem, még több más hasonló megvalósítás is). Kiválasztod a formátumot ({Statham}, HTML vagy TXT), be- vagy kikapcsolod a titkosított mentést, meg elvileg azt is kiválaszthatod, hogy melyik csoportokat mentse. Végül lesz egy fájlod, amit Google/MS nélkül is oda másolsz, ahova akarsz.
Azt értem rajta, hogy a telefonról a shared secret nem nyerhető ki, azaz a telefonról azt nem lehet ellopni/kimásolni. Pont az lenne a cél, hogy a secret ne legyen kimásolható... (Ahogy egy valamirevaló hwtokenből sem "jön ki", miután bele lett kalapálva...)
TPM, smartcard - mintha a mobil OS-ek találták volna fel a spanyolviaszt.
Meg hát a SCAM-ek 99%-a nem ilyen szofisztikált Mission Impossible kulcslopás, hanem egyszerűen megkérik a usert, hogy jelentkezzen be nekik.
Az exportálható-másolható 2FA secret az egy nem jó, de a semminél sokkal jobb megoldás :-/ Attól, hogy az userek hülyék nehéz (bár az MNB ezt is elvárná...) megvédeni őket, viszont amit lehet, meg kell tenni a biztonságos azonosítás érdekében...
Webauthn-nél az a nagy találmány, h. validálja a jelszókéró oldal domainjét. Így a phishing-et lebuktatja.