/MEGOLDVA/ Ügyfélkapu+

Közösségi kerekasztal

Az MI ezt dobta:

Az Ügyfélkapu 2025. január 16-tól már nem lesz használható a hagyományos módon. Ehelyett két lehetőség áll majd rendelkezésre az elektronikus ügyintézéshez:

  1. Ügyfélkapu+: Ez egy kétfaktoros azonosítást alkalmazó rendszer, amely már most is elérhető. A regisztráció során hitelesítő alkalmazás (pl. Google Authenticator vagy NISZ Hitelesítő) használatával QR-kódot kell beolvasni. Az Ügyfélkapu+ biztonságosabbá teszi az ügyintézést, és új funkciókat kínál, például valós idejű értesítéseket és központi dokumentumtárat.

A második a DÁP. A hozzáértőket kérdezem, hogy mennyire biztonságosak a hitelesítő appok? Kikik ellenőrzik az appokat biztonság tekintetében? Valahogy nem tudok megbízni egyik olyan szoftverben sem, amit az államapparátus erőltet ránk. 

Mondjuk az egy másik izgalmas kérdés, hogy akinek nincs okos mobilja, az számkivetett lesz?

keepassxc használata megoldás.

( neutrino v | 2024. 11. 16., szo – 08:04 )

Szerkesztve: 2024. 11. 16., szo – 08:04

Jézus...

Azért mert van rá lehetőséged, még nem kéne témákat nyitogatni.

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Bocsánat, de hadd védjem meg kikepzo fórumtársat:
- Ő legalább szakmai topicokat nyit, nem politikait, nem flame-t.
- Témái általában vidám perceket okoznak a tapasztaltabb IT kollégáknak. Amolyan "stand up comedy by HUP". (kikepzo ne értsd félre, nem támadásból, nem gúnyolódásból írom)
- Az ifjú padavanok (akik általában nem mernek megszólalni, kérdezni) is tanulhatnak a topicokból.
- Én speciel hiányolni szoktam a topicjait 2-3 hetente. Amíg nem nyit naponta új témát, addig nem érzem drámainak a helyzetet.

Véleményem szerint.

( arpi_esp v | 2024. 11. 16., szo – 08:08 )

keepassxc tud totp-t es az opensource, offline app. telefon se kell hozza.

A tanulás is jó megoldás - a TOTP egy jól dokumentált eljárás egy megosztott titok és időpont alapján történő egyedi kód generálására. Ezt akárki kvázi akármilyen nyelven megírhatja - nem az algoritmusban vagy az azt implementáló szoftverben van biztonsági kockázat, hanem a megosztott titok biztonaságos tárolásában azon az oldalon, ami ennek használatával szeretné magát azonosítani. Szóval ebben a 2FA-ban az a kérdés, hogy a secret tárolásában mennyire bízol meg, hogy azt harmadik fél nem tudja megszerezni.
A GA (és a Microsoft authenticator is) képes a "felhőbe" a saját fiókba menteni a secret-et, ami a biztonság egyik "lába" miatt (rendelkezésre állás) jó (mivel van mentésed), a másik miatt (bizalmasság) meg  nem annyira (harmadik félnél is ott van az adat, igaz a felhasználói fiókhoz történő hozzáférés korlátozott, illetve a fiókot kezelő entitásnak nem érdeke az egyén ezen azonosító adatát felhasználni).

Ennél biztonságosabb az, amit a DÁP valósít meg, az ugyanis egy külön csatornán (outband) kérdés-válasz alapon működve a teljes azonosítást elvégzi, nem csak egy második faktort biztosít.

 

( dentzol | 2024. 11. 16., szo – 11:22 )

"és új funkciókat kínál, például valós idejű értesítéseket és központi dokumentumtárat."

Többek között az ilyen pontatlanságok miatt sem kell komolyan venni ezeket az LLM-en alapuló eszközöket.

( n.balazs v | 2024. 11. 16., szo – 13:34 )

Bocsi, hosszú lesz.

Hogy picit a kérdéseidre is válaszoljak:
- A hitelesítő appok pont annyira biztonságosak, mint bármelyik szoftver. Lehet bennük hiba - akár a szoftverben, akár a szoftverfejlesztési folyamatukban, akár a háttérrendszerben, ahová az app ment / dolgozik. Sőt, az appstore-ban is lehet hiba, ami kihasználható.
- Az appok ellenőrzőiről nem sokat tudunk nyilvánosan. Vannak az appstore-ok, amik ellenőriznek bizonyos részeket. Mindemellett egyik appot se láttam eddig, hogy nyilvánosan auditálták volna. Jó lenne, ha ezek az audit jegyzőkönyvek nyilvánosan elérhetőek lennének - és most lóg bilibe a kezem. Másik topicban már pedzegettem a Common Criteria (CC) auditot. Ezen kívül más auditok és plecsnik is léteznek.
- Flame nélkül: az államapparátus kontraszelektált. Nem a legélesebb IT arcok dolgoznak ott - tisztelet a kevés és lelkes kivételnek. A kevés kivétel azok, akik életben tartják az állami / állami kötődésű IT-t. Én pont az államtól várnám el, hogy a legmagasabb minőséget képviselje. Kis pénz + kevés ember + közbeszerzés = kis foci. Én se bízok teljesen az államban, főképp annak néhány képviselőjében. Ezért is kerülöm például a DÁP-ot.
- Okostelefon nélkül is lehet élni. A TOTP tökéletesen működik nélküle. Lehet Ügyfélkapu+-ozni is. Perpillanat. 10-20-30 év múlva ez változhat.

Az ilyen könyvet ellő baromnak útilapu kell, nem a teljes user/password/2. faktor... Aki meg odaadja mégis, azt megkérdezni, (ezt már írtam korábban is), hogy egy paksaméta üres A4-es papírt aláírna-e, és odaadná-e a könyvelőjének, mellékelve minden személyes adatát hozzá? Mert az adatok ilyen átadásával pontosan ezt teszi. És ebben az esetben az esetleg a könyvelője által elkövetett bármilyen tevékenységért ő lesz a felelős, mivel az ő identitásával történik, nem pedig jogszerű meghatalmazás útján a könyvelő identitásával.

 

Szerintem elkülönül a cég és a személy. A gazdálkodó szervezetek (cégek) számára van a https://cegkapu.gov.hu/ cégkapu. A cégkapu a szervezethez kötött és a szervezet képviselője regisztrál be a cégkapu szolgáltatásra. A szervezetet regisztráló adhat ügykezelői jogosultságot természetes személynek. Ilyen lehet a könyvelő. A könyvelő a saját, személyes ügyfélkapu azonosításával fér hozzá a szervezet cégkapu szolgáltatásaihoz. A kérdés akkor az, hogy a könyvelő miért is kérné (kérhetné) el bárkitől a személyes ügyfélkapu hozzáférését?

Azt hiszem értem, de ha egyéni vállalkozó lennék, akkor biztosan saját kézben tartanám a dolgaimat. Azt gondolom, inkább a rendszer hibája, ha nem hozza létre az egyéni vállalkozók részére a személyes és a vállalkozói tevékenységhez tartozó bürokratikus ügyek intézésének elkülönítését. Ha ez így van, akkor - ahogy írod is - olyan megoldást választ mindkét résztvevő, ami számukra a legkényelmesebb. Még akkor is, ha mindketten tisztában vannak ennek a kockázataival. Ergo, az államnak kellene megteremtenie a megfelelő megoldást.

"Még akkor is, ha mindketten tisztában vannak ennek a kockázataival. "

Az a baj hogy 10-ból kilencen nincsenek tisztában azzal, hogy a teljes üfk+ hozzáférés olyan, mintha egy paksaméta üres A4-es lapot aláírva a könyvelőjének a kezébe nyomna, hogy használja amikor és amire csak akarja. Ugyanis ha Gipsz Jakab identitásával csinál bárki bármit, ahova a KAÜ-s login (üfk+) jó, azért elsődlegesen Gipsz Jakab állampolgár lesz a felelős, és ha ő ezt vitatja, akkor neki kell bizonyítania(!) hogy az identitását nem ő használta fel.

Vmelyik nav fuzetbe benne van, hogy mivel eleve az ev-nel nincs olyan eles hatar a vallalozas es a maganszemelyes dolgok kozott (trivialis pelda: szja), ott nem megoldhato a dolog. Aki ilyet akar, annak jogi szemely kell, ott teljesen elkulonul.

Domain, tárhely és webes megoldások: aWh

Valószínű, hogy a NAV álláspont adózási szempontból megállja a helyét, de szerintem más az ügykezelés kérdése. Azt gondolom a természetes személy saját neve alatt egyik esetben egyéni vállalkozóként jár el, míg magánügyei tekintetében magánszemélyként. Ha jól tudom a gazdasági tevékenysége során fel is kell tüntetnie a nyilvántartási számát és az E.V. jelölést. Talán nem jelentene komoly nehézséget a kettő elválasztása az elektronikus ügykezelésben, ahogy a cégek esetében.

( gabrielakos v | 2024. 11. 16., szo – 14:52 )

TOTP alkalmazással önmagában nem lenne probléma, a látszat ellenére nem kapcsolódik semmihez.
A baj akkor lehet amikor backupolni kellene a TOTP tartalmakat / kulcsokat. 

Gábriel Ákos

Ez is jó lenne, ha nem kerülne ennyibe:

 

Minden második vevő ennyit költ előttem a Aldi-ban. Csipszre és kólára.

Van annak egy diszkrét bája, amikor egy havi 1.5-2 milliót kereső programozó soknak tart 34e Ft-ot egy profi eszközért. Erre mondják, hogy aki rí, attól el kell venni.

( dnes v | 2024. 11. 17., v – 07:45 )

Én "ügyfélkapu+"-ra ezt használom. Nekem bevált.

Vettem párat ajándék gyanánt az említett 1 és 10 profilos eszközökből. Androidos nfc-s telefonról viszonylag egyszerűen programozható token. (Külön szoftver a 2 típushoz.) Sőt, úgy látom az e-személyihez megvett Reiner SCT is viszi.

A gyártói adatlap szerint 4-5 év a tokenek élettartalma. Az viszont nem egyértelmű, hogy time-sync okokból milyen gyakran kell majd újraprogramozni a tokeneket.

( Sanya v | 2024. 12. 07., szo – 05:16 )

Szerkesztve: 2024. 12. 07., szo – 05:17

ki ellenőrzi az appokat?

Ki ellenőrzi az appokat ellenőrzőket?

ki ellenőrzi azokat, akik ellenőrzik az appokat ellenőrzőket?

Ki ellenőrzi azokat, akik ellenőrzik az appokat ellenőrző ellenőrzőket??

Hosszú a sor.