Pedig olvastam több helyen, pl. itt és itt is, hogy "Mától már emailben kapott kóddal is használható lesz az Ügyfélkapu+". Ez a "mától" úgy értve hogy 2025. január 14-től.
Nos, én most próbáltam, 2025. január 14. 21.45-kor, de az Ügyfélkapu+ akitáváláskor nincsen olyan opció, hogy emailben küldjék ki az egyszer használatos jelszót. Csak a QR-kódot megoldás látszik.
Végülis van még idő éjfélig, csak annyit mondtak, hogy 2025. január 14-én kezdik bevezetni. De azért alig több mint 24 óra van már csak átállni, ez így elég utolsó pillanatos.
Tudom, lehet a QR kóddal is, de én email alapút akarok, ha már megígérték. Másnál megy, vagy tényleg utolsó pillanatban fogják ezt csak bevezetni, ha bevezetik egyáltalán? Az idegesít, hogy megígérnek valamit, aztán nem úgy van.
Frissítés: Megoldva, végülis azt ígérték, hogy 2025. január 14-től vezetik be, aztán 2025. január 14. 23:00 órakor be is lett vezetve... 2 perc volt az egészet beállítani, végül így nem kell semmit telepíteni, semmilyen külső alkalmazást használni. Szóval végül sikerült az ügyfélkapu+ aktiválás email alapú megerősítő kóddal. Teszt bejelentkezések is sikeresek.
Hozzászólások
Én is próbáltam... kb. 20 perce és 2 perccel ezelőtt - nem találtam sehol.
nalam az ugyfelkapu+ 503-as hibat dob:
https://ugyfelkapu.gov.hu/elfelejtett-jelszo/totp-torles
503 Service Unavailable
No server is available to handle this request.
https://ugyfelkapu.gov.hu/aktivalas
Itt is ugyanugy 503-as hiba.
yamm:
ha megadod az otp szamot, es utana ki kell pipalni, hogy a torlokodot felirtad, kulonben nem enged a "befejezes" gombra kattintani.
Noh, ha itt megvarod, mig az otp ido letelik, akkor hiaba nyomsz a befejezes gombra, hibaval kiakad:
Ügyfélkapu
Hiba történt! (500)
A kért funkció végrehajtása közben nem várt hiba történt!
Amennyiben a hiba folyamatosan továbbra is fennáll, és ezt jelezni szeretné számunka, kérjük hogy az alábbi információt mellékelje a leveléhez:
Pedig elozo lepesben kellett megadni az otp kodot, itt mar mia f*szert akad ki?
Tisztelettel,
Client Gate Team.
Eszemfaszom.
yamm2: es ki is torli az ugyfelkapu+-bol magat. Lehet kezdeni elolrol. Faszom.
yamm3: nem enged be ugyfelkapu+-szal egyik kormanyoldalra se, pl ide:
https://idp.gov.hu/idp/saml/authnrequest?x=ID_be385b24-b529-4755-94ce-9…
vagy a tarhely.gov.hu -ra.
Nem megfelelő felhasználónév és jelszó, vagy Ön nem jogosult a kiválasztott azonosítási szolgáltatás igénybevételére
Pedig mostmar az emailest is aktivaltam, meg a QR kodost (freeotp+) is aktivaltam.
Van ennek atfutasa? Frankon van egy Marika, aki felirja kockas fuzetbe, es atballag a mainframebe, bepotyogni telneten? Vagy lyukkartya?
Erdekes, az ugyfelkapu.gov.hu-ra se enged be :
hitelesito alkalmazassal: nem megfelelo felh nev vagy jelszo
ugyfelkapu emailes koddal: 404 - az oldal nem talalhato (zold lakat a bal felso sarokban, kozponti azonositasi ugynok) VAGY:
ujbol probalkozva, a regi dizajnu olimpiai falabu palcikaember alatt ennyit ir: sikertelen.
Ugyfelkapu.gov.hu-ra mostmar a regi "ugyfelkapu" opcioval se tudok belepni:
Ügyfélkapu
Sikertelen bejelentkezés!
Lehetséges okok:
Noh jo, jegelem.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Nekem ebben a pillanatban sikerült. Most változott a felhasználói felület is. Szerintem az van, hogy csak az egyik lehet: vagy az email alapú, vagy a hitelesítős-qr-kódos megoldás. Válaszd az egyiket csak és csak azt használd. Elég bonyolult lett a felület, mert külön gombra kell nyomni attól függően, hogy email alapú a belépés, vagy qr-kódos.
mostmar aktivaltam mindkettot, belepni nem tudok.
Amugy jo lesz ez, mert ha ujra szeretnem csinalni, akkor van "torlokodom", de akkor mehetek be szemelyesen kormanyablakhoz aktivalni. Mondjuk belepni lehet a torlokodhoz is be kell.
(bar ha elloptak a mobilt, ugye erre az esetre van a torlokod, akkor nem tud az illeto belepni)
Gondolom a feher boardon jol nezett ki a login flow postitekkel megtuzdelve.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Annyi gépre installálod a TOTP-t amennyire tetszik. Szerintem még ESP32-n is be tudnál vele lépni, ha igényed lenne rá.
Lehet NAV oldalt szkriptezni curl-lel TOTP-nél is, lehet pollozni a tárhelyed és pirosan villogtatni a lámpát a nappaliban, hogy új üzit küldött a kormány és rohanni kell.
Nekem sikerült aktiválni, be is tudtam lépni utána, de nekem sem megy mostmár a belépés. Technikai hiba lehet náluk, hiszen épp most nyúlkálnak bele a rendszerbe, hiszen épp most frissült ezzel az új funkcióval. Szerintem csak próbáld meg újra később.
Karbantartás lehetett, megy már rendesen az aktiválás, belépés is.
Ügyfélkapu, Ügyfélkapu+, ugyfelkapu.gov.hu karbantartás - 2025.01.14
Kezdete: 2025. 01. 14. 21:00
Vége: 2025. 01. 15. 01:00
Érintett szolgáltatások: Központi Azonosítási Ügynök, Ügyfélkapu
Csak akko a vervoros fasznak adnak hataridoket, hogyha nem tartjak az o oldalukat.
Biztos nem voltak felkeszulve, hogy ennyien megrohamoztak a commodore64-uket. Eszemfaszom.
Multkor volt hir, hogy a netflix lehalt 12(?) millio egyideju streamnel(!). Nem egy szoveges lofasznal.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
nem a komodórmegrohamozás, hanem az alusipkások "emailkétfaktorosának" bevezetése miatt
Jaja mindig a masik a hibas.
Hallod holnap van a hatarido, de meg mindig nincsenek keszen az o oldalukkal. De persze en vagyok a hibas egy szemelyben.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
értem
Szeptemberben dáp+, decemberben 2 faktorost is regisztráltam. Az összes családtagom regisztrálta magát így decemberben. Nem, nem figyelik meg a telefonunkat sem a dáp-pal, sem a 2 faktorossak. De az alusipkások vinnyogjanak.
> Nem, nem figyelik meg a telefonunkat sem
Ezért van az összes kivezető út bekamerázva az összes városban. Nem, nem figyelnek meg téged, ezt csak az alusipkások gondolják.
Végülis ki az a hülye, aki azt gondolja, hogy kamerát megfigyelés céljából alkalmaznak?
/o\
_Minden_ kamerát amiatt gyártanak, hogy képet rögzítsenek vele --> megfigyelnek vagy bizonyítékot rögzítenek vele. Igen, az összeset azért gyártják. Szólj ha új ez alusipkásoknak.
Miért pont a kivezető utakat kamerázták be? Miért nem a bevezető utakat? Mert ugyanaz?
Mobilodon leragasztottad már a kamerát?
Poénkodás: Azt mondták, hogy melyik időzóna szerint értendő a 2025. január 14.? :)
Erre szoktam volt mondani: Én nem tudok ígérgetni. Nem vagyok politikus.
2025-ben még az AI mellett is rohadt nehéz dolog kiküldeni egy e-mailt egy kóddal, amit belépésre lehet használni. Tekintettel kell lenni a probléma komplexitására...
Természetes, hogy politikai okokból nem akarnak e-mailt és megvárják, hogy a 99% másra váltson, végül meg az 1% e-mailezhet.
Őket a következő kormányrendelettel fogják kigolyózni, mondván hogy nincs erre igénye a lakosságnak, mert csak 1% használja a szolgáltatást. Költségtakarékosság miatt nekik váltani kell.
Az 1% fele app-ra fog váltani, amikor elkezdi kapni a propagandát email-en.
Értem a szarkazmust, iróniát. 99%-ban egyet is értek vele.
Mindazonáltal sok oka lehet, amiért egy email nem ér célba időben. Az email nem garantált üzenetkézbesítési szolgáltatás. Elakadhat több okból is.
Kíváncsi leszek, hogy mikor jönnek majd az első anyázó blogbejegyzések, hírek, hogy "Az Ügyfélkapu+ még a belépő kódot tartalmazó emailt se tudja időben kiküldeni!".
Freemailra meg citromailra.
2025-ben meg csinálsz egy szabályt, hogy a xyz emailről érkező összes levelet dobja át a könyvelődnek és voilá! Törött a 2 faktoros azonosítás. Ügyes!
Végül 2025. január 14. 23.00 órától bevezették... Csak most épp karbantartás van, lehet már csak reggelre fog menni, de nekem még pont sikerült. Szerkesztés: működik már rendesen.
Nehéz lett volna egy SMS faktort bevezetni. Tényleg, marha nehéz...
Az email olcsóbb a feladónak. Ennyi.
És? Ez egy közszolgáltatás.
Azt ugye nem akarod elhitetni, hogy az SMS szervert bérlők, üzemeltetők stb. is ugyanannyit fizetnek egy SMS-ért, mint a telekommunikációs multik, amennyit fizettetnek érte és nem a töredékét? 🤡
Te még nem láttál magyar politikust sosem?
A 100 Ft/SMS egyáltalán nem lenne szokatlan idehaza.
De láttam és pont ezért nem értem, hogy pl. miért nem vezetnek be egy SMS-faktort és bízzák rá a továbbítását a 4iG által tulajdonolt One-ra 100 Ft/SMS-ért. :P Pontosabban, nem igazán értem, hogy az SMS ára itt miért kifogás.
Akkor legalább lenne értelmes második faktor TOTP-szarakodás, meg e-mail helyett.
sms és biztonság...
Üdv a 21. században.
Bankok, brókercégek is megelégszenek az SMS-hitelesítő kóddal egyébként.
Plusz a szintén állami Magyar Államkincstár is.
Az elmúlt 15 évben bizonyított az SMS, mint biztonságos második faktor.
Mármint nem megfelelő biztonsága
Második faktornak biztonságos, mivel a kétfaktoros azonosítás lényege éppen az, hogy önmagában egy-egy faktort nem tekintünk biztonságosnak. A jelszó ellopható, az SMS elkapható. A kettőt egyszerre, egyidőben ellopni (két külön eszközt feltételezve) viszont rendkívül költséges, így tömegesen nem kivitelezhető, mivel minimum fizikai jelenlét szükséges hozzá, valamint az áldozat földrajzi helyének ismerete.
Ellentétben pl. egy jelszóadatbázis kiszivárgásával és az egyező jelszavak bepróbálásával, akár egy Ügyfélkapun.
Ellentétben egy okostelefonos kártevő tömeges elterjesztésével, ami kompromittálja a DÁP alkalmazást is.
Aki azt gondolja, hogy egy okostelefon biztonságos, mert zárt rendszer és kap frissítéseket, az saját magát bassza át. Konkrétan a Play Store hemzseg a kártevőktől, némelyikük pedig az okostelefont is rootolja, így képes rávenni akár a DÁP alkalmazást is bármire, amire nem szégyelli.
A DÁP-ot (és úgy általában a mobilalkalmazásokat) LeHeTeTlEn kompromittálni! Ezeket nagyon okos emberek fejlesztik, és törhetetlenre csinálják őket. Nézd meg pl. a DÁP-ot fejlesztő idomSoft vezérigazgatóját: olyan okos, hogy még azt sem tudja, hogy léteznek jelszókezelők. Egy ilyen ember vezetésével csak törhetetlen szoftver készülhet. /s (Talán ha csak századannyi időt fordítana tanulásra, mint amennyit a jelek szerint a tükör előtt tölt, szorulna belé némi értelem is. És az ilyenek nem csak céget vezetnek, hanem Digitális Magyarország Ügynökséget is... Kérdés még bárkinek, hogy miért nem akarnak működni a dolgok?)
Valahol olvastam egy cikket, de már nem tudom visszakeresni, arról szólt, hogyan lehet a gyakorlatban lehallgatni az SMS-t. Mindenfelé kellene telepíteni ilyen vevő-tornyokat, akkor talán. Az meg ugye elég feltűnő, meg illegális is. De az sem elég, mellé még a jelszót is el kéne lopni.
Jó persze vannak a SIM-kártyás csalások is, de az sem egyszerű, meg ott is még mellé a jelszót is el kell lopni.
Legbiztonságosabb talán az erős jelszó + hardver kulcs (pl. Yubikey), vagy még jobb ha még a hardver kulcs is kér egy PIN kódot, akkor aztán már három faktor is van. Csak az meg már drága és macerás.
Mondjuk ha tényleg komolyan gondoljuk ezt a digitalizáció dolgot, akkor tényleg ki kéne postázni mindenkinek kártyát, kártyaolvasót, és akkor jelszóval, kártyaolvasó jelszóval és a fizikai kártyával lehessen csak belépni. Persze ez legyen ingyen és működjön minden platformon, asztali Linuxon is.
Igen, ezeket nagyon szépen le lehet demózni, lehet vele influenszerkedni és minimum a Google-nak érdekében is áll, hogy mindenki azt higgye, hogy az SMS-t gyerekjáték lehallgatni, mert így a saját RCS szutykát be tudja erőltetni a piacra és be tudja hozni az Apple iMessage-dzsel szembeni 15 éves lemaradását, versenyhátrányát. Ettől azonban az SMS-t tömegesen lehallgatni rohadtul nem egyszerű (valóban mindenhová lehallgatótornyokat kéne szerelni), így második faktornak biztonságosnak tekinthető.
Ez a rendszer működött is, minden személyi igazolványban ott volt egy chip, amihez mellékelt kóddal lehetett aláírni. Illetve, továbbra is működik azoknak, akik rendelkeznek kártyaolvasóval és 2024. augusztus előtt kiadott személyivel.
https://eszemelyi.hu/kartyaolvasas/
Két lényeges dolog maradt csak el.
Végül tavaly augusztusban egy tollvonással kinyírták a rendszert és jogszabályban tiltották meg, hogy tanúsítvány kerüljön az újonnan kiadott személyikre, favorizálva az okostelefonkényszert hozó, szarul-húgyul implementált, instabil szar DÁP-ot, ami konkrétan kevésbé biztonságos a plasztikkártyába épített chipes aláírásnál, hiszen nincs második faktor, az okostelefon meg nem törhetetlen, ezt csak a multik próbálják elhitetni.
Működik
https://eszemelyi.hu/letoltesek/
Na igen, az Eszemélyi már ott van (volt) mint kártya, ahhoz lehetett volna kártyaolvasót is adni. Észteknél is kártya meg kártyaolvasó van.
Egy átlag felhasználó kínai okostelefonja nem tudom, mennyire biztonságos...
Egymagában egyik okostelefon sem biztonságos, sőt igazából egyik eszköz sem. A multik próbálják lenyomni a piac torkán, hogy nekik szuperbiztonságos eszközeik vannak, de ennek a nagy része marketing bullshit. A Google pl. évek óta képtelen rendet csinálni a Play Store-ban és kiszórni onnan a több tízezer malware appot.
A kétfaktoros autentikáció is csak akkor biztonságos, ha két külön eszköz biztosítja a két külön faktort és ezek az eszközök lehetőség szerint nem kompatíbilisek és/vagy nem kommunikálnak egymással.
Tehát, egy számítógép és egy 2G butatelefon SMS-sel sokkal biztonságosabb kombináció, mint egy okostelefon egymagában.
Szerintem azt nem veszed figyelembe hogy az akármilyen darab információnak van "in flight" és "at rest" titkossága/biztonságossága.
Egy TOTP secretet egyszer kell átküldeni, ráadásul nyilván HTTPS-en jön, ennek ez az "in flight" biztonsága.
"At rest" mondjuk bele van téve a mobileszköz secret store-jába, valamilyen biztonsággal.
Az SMS meg _minden alkalommal_ kódolatlanul jön "in flight".
Gábriel Ákos
Nem ideális az SMS, de szerintem most arról beszélünk, hogy miért lehet email alapon kérni a hitelesítő kódot, miért nem inkább SMS-ben?
Ugye onnan indultunk, hogy csak hitelesítő alkalmazással lehet használni, de aztán rájöttek, hogy ezt nem mindenki szereti / tudja beállítani. Ezen a ponton kellett volna nem az email alapú, hanem az SMS-alapú hitelesítést bevezetni, mint alternatíva. Aztán lehet választani, ki melyiket állítja be. Az emailes kódot szerintem könnyebb elkapni, mint az SMS-t.
Szerintem te nem veszed figyelembe a kétfaktoros autentikáció lényegét. A kétfaktoros autentikáció abból indul ki, hogy külön-külön egyik faktor sem biztonságos. Tehát teljesen felesleges azzal dobálózni, hogy a TOTP secretet milyen szuperbiztonságos™ okostelefonos autentikátor tárolja, miközben ott van plaintextben az SQLite fájlban az alkalmazás tárhelyén a BASE32 secret és bármilyen rooting malware (vagy az autentikátort kompromittálni képes malware) játszva hozzáfér. Legalább is, a szuperbiztonságos™ Google, Microsoft autentikátoroknál így van. Sem az egyik, sem a másik faktort egymagában nem tekintjük biztonságosnak. Tehát egymagában a PC-t sem, az okostelefont sem, az SMS-t sem. Két faktor együtt biztonságos.
Szerintem azt sem veszed figyelembe, hogy egyes támadási vektorok mennyire kivitelezhetők a való életben. Láthattál egy demót az SMS elkapkodásáról, mert a Google ilyenekkel szórja tele az Internetet mostanában, hogy riogasson, FUD-oljon, az RCS szutykát erőltetendő.
Cserébe elég egyszer ellopni, ami Androidos kártevőkkel megvalósítható távolról és egészen a lebukásig használható. Sőt el lehet kapni screenshot-készítő spyware-rel (QR-kód), el lehet kapni malicious Chrome extension-nel is, ami rálát a DOM-ra.
Igen és tart 1-5 percig az érvényessége a kódnak, cserébe minden alkalommal oda kell vánszorogni az áldozat mellé, elkapkodni a hálózatról az SMS-t egy olyan felszereléssel, ami minimum haladó, ha nem professzionális rádiós és telekommunikációs ismereteket igényel.
"...cserébe minden alkalommal oda kell vánszorogni az áldozat mellé, elkapkodni a hálózatról az SMS-t egy olyan felszereléssel, ami minimum haladó, ha nem professzionális rádiós és telekommunikációs ismereteket igényel"
Mert az, aki képes volt a telefonra olyan malware-t telepíteni, ami kikotorja a tárolt secretet, az az SMS-t már nem tudja elolvasni ugyanazon a telefonon. Értem.
Nyomógombos butatelefonra is lehet kérni SMS-t, amin internet sincsen, telepíteni sem lehet rá programokat.
TOTP programot is :)
Jó, én lennék az utolsó, aki ezt választaná, de hát lehet.
Vagy értem, szóval annyira buta telefon, hogy sehogyse lehet rá telepíteni. Akkor tényleg nincs más, mint oda menni mellé ötpercenként.
Vagy... csinál ilyesmit. Vagy ezek közül valamit. Ez mondjuk két perc Google eredménye, és itt el is vesztettem az érdeklődésemet.
SMS kódot többféleképpen el lehet lopni:
- el lehet lopni úgy hogy átíródik az adatbázis és nem a megfelelő számra megy ki eleve
- a küldési útvonalon végig kódolatlan (sms küldő app, hálózat, SMSC, bázisállomás) akármelyik pontján
Nyilván ebből az áldozat semmit nem vesz észre. Nem akkor lopják el amikor te akarnád használni. Hanem amikor ők.
Ennél talán az e-mail csatorna is jobb, az legalább titkosított.
Gábriel Ákos
Az is egy lehetőség ám az sem torony, sokkal kisebb, de van több más megoldás is.
A kedvedért megkerestem egy korábbi gumicsontot: https://hup.hu/node/186353
Lehet vitatkozni, hogy az SMS-es vagy az email-es 2FA kód a problémásabb.
Megfelelő kezekben a jelszóval se lenne gond.
Viszont az eSzemélyi alapú hitelesítés kivezetése a gáz.
Yubikey is addig jó, míg megvan a key. Ha elveszett, akkor elveszett az account is legtöbbször (persze, ilyenkor van egy lejegyzett kód is, ami ugyanabban a táskában volt a telefonon, mint a yubikey. Persze megvan a a google accountomban, de oda meg az a 2 faktoros kell, amit a telefonom generált, meg a yubikeyem. A microsoft authenticator a laptopomat kedden fogja kidobni a megbízható accountok közül, de én csak szerdán érek haza. oá! Sem én, sem senki nem tudja kinyitni, az ám az igazi biztonság :)
Az ajtó, ami előtt megfagysz télen, ha nincs nálad a kulcs :)
Legalább nem mailgun-on keresztül leveleznek mint a DÁP-osok.
Oda már az abuse reportokat is meguntam, az ember azt gondolná, hogy legalább az abuse címet olyan emberek nézik akiket nem akaszt meg, hogy hozzá van csapva az emailhez az aktuális phishing kacat (.eml mellékletként) ami rajtuk keresztül jön, de a válasz
"To resolve this as quickly as possible, can you please send us the full message headers of the email(s) and our abuse team will make sure they stop. Please make sure to paste the header message in the body of the email and not as an attachment. We avoid working with attachments due to security reasons."