/MEGOLDVA/ Ügyfélkapu+

Az MI ezt dobta:

Az Ügyfélkapu 2025. január 16-tól már nem lesz használható a hagyományos módon. Ehelyett két lehetőség áll majd rendelkezésre az elektronikus ügyintézéshez:

  1. Ügyfélkapu+: Ez egy kétfaktoros azonosítást alkalmazó rendszer, amely már most is elérhető. A regisztráció során hitelesítő alkalmazás (pl. Google Authenticator vagy NISZ Hitelesítő) használatával QR-kódot kell beolvasni. Az Ügyfélkapu+ biztonságosabbá teszi az ügyintézést, és új funkciókat kínál, például valós idejű értesítéseket és központi dokumentumtárat.

A második a DÁP. A hozzáértőket kérdezem, hogy mennyire biztonságosak a hitelesítő appok? Kikik ellenőrzik az appokat biztonság tekintetében? Valahogy nem tudok megbízni egyik olyan szoftverben sem, amit az államapparátus erőltet ránk. 

Mondjuk az egy másik izgalmas kérdés, hogy akinek nincs okos mobilja, az számkivetett lesz?

keepassxc használata megoldás.

Hozzászólások

Szerkesztve: 2024. 11. 16., szo – 08:04

Jézus...

Azért mert van rá lehetőséged, még nem kéne témákat nyitogatni.

Aláírás _Franko_ miatt törölve. 
Jákub egy .
neut @

Bocsánat, de hadd védjem meg kikepzo fórumtársat:
- Ő legalább szakmai topicokat nyit, nem politikait, nem flame-t.
- Témái általában vidám perceket okoznak a tapasztaltabb IT kollégáknak. Amolyan "stand up comedy by HUP". (kikepzo ne értsd félre, nem támadásból, nem gúnyolódásból írom)
- Az ifjú padavanok (akik általában nem mernek megszólalni, kérdezni) is tanulhatnak a topicokból.
- Én speciel hiányolni szoktam a topicjait 2-3 hetente. Amíg nem nyit naponta új témát, addig nem érzem drámainak a helyzetet.

Véleményem szerint.

keepassxc tud totp-t es az opensource, offline app. telefon se kell hozza.

A tanulás is jó megoldás - a TOTP egy jól dokumentált eljárás egy megosztott titok és időpont alapján történő egyedi kód generálására. Ezt akárki kvázi akármilyen nyelven megírhatja - nem az algoritmusban vagy az azt implementáló szoftverben van biztonsági kockázat, hanem a megosztott titok biztonaságos tárolásában azon az oldalon, ami ennek használatával szeretné magát azonosítani. Szóval ebben a 2FA-ban az a kérdés, hogy a secret tárolásában mennyire bízol meg, hogy azt harmadik fél nem tudja megszerezni.
A GA (és a Microsoft authenticator is) képes a "felhőbe" a saját fiókba menteni a secret-et, ami a biztonság egyik "lába" miatt (rendelkezésre állás) jó (mivel van mentésed), a másik miatt (bizalmasság) meg  nem annyira (harmadik félnél is ott van az adat, igaz a felhasználói fiókhoz történő hozzáférés korlátozott, illetve a fiókot kezelő entitásnak nem érdeke az egyén ezen azonosító adatát felhasználni).

Ennél biztonságosabb az, amit a DÁP valósít meg, az ugyanis egy külön csatornán (outband) kérdés-válasz alapon működve a teljes azonosítást elvégzi, nem csak egy második faktort biztosít.

 

"és új funkciókat kínál, például valós idejű értesítéseket és központi dokumentumtárat."

Többek között az ilyen pontatlanságok miatt sem kell komolyan venni ezeket az LLM-en alapuló eszközöket.

Bocsi, hosszú lesz.

Hogy picit a kérdéseidre is válaszoljak:
- A hitelesítő appok pont annyira biztonságosak, mint bármelyik szoftver. Lehet bennük hiba - akár a szoftverben, akár a szoftverfejlesztési folyamatukban, akár a háttérrendszerben, ahová az app ment / dolgozik. Sőt, az appstore-ban is lehet hiba, ami kihasználható.
- Az appok ellenőrzőiről nem sokat tudunk nyilvánosan. Vannak az appstore-ok, amik ellenőriznek bizonyos részeket. Mindemellett egyik appot se láttam eddig, hogy nyilvánosan auditálták volna. Jó lenne, ha ezek az audit jegyzőkönyvek nyilvánosan elérhetőek lennének - és most lóg bilibe a kezem. Másik topicban már pedzegettem a Common Criteria (CC) auditot. Ezen kívül más auditok és plecsnik is léteznek.
- Flame nélkül: az államapparátus kontraszelektált. Nem a legélesebb IT arcok dolgoznak ott - tisztelet a kevés és lelkes kivételnek. A kevés kivétel azok, akik életben tartják az állami / állami kötődésű IT-t. Én pont az államtól várnám el, hogy a legmagasabb minőséget képviselje. Kis pénz + kevés ember + közbeszerzés = kis foci. Én se bízok teljesen az államban, főképp annak néhány képviselőjében. Ezért is kerülöm például a DÁP-ot.
- Okostelefon nélkül is lehet élni. A TOTP tökéletesen működik nélküle. Lehet Ügyfélkapu+-ozni is. Perpillanat. 10-20-30 év múlva ez változhat.

TOTP alkalmazással önmagában nem lenne probléma, a látszat ellenére nem kapcsolódik semmihez.
A baj akkor lehet amikor backupolni kellene a TOTP tartalmakat / kulcsokat. 

Gábriel Ákos