Lock screen feloldás meglétének behazudása appoknak

Android

Sziasztok, olyan megoldást keresek, ami be tudja hazudni a telefon egy appjának (spoiler alert: banki app), hogy van valamely titkos feloldás a telefonon, miközben pedig nincsen beállítva ilyen.

Háttér: A legnagyobb magyar bank mobil applikációja ~mostantól már csak úgy hajlandó működni, hogy van a telefonon beállított feloldási zár (PIN, ábra, biometrikus...). Én nem vagyok hajlandó ilyet beállítani a telefonomra, viszont jó volna használni a mobil banki appot.

Ami számomra nem megoldás (mégcsak nem is workaround), szóval nem kell leírni kommentben:

  • "mégis kapcsold be a normál lockok valamelyikét, mert úgy biztonságos!111!!" -> nem akarom, erről szól a kérdésem
  • "biometrikussal (arc, ujjlenyomat) nagyon gyorsan felold, észre sem veszed!" -> ezt egyáltalán nem akarom, nem bízom rá másra a biometrikus azonosítóimat, ha nem muszáj (tudom, így is tudják, de akkor is)
  • "ha nem tetszik, akkor ne használd az appot!!!111!!" -> köszi, de hátha van ennél jobban fekvő megoldás

Amire hajlandó vagyok, ha nem übernagy szívás (de még sosem csináltam egyiket sem): root-olás, magisk (vagy mi) felrakása.
Viszont lehetőleg ne kelljen főzött ROM-ot felrakni, az már nagyon kívül esik a komfortzónámon.

Telo: Poco X5 Pro 5G, Android 14, latest sec update

Ha nincs megoldás a megadott peremfeltételek mellett, akkor lehet, hogy visszaállok SMS-es második faktorra, és bukom a mobilos banki appot. Vagy majd mindig beállítok valami mintát arra az időre, amíg az appot használni akarom. De talán inkább az előbbi.

Köszi!

  • 3994 megtekintés

( zrubi v | 2026. 01. 26., h – 12:15 )

Amire hajlandó vagyok ..... root-olás

És az gondolod, hogy ha egy app a lockolást hiányolja, akkor majd 'eltűri' hogy root-olt telefonon fut?!

 

Lehet, mégiscsak az elveidet kellene felülvizsgálni? ;)

 

.

zrubi.hu

( _Franko_ v | 2026. 01. 26., h – 12:16 )

ezt egyáltalán nem akarom, nem bízom rá másra a biometrikus azonosítóimat, ha nem muszáj (tudom, így is tudják, de akkor is)

Na, akkor ez lesz a megoldás, mert nem bízod rá másra, a telefonon marad és még ott sincs tárolva semmilyen biometrikus paramétered, hanem egy abból derivált sokkal kisebb bitkolbász, amiből nem lehet visszaállítani biometrkus jellemződet.

https://iotguru.cloud

( zeller | 2026. 01. 26., h – 12:38 )

Nincs "ennél jobban fekvő megoldás" - az alkalmazásnak ezt kötelezően kell implementálnia,a hogy a rootolt telefonokat is ki kell tudni zárni a használatból (MNB előírás). 

Tudod az MNB elvárja, hogy a bank védje meg a hülyéket a saját hülyeségüktől is. 

Ja, az asztali gépeden ugye nincs jelszó, és a netbanki felület jelszava ott van elmentve a böngészőben jelszó nélkül, és az sms-t fogadó sim kártya meg a gépre dugott mobilban van, ahonnan bármilyen alkalmazás ki tudja bármikor olvasni... Vagy nem...? 

A feltört telefonra felraksz egy olyan programot mint a banki app, lecseréled a parancsikont,  banki app -ot betöltöd mint egy dll-t, vagy a .so moduljait, vagy elve tudod, hogy hol van benne beágyazott kulcs és csak azt szeded ki belőle, attól függően, hogy hogyan van megírva az app, majd a saját appodat elindítva a felhasználó boldogan beír neked mindent, még az SMS -t is, amit egybként egy másik appal te magad is meg tudsz szerezni, ami hasznos, mert a következő utalás ugyanabban a létező munkamenetben már a te kajmán szigeteki bankszámládra fog menni.

Azt nem mondom, hogy egyszerű, de nem véletlenül léteznek a rosszindulatú szoftverek, ha nem működne a dolog, a fene se írna ilyeneket. Ergo jobb, ha nem törik fel a telefonod user space részét sem.

Form follows function.

Az is. Teszem azt elsőre a hüvelykujjad lenyomatát állítod be, mint biometrikus azonosító. Majd egyszer úgy gondolod, hogy a mutatóujjaddal is szeretnél feloldani. Az már egy második minta. A banki app észleli, hogy kettő azonosító van a telódon. Újra el kell játszani a beállítást, mint az elsőnél. Sőt a banki app nyilatkoztat arról, hogy a telefonon csak a Te ujjlenyomataid vannak.

Pedig ez a normális főleg egy banki alkalmazásban. Az app elmenti a biometrikus tár hash-ét és ha az nem egyezik legközelebb (hozzányúltak, pl. a user tudta nélkül felvették másvalaki ujját is) akkor erről értesiti a usert és újra jóvá kell hagynia az appnak, hogy a jelenlegi bio. tárat használhassa.

Nem tudja a banki app, hogy melyik ujjaddal történt az azonosítás vagy hány ujjlenyomat van tárolva, ha több is fel van véve. Viszont új ujjlenyomat felvétele, meglévő ujjlenyomat eltávolítása invalidálja a keystore-t, ha ezt kéred a .setInvalidatedByBiometricEnrollment(true) használatával (default false).

https://iotguru.cloud

teszem azt root-olod a telefont:

Ilyenkor root-ként futtathatsz olyan appot, ami a hivatalos bankos app memóriáját olvassa/írja/módosítja. 

Ennek a lehetséges következményeit, gondolom nem kell magyarázni...

 

Ez a 'probléma' persze PC-n is fennál, ÉS a játékoknál (éérted?) az 'anti-cheat' szoftver pl nem is engedi elindítani az adott játékot (legújabban pl: Fortnite), ha pl virtuális gépben fut. De van aki továbbmegy, és secure boot, meg egyéb BIOS beállítások meglétét követeli...

 

Én sem értek egyet ezzel a módszerrel, de sajnos nem én fingom a passzát szelet az IT Securty területen ;) - max véleményezem :D

zrubi.hu

az alkalmazásnak ezt kötelezően kell implementálnia,a hogy a rootolt telefonokat is ki kell tudni zárni a használatból (MNB előírás).

Erre vonatkozott a kérdés. Publikus anyagokat kerestem a Magyar Közlönyben (pl. Hpt, 42/2015 Korm. Rend., DORA, stb.), de nyilván átsiklottam felette. A 8/2020 és a 1/2025 MNB ajánlásban a 7.4.4 c pontja szerintem az intézmény saját elérésére vonatkozik (az admin felhasználó tiltása ügyfélgépen netbank esetén szvsz nonszensz).

Az 5/2023-as MNB ajánlás lesz, amit keresel szerintem. 52. pont.

Idézem:

Az MNB az SCAr. 4. cikk (2) bekezdés c) pontja alapján, valamint az SCAr. 6-8. cikke alkalmazásában elvárja, hogy a pénzforgalmi szolgáltató a felmerülő kockázatokkal arányosan korlátozza a sérült integritású (például feltört – ún. rootolt vagy jail-breakelt) többfunkciós eszközökkel végrehajtható fizetési vagy a pénzforgalomhoz kapcsolódó egyéb műveleteket.

Ez hivatkozik a SCAr-ra. Ez az erős ügyfél-hitelesítés. EU 2015/2366 EP irányelv és EU 2018/389 bizottsági rendelet néven találod meg.

Linkek az érdeklődőknek:

Nem, nem vagyok jogász. Csak nyakig benne kellett lennem ebben is egyik munkahelyemen.

( Nyizsa v | 2026. 01. 26., h – 13:03 )

Szerintem két lehetőséged van: rootolni a készüléket, vagy custom ROM-ot tenni rá. A banki alkalmazást egyik esetben sem fogod tudni használni.

Vagyis mégis vedd fontolóra, hogy beállítasz valami screen lockot! Ha ennyire nem érdekel a biztonság, akkor legyen 0000 a PIN, vagy valami hasonló. A 2580 egy lefelé húzással beírható. :))

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

( Sanya v | 2026. 01. 26., h – 13:28 )

Egyik okos a másik után. Az egyiknek két banki appot telepítettek a telefonjára, befotózta a személyijét és a arcképét, majd csodálkozik, hogy a nevében indítottak hitelfelvételi kérelmet. A másik meg informatikai fórumon akar banki appot telepíteni mindenféle védelem nélkül. Mi lesz itt még gyerekek? 

Az oktatási rendszernek ehhez semmi köze. Az, hogy mindig más a hibás az userek marhaságaiért, és senki sem saját magáért felelős, az már inkább probléma szerintem. 

Ha az állam 3 napig magunkra hagyna, nagyon kevés ember tudna magával:

-mit kezdeni

-túlélni

-nem megölni másokat

 

Csak azért, mert nem működik a fasistbook meg a társai, nem tudnak likeolni instán, meg megkérdezni a chatgpt-t, hogy sárga hóból milyen tea lesz. Meg látta korábban az instán, hogy a mackó kedves állat, erdélyben simán lehet őket etetni az út mellett. Meg a szakadék szélén csinálta Jóska a  szelfijét, csinálok már én is egyet, nem lehet baj. Az embereknek nincs félelemérzetük a nagy kényelmes jóban és tényleg, el vannak butulva.

Egyesek pedig nem képesek megérteni, ami oda van írva a képernyőre, és mindenáron kerülő megoldást akarnak keresni, mindeközben zavaros elméleteket kezdenk gyártani a banktól kezdve a telefon gyártójáig mindenkiről. Őket hívjuk konteó-hívőknek.

Az a baj, hogy a saját életedet nehezíted meg, sőt, elvárod, hogy mások ebben segítsenek. Nem ismered a technológiát, nem tudod, mit tud, mire képes, milyen védelemeket ad, és mit lehet egyáltalán megtenni vele, de te kijelentetted, hogy ahelyett, hogy a hiányosságaidat pótolnád, inkább megkerülöd, mert "nehogy már tudjanak róla mmindent", meg "nehogy már egy kis kényelmetlenséget kelljen vállani".

Az én hitem szerint mindenkinek saját, elidegeníthetetlen joga az önnön életét a leghatékonyabban elbökni. Ebben nem tudunk megakadályozni, nem is akarunk. De azt hadd dönthessük már el, hogy akarunk-e segíteni benne.

Disclaimer: én is szenvedélyesen gyűlölöm az összes két faktoros hitelesítést, mert végtelenül kényelmetlen mindegyik. Ezen felül utálom az összes kapcsát, "ember vagy-e" kérdést (nem, egy barnamedve vagyok b+), stb. De vettem a fáradságot, és megértettem, hogy hogyan működnek ezek a dolgok, mennyi esélye van és milyen módon használhatóak ki (legalábbis elméletben), és így már hajlandó vagyok használni őket, mert tudom, mire számíthatok.

Szerintem nformatikusként - de amúgy intelligens emberként is - az a minimum, hogy nem "hitek" meg "teóriák" alapján éljük az életünket az informatikai eszközk között, hanem értjük, hogy - legalábbis nagy vonalakban - hogyan működnek ezek a dolgok. Lehet, hogy most meglepő dolgot mondok, de: az informatika nem mágia. A telefonod, ami ott van előtted, nem rejtélyes kis dobozka, tele bűvös ketyerékkel. De igen, van egy hatalmas akadály: akarnod kell ezt érteni. Nem akarásnak nyögés a vége. Viszont, ha te nyögni szeretnél - hajrá! Akadályozni nem foglak benne.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Na vajon mi lesz itt?

Kurvara erdekes, hogy egyetlenegyszer sem loptak el tolem (banki) penzt, meg egy kartyam sem kompromittalodott az elmult husz evben.
Az OTP szarjai is mukodtek eddig screen lock nelkul idestova tobb eve. Nagyon helyesen ker is egyedi pinkodot szinte minden muvelethez, ami miatt nem reklamalok (plot twist: fejben van a kod, es nem a szuletesi datumom, te kis butus).

Ezek alapjan nagyon kivancsi lennek, hogy mi a faszomert kell feloldanom a telefont napi 50szer, amibol kb napi 0 tortenik az OTP miatt, a tobbi 50 pedig mas miatt. Fel tudnal homalyositani? Koszi.

Vegulis, egymilliard legy nem tevedhet.

és megfelelő biztonságú

Arrol nem is beszelve, hogy a biometrikus azonosito jegyeid nem is cserelhetok, mint lentebb is irtak: ha egyszer kompromittalodik, onnantol kezdve barhol meg tudnak szemelyesiteni.

Birtoklas, es fejben tarolt jelszo. Valojaban ennel nem kell tobb/jobb.

Hát, van egy rossz hírem: az ujjlenyomatod már pusztán attól kompromittálódott, hogy bepötyögted ezt a kommentet ide. Ott hagytad a billentyűzeteden / érintőképernyődön, és ha csak nem tisztítod notóriusan percenként, akkor az bizony bárki számára hozzáférhető. Én a helyedben soha többé nem kommentelnék sehova, ha ennyire félsz a "kompromittálódástól". Azt elő se vegyük, hogy a lakásod ajtaján kívülről mennyire publikus helyen van az ujjlenyomatod, hányszor "kompromittálódhatott" már - anélkül, hogy tudnál róla. És hány sokkal rosszabb ember kezében lehet ott, mint a telefonod gyártója. Igen, lehet ilyesmitől félni, csak ez nem egy racionális félelem.

Vagy, előveheted a józan paraszti eszet is a sifonyérból, és gondolkodhatnál. A biometrikus adat nem olyan, mint egy jelszó, teljes mértékben publikus. Azonban ha ismernéd a tecnhológiát, tudnád, hogy a telefonod nem tárolja a tényleges biometrikus adatodat, csak egy abból készült hash-t, amit megoszt a banki alkalmazással. Ha ez a hash kompromittálódik, az meg cserélhető (másik ujjadat kell használni - ideális esetben van még 9). 

Most biztos sokat egyszerűsítettem a technológiáan, kérlek kedves hozzáértők, ne üssetek ezért nagyot.

De ott van a jelkód/minta lehetősége is, az bármikor szabadon cserélhető, de azt sem akarsz használni - isten tudja miért. Szóval valójában neked nem az a bajod, hogy az adat nem cserélhető, hanem hogy hiszel dolgokat + lusta vagy.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Hát, van egy rossz hírem: az ujjlenyomatod már pusztán attól kompromittálódott, hogy bepötyögted ezt a kommentet ide. [...]

Azt elő se vegyük, hogy a lakásod ajtaján kívülről mennyire publikus helyen van az ujjlenyomatod, hányszor "kompromittálódhatott" már

Pengeeles logikaddal az "ujjlenyomat-takaritas"-tol eljuthattal volna a masik lehetseges megoldasig: ne hasznaljuk arra az ujjlenyomatot, amire nem valo.

Vagy, előveheted a józan paraszti eszet is a sifonyérból, és gondolkodhatnál. A biometrikus adat nem olyan, mint egy jelszó, teljes mértékben publikus.

Na, haladunk.

Azonban ha ismernéd a tecnhológiát, tudnád, hogy a telefonod nem tárolja a tényleges biometrikus adatodat, csak egy abból készült hash-t, amit megoszt a banki alkalmazással.

wtf did I just read. Franko majd kijavit. Mint latszik, uj vagyok a biometrikus azonositas mezejen, de ez meg nekem is ordito baromsagnak hangzik.

az meg cserélhető (másik ujjadat kell használni - ideális esetben van még 9)

Es 9 utan mi a javaslatod? Jelenleg arra hasznaljuk az ujjlenyomatot (jelszo), amire nem valo, es nem arra, amire valo (usernev).

De ott van a jelkód/minta lehetősége is, az bármikor szabadon cserélhető, de azt sem akarsz használni - isten tudja miért

Leirtam mar mashol, nem kivanom napi 50szer feloldani a telefonom (gy.k: nem ennyiszer inditom el a banki appomat, hanem kb 0-szor). A banki app amugyis ker egyedi PIN-t. Ha te szeretsz mintakat rajzolgatni, az a te dolgod, de en nem vagyok erre hajlando.

ne hasznaljuk arra az ujjlenyomatot, amire nem valo.

Pengeéles logika.... Mióta tudjuk, hogy az ujjlenyomat jellemző az emberre, azóta azonosításra használjuk, és senki a világon nem fog megkérdezni téged mi erről a véleményed.
 

nem kivanom napi 50szer feloldani a telefonom

Társadalmi szempontból irreleváns mit nem szeretnél, kaptál pár jó tanácsot, hogyan tudod az életed kevésbé problémássá változtatni. 

Mit értesz kompromittálódás alatt? Valahol, valamilyen tárgyon ott marad az ujjnyomatod? :))

A biometrikus azonosítódat használó eszközben tárolt adat nem alkalmas arra, hogy megszemélyesítsenek. Gondolj rá úgy, mint egy hashre, amit egyirányúan képez egy algoritmus! Nem állítható vissza belőle az eredeti információ.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Itt többen abból indulnak ki, hogy a telefonban tárolt adat alapján kompromittálódik a biometrikus azonosító. Valójában pedig a Facebookrol letoltenek 2-3 profilképet rólad (de lehet LinkedIn is), az ai csinál belőle 3d modellt (ez a lépés akár ki is hagyható), aztán 10 dolcsiert legyartatnak egy viselhető maszkot Kínában a pofaddal.
Profit!

Ujjlenyomattal talán nehezebb, de linkelt itt már valaki mű ujj gyártó egyetemi projektet.

Siman lehet, hogy valamit nem ertek, ugyhogy kifejthetned. Nyilvan kurvara nem vagyok erdekes senki szamara, es szerintem kb csak celzott tamadassal megvalosithato a biometrikus azonositoim fizikailag ellopasa (tehat a FB/linkedin profilkep egy kicsit talan tulzas volt).
Viszont ha megtortenik akar celzottan az ujjlenyomat/arc "fizikai" ellopasa, akkor mar naluk van, es eloallithatnak mu ujjat az en ujjlenyomatommal, meg maszkot az en arckepemmel. Ezek miert nem hasznalhatoak arra, hogy a biometrikusan lockolt telefonomat felnyissak vele? Bonusz: en valoszinuleg nem is tudok rola, hogy a gonoszok meg tudnak szemelyesiteni bimetrikus ertelemben.

szerintem kb csak celzott tamadassal megvalosithato a biometrikus azonositoim fizikailag ellopasa

Célzott támadással se igazán, nagyjából 4-4,5 milliárd ember használ ilyen biometrikus azonosítást, napi szinten több tucat alkalommal és évek óta nincs ezzel igazolt visszaélés (egy csomó hoax kering, nulla valóságtartalommal). Van valamennyi false positive, több nagyságrenddel kisebb arányban, mintha ugyanaz lenne a feloldómintátok vagy PIN kódotok.

Viszont ha megtortenik akar celzottan az ujjlenyomat/arc "fizikai" ellopasa, akkor mar naluk van, es eloallithatnak mu ujjat az en ujjlenyomatommal, meg maszkot az en arckepemmel.

Tudsz ilyen igazolt esetről? Mert ehhez nem elég egy poháron hagyott ujjlenyomat vagy egy fotó az arcodról. Ehhez konkrétan te kellesz ott és akkor, ahol és amíg lemásolnak, ezt meg csak észreveszed, hogy épp ultrahangos felvételt készítenek az ujjadról, és infravörös fényben fotózzák, hogy hol futnak az erek és azok mennyire lüktetnek, meg milyen mélyek a barázdák, hogy az összes szenzor ugyanazt a választ adja; ugyanígy csak észreveszed, hogy épp aprólékosan több percen át 3D szkennelik az arcod lézerrel vagy mikrohullámmal és több hullámhosszon nézik a textúrát és a bőr alatti csontszerkezetet. És még ezekkel se tudják átverni a szenzorokat.

Bonusz: en valoszinuleg nem is tudok rola, hogy a gonoszok meg tudnak szemelyesiteni bimetrikus ertelemben.

Nyilván. De:

a, ezzel csak a te telefonodat tudják nyitni, ami jelenleg amúgy is nyitva van, legalábbis ez a célod, tökmindegy, hogy a gonoszok lemásolták-e az ujjad,

b, ha fizikai valóságban akarnak megszemélyesíteni (például bankfiókban), akkor mindegy, hogy használod-e a telefonon a biometrikus unlock funkciót.

A telefonból nem tudják kilopni ezeket, mert nincs benne se ujjlenyomatod, tehát olyan nincs, hogy ellopják a telefonodat és az ott lévő információból megalkotják a műujjat, ami majd nyitja egy másik eszközöd, vagy örökké nyitni tudja azt, amit biometrikusan lezártál.

https://iotguru.cloud

Van valamennyi false positive, több nagyságrenddel kisebb arányban, mintha ugyanaz lenne a feloldómintátok vagy PIN kódotok

Nem false positive-ra gondolok, hanem fake-pozitivra. PIN es minta cserelheto, ha kompromittalodott, biometrikus nem.

Mert ehhez nem elég egy poháron hagyott ujjlenyomat vagy egy fotó az arcodról. Ehhez konkrétan te kellesz ott és akkor, ahol és amíg lemásolnak, ezt meg csak észreveszed, hogy épp ultrahangos felvételt készítenek az ujjadról, és infravörös fényben fotózzák, hogy hol futnak az erek és azok mennyire lüktetnek, meg milyen mélyek a barázdák, hogy az összes szenzor ugyanazt a választ adja; ugyanígy csak észreveszed, hogy épp aprólékosan több percen át 3D szkennelik az arcod lézerrel vagy mikrohullámmal és több hullámhosszon nézik a textúrát és a bőr alatti csontszerkezetet. És még ezekkel se tudják átverni a szenzorokat.

Ezt nem teljesen ertem, a telefonban sincsenek ilyen bonyolult kutyuk. Emiatt en azt gondolom, eleg az arcomat/ujjamat eppen olyan "bonyolultsaggal" letapogatni majd elkesziteni, mint amilyen pontosan a telefon hardvere fogja letapogatni a feloldas folyamataban. Nyilvan, ha a CIA beengedo ujjlenyomatolvasoja/retinaszkennere szamara kell a celszemelyt megszemelyesiteni, akkor valszleg bonyolult a dolog (mert ok gondolom szofisztikalt hardvert hasznalnak a beengedesre). Viszont ha a telefonom FaceID-jat akarjak atverni, akkor eleg egy olyan kep az arcomrol, mint amilyet a telefonom elolapi kameraja tud kesziteni rolam, es mar mehet is a maszkgyartas.

a,

Nyitva van, de a biometrikus zarast nem is neveznem igazi zarasnak, mert nem igazan cserelheto a "kulcs". A mintat meg lelesik, oke, de meg mindig jobb, mert adott esetben lecserelem.

b,

Igen, fizikailag megszemelyesiteni valoban nehez, szerintem itt most picit offtopik is. A tema a telefon feloldasa megszerzett biometrikus jegyekkel.

A telefonból nem tudják kilopni ezeket, ...

Ezt pontosan ertettem az elejetol kezdve. Teljesen analog azzal, hogy a login provider sem tarolja a jelszot plain-textben, hanem csak a (sozott) hashet.

Inkabb arra akartam terelni az egesz beszelgetest, hogy mivel a biometrikus jegyek materialisak, ezert a valo vilagban "materialis" modszerekkel megszerezhetoek.

Leveszik a whiskys poharrol az ujjlenyomatomat, majd ebbol gyartanak mu ujjat.

Meglepő módon az ujjlenyomat olvasók nem az ujjlenyomat képét használják ehhez, hanem alapvetően az ujjad adott szenzorra jellemző kapacitív mátrix által adott eredményére, pluszban IR fényben a hajszálerek szerkezetére és újabban UH radarképre is (ez utóbbi kettő azt ellenőrzi, hogy él-e az ujj és csökkenti a false positive lehetőségét), amelyek nem képezhetők az ujjlenyomatod ismeretében, de ugye ezt már írtuk.

Lefotozzak az arcomat normalis felbontasban, a beleegyezesem nelkul, es maszkot gyartanak az en arckepemmel, amit a gonosz tamado visel es azzal oldja fel az arczaras telefont.

Meglepő módon nem a FaceIID nem az arcképedet használja, hanem az arcod fizikai formáját, mimikáját, kontúrját, textúráját és pár jellemzőn át azt, hogy figyelsz-e, élsz-e. Nemhogy arcképes maszk nem oldja fel, az se oldja fel, ha nem a "feloldó" mimikával próbálod feloldani.

Tiszta?

Neked amúgy ez tiszta? Mert a jelek szerint nem.

https://iotguru.cloud

PIN es minta cserelheto, ha kompromittalodott, biometrikus nem.

A biometrikus is cserélhető. Mint írtam már többször, nemcsak a letárolt, hanem a szenzorból kijövő biometrikus adat is szenzorfüggő már. Ha teljesen ugyanolyan típusú másik telefonra át is tudod vinni valahogy a secure letárolt biometrikus adatokból derivált bithalmazt, az nem fog nyilni az ujjlenyomadotra és az ujjlenyomatod se állítható vissza ezekből, mert már a szenzorból se kerül bele olyan adat, amiből az ujjlenyomat visszaállítható.

Ezt nem teljesen ertem, a telefonban sincsenek ilyen bonyolult kutyuk.

De, vannak.

Viszont ha a telefonom FaceID-jat akarjak atverni, akkor eleg egy olyan kep az arcomrol, mint amilyet a telefonom elolapi kameraja tud kesziteni rolam, es mar mehet is a maszkgyartas.

Na, ismét egy olyan dolog, amit kb. egy percedbe került volna ellenőrizni, és akkor nem írnál faszságot. A FaceID például 3D letapogatást készít IR lézerrel (bone structure, depth, conturs, satöbbi) és ehhez még textúrális adatokat is hozzárak (bőrszín, egyebek). A szenzorból is már egy derivált adat jön ki, nem kerül sehol letárolásra a 3D mintázat, se a hozzá tartozó kép és ment mimikát is, hogy ne lehessen mondjuk feloldani a telefont, amikor alszol. Kurvára kevés hozzá az, hogy lefotóznak és a fotót valaki az arcára húzza.

A tema a telefon feloldasa megszerzett biometrikus jegyekkel.

Akkor megnyugodhatsz: nem tudják feloldani. De továbbra se értem, hogy miért fontos ez, amikor amúgy sincs a telefonod zárolva.

Ezt pontosan ertettem az elejetol kezdve. [...] Inkabb arra akartam terelni az egesz beszelgetest, hogy mivel a biometrikus jegyek materialisak, ezert a valo vilagban "materialis" modszerekkel megszerezhetoek.

Nem, továbbra se érted.

https://iotguru.cloud

A biometrikus is cserélhető....

Nem cserelheto. Ha valaki ellopja jo minosegben az ujjlenyomatomat (nem a telefonbol!!!! hanem a whiskys poharrol!), azt max ujjlevagassal tudom cserelni.

... A FaceID például 3D letapogatást készít IR lézerrel ...

Valoban, most elolvastam a FaceID-t, tenyleg sok kutyu osszetett kepet keszit. Mondjuk az Androidos telomban nem hiszem, hogy ilyen bonyolultsagu cucc van, de most legalabb ezt is megtudtam. Kar volt idekevernem, az en telom biztosan nem tud FaceId-t.

Nem cserelheto. Ha valaki ellopja jo minosegben az ujjlenyomatomat (nem a telefonbol!!!! hanem a whiskys poharrol!), azt max ujjlevagassal tudom cserelni.

Mint írtam és írtuk már többen is: hiába lopják el jó minőségben az ujjlenyomatod, nem tudják nyitni a telefont.

Valoban, most elolvastam a FaceID-t, tenyleg sok kutyu osszetett kepet keszit.

Na, baszki, nem mondod, négy napon keresztül nagyobbnál-nagyobb faszságok írogatása után vetted a fáradságot és rászántál pár percet arra, hogy a FaceID hogy működik?! :D

 Mondjuk az Androidos telomban nem hiszem, hogy ilyen bonyolultsagu cucc van, de most legalabb ezt is megtudtam. Kar volt idekevernem, az en telom biztosan nem tud FaceId-t.

Na, most már csak azt kellene elolvasnod, hogy az ujjlenyomat olvasás hogy működik és ha azt is megérted, akkor lehet eljutunk oda, hogy zárható a topic.

https://iotguru.cloud

Mint írtam és írtuk már többen is: hiába lopják el jó minőségben az ujjlenyomatod, nem tudják nyitni a telefont.

Véleményed szerint ez is hoax?

https://www.theguardian.com/technology/2013/sep/22/apple-iphone-fingerprint-scanner-hacked

https://www.extremetech.com/extreme/196503-hacker-clones-a-politicians-fingerprint-using-normal-long-distance-public-photos

Véleményed szerint ez is hoax?

Egyrészt 13 éve volt, másrészt nem igazán sikerült másoknak reprodukálni a bravúrt akkoriban se és azóta se. Röviden azt mondanám, hogy nagy valószínűéggel hoax, valamit kihagytak a folyamatból, 15 perc figyelemért. És azóta igen sokat fejlődtek a szenzorok is (lásd mostanában már UH radar is van bennük).

https://iotguru.cloud

Itt egy másik cikk + videó: https://blog.talosintelligence.com/fingerprint-research/

Ha már a CCC nem megbízható neked, akkor talán a Cisconak hiszel.

Szerintem azért nincs nagy publicitása az ujjlenyomatolvasóval való visszaélésnak, mert egyrészt van jobb, más fajta biometrikus azonosítás, másrészt meg ez egy célzott támadás, ahol a támadónak jelen kell lennie.

Semmi szükség ezekre, amíg az áldozat maga telepíti RAT-ot az eszközére, illetve bárkinek megadja a banki adatait.

Ha már a CCC nem megbízható neked, akkor talán a Cisconak hiszel.

Hat éves cikk és akkor se sikerült messze jutniuk, amivel működött, az a konkrét 3D lenyomat (gyurmába nyomott ujj, mint öntőforma), a képből készített 3D nyomatot kézzel kellett javítaniuk addig, amíg végül működött és az is csak az olcsó optikai szenzorokon, és ott is szoftveresen javítani tudta a vendor. El is magyarázzák a cikk közepén, hogy miért kell 3D nyomat, mert három különböző módon mérnek a szenzorok és a végén a cikknek ott vannak a limitációk, ami miatt a laboron kívül mindez miért lesz szopás, ha a laborban amúgy működik.

Szerintem azért nincs nagy publicitása az ujjlenyomatolvasóval való visszaélésnak, mert egyrészt van jobb, más fajta biometrikus azonosítás, 

Mégis a mobiltelefonok ~80 százalékán ujjlenyomat szenzor van... szóval van valami diszkrepancia a szenzációs cikkek és a valóság között.

másrészt meg ez egy célzott támadás, ahol a támadónak jelen kell lennie.

Szépjóreggelt kívánok, épp ez a biometrikus azonosítás lényege, hogy a szenzornál kell lennie vagy a biometrikus alanynak, vagy a támadónak, aki megpróbálja megszemélyesíteni a biometrikus alanyt.

https://iotguru.cloud

Célzott támadással se igazán, nagyjából 4-4,5 milliárd ember használ ilyen biometrikus azonosítást, napi szinten több tucat alkalommal és évek óta nincs ezzel igazolt visszaélés (egy csomó hoax kering, nulla valóságtartalommal).

Erre reagáltam. Egyrészt a 4mrd túlzás, másrészt mutattam két valós példát a visszaélés lehetőségére. Létezik? Igen. Megéri vele foglalkozni? Nem (=nem rád kíváncsiak, csak a pénzed kell).

Amíg nem megfelelő az emberek biztonsági tudatossága, miért foglalkoznának a bűnözők 1-1 telefonnal? Ugyanannyi ráfordításból áldozatok ezreit ki tudják fosztani (Adatot kell egyeztetni; Eladta termékét a Marketplaceen/Jófogáson, írja be banki adatait; Google keresőbe a felhasználó beírja a bank nevét és az első URL-be már megy is a loginja).

Erre reagáltam.

De még mindig ott tartunk, hogy nincs igazolt visszaélés, csak laborban és/vagy kurva régen és/vagy nem publikálták a módját, csak kijelentették.

Egyrészt a 4mrd túlzás, másrészt mutattam két valós példát a visszaélés lehetőségére. Létezik? Igen. Megéri vele foglalkozni? Nem (=nem rád kíváncsiak, csak a pénzed kell).

Miért lenne túlzás a 4 milliárd? 8 milliárd felett van a népesség, ebből ~6 milliárd használ okostelefont, gyakorlatilag a nagyon elmaradott vidéken és az időseknek nincs, mindenki másnak van. Másrészt nem mutatták két valós példát, az egyik egy nem reprodukálható nem publikus kijelentés volt, a másik meg pont arról szólt, hogy igen kevéssé működik és az is csak laborkörülmények között bizonyos szenzorokkal, de minimális hardening után azokkal se.

https://iotguru.cloud

Szeretnélek megnyugtatni, hogy a transzformált adat is adat.

Ennyi erővel a jpeg sem tartalmazza az arcképedet, hiszen az csak egy értelmezhetetlen bináris adatfolyam.

De igazából a lényeg: nem szeretném magamat biometrikusan azonosítani. Ha a házamat egy db. lakáskulcs védi, akkor b*sszus a telefonra legyen már elég egy jelszó.

Oké, de hogy jön szóba a GDPR szerinted, ha még ez a hash se jön ki a hardverből? Az egész úgy működik, hogy van egy hardver, ami fel van tanítva valamilyen bemenetre és annyit csinál, hogy ha valami szigma különbséggel nagyon hasonló bemenet jön, mint amit megtanult, akkor visszaadja azt értéket, amit korábban letároltak benne, fogalma nincs arról, hogy ki a személy, akinek a biometrikus paraméterét megtanulta. Se a bemenet, se a hash nem hagyja el a hardvert, nincs sehol letárolva visszaadható formában személyhez köthető adat. A visszaadott letárolt érték meg nem köthető össze a biometrikus paraméterekkel, mert azok nem jöttek ki a hardverből. Mit akarsz összekötni itt mivel?

https://iotguru.cloud

Sehogy, írtam hogy csak példa. Tessék értő módon olvasni!

Külön dolgokról beszélünk.

Pontosan tudom hogyan működik, nem is ez a kérdés. Szerintem egy szar, és én nem akarnám hogy az én akármilyen személyemhez kötődő adattal azonosítsanak. Eleve nem is szeretném, ha engem azonosítanának, hanem a felhasználót. Az meg akárki lehet. Akár akinek odaadom a kulcsot, jelszót, stb.

Valamikor még ezt meg tudtuk különböztetni.

Pontosan tudom hogyan működik, nem is ez a kérdés.

Pedig úgy tűnik, hogy nem tudod, hogyan működik pontosan.

Szerintem egy szar, és én nem akarnám hogy az én akármilyen személyemhez kötődő adattal azonosítsanak.

Nem azonosítanak azzal, rajtad kívül senki nem tudja, hogy milyen biometrikus azonosítással azonosítottad magad. Az egész annyiról szól, hogy kapsz egy token-t, amit visszaadsz, ha kérik és ezt a token-t egy olyan dobozba teszed, ami biometrikusan azonosít téged. Rajtad és a dobozon kívül senki nem tudja, hogy mivel azonosítottad magad.

Eleve nem is szeretném, ha engem azonosítanának, hanem a felhasználót. Az meg akárki lehet. Akár akinek odaadom a kulcsot, jelszót, stb.

Akárki lehet, akinek a biometrikus azonosítása nyitja a dobozt. Nincs személyhez kötve. A doboz nem tudja, hogy ki a felhasználó.

https://iotguru.cloud

mint pl. a : Mancika1964  ?

A biometrikus adatnak pont az a funkciója, hogy kellő biztonsággal állítható, hogy nem használják a tulajdonos tudta nélkül. Emellett, az elmentett adat ugyanúgy nem jellemzi az embert, csak azt a tulajdonságot hordozza, hogy ő tudja biztosítani. 

Az ujját is levághatják valakinek, illetve ha az illető valamin hagyta az ujjlenyomatát, már nem is kell az ujja. A jelszót csak akkor használhatják a tulajdonos tudta nélkül, ha a tulajdonos azt elmondja valakinek, illetve a tulajdonos nem kap visszajelzést a jelszó használatáról.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az ujját is levághatják valakinek, illetve ha az illető valamin hagyta az ujjlenyomatát, már nem is kell az ujja.

Vagy levágják az ujját, ha nem mondja meg és megmondja, szóval nem ilyesmi ellen véd se a jelszó, se az ujjlenyomat, ha ott vagy a rosszarcú előtt és már az ujjlevágásról egyezkedtek, akkor a jelszót is meg fogod mondani, ilyen ellen nem véd, nem is ez a dolga.

Az ujjlenyomat vagy arc-azonosítás olyan hétköznapi dolgok ellen véd, hogy nem tudják csak úgy lelesni melletted állva, ahogy épp begépeled. Ráadásul nem igazán replikálható egy üvegen hagyott tökéletes ujjlenyomatból se egy olyan mű-ujj, ami nyitja a mobiltelefont, mert lényeges információk hiányoznak az üvegen hagyott ujjlenyomaton... hogy levágott ujj se nyitja már sok-sok éve az ujjlenyomat olvasókat.

https://iotguru.cloud

Szóval te nem veszed észre, hogy az egyik ujjadat levágják?

 

a az illető valamin hagyta az ujjlenyomatát, már nem is kell az ujja.

Tudtam, hogy eljutunk James Bond-ig. Szeretem én is, de tényszerűen a megvalósítástól messze van. 

 

A jelszót csak akkor használhatják a tulajdonos tudta nélkül, ha a tulajdonos azt elmondja valakinek,

Jaj. Nee... kevered a szezont fazonnal, érteni sem érted mire van használva a biometrikus adat, látszólag figyelmen kívül hagyod mire van használva a jelszó, és hogy jelen pillanatban is jelentős visszaélés van a jelszavas bejelentkezésekkel. Szerintem itt értünk olyan pontra, hogy a vitának nincs értelme.

Az a része nem érdekel, hogy vannak hülyék, akik a homlokukra tetováltatják a PIN kódjukat meg a jelszavaikat. Arról beszélek, hogy ha valaki nem akarja másokkal közölni a jelszavát, arra már most is megvan a lehetősége.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A biometrikus azonosítás se jellemzi a személyt, tulajdonképpen ugyanúgy jelszóval megy az azonosítás, csak a jelszót beleteszitek egy dobozba, amit csak te tudsz személyesen kinyitni és amikor elkérik a jelszót, akkor személyesen kinyitod és odaadod a jelszót. Nem jellemzi a személyt.

https://iotguru.cloud

Azt értem, hogy így működik, de ez valójában továbbra sem több, mint az az ígéret, hogy ha egy GUI-n egy grafikus soft kapcsolót kikapcsolok, akkor úttörő becsszóra ki lesz kapcsolva a GPS vevő. Vagy csak én fogom azt hinni. Illetve hát pont én nem. A random felhasználó igen. Ezekkel a technológiákkal ez a baj.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

De ennek semmi köze ahhoz, az állításodhoz, hogy a biometrikus azonosítás jellemzi a személyt, mert nem jellemzi a személyt. Csak nem érted, hogy működik, nemhogy mélységében, hanem felületesen se, és amikor ez a felszínre kerül, akkor jön nálad a terelés.

Amúgy pont az egész GDPR arról szól, hogy ha kikapcsolod a GPS-t, akkor az legyen kikapcsolva; vagy ha biometrikus azonosítást használsz, akkor abból nem derülhet ki biometrikus paramétered, különben kurva nagy büntetést kap az adott cég, de persze ezt nehéz dicsérned, mert ugye szerinted köcsög és semmirekellő EU találmánya.

https://iotguru.cloud

Ti nem értitek, hogy nem az a probléma, hogy ne érteném. Értem, csak továbbra is ott van a lehetőség, hogy a biometrikus adatok kiszivároghatnak. Nem az a kérdés, hogy hash-t képez és hasonlít a szerkezet, de ha a szenzor lát, akkor tehet mást is akár, amit már nem lehet ellenőriznie a felhasználónak.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

hogy a biometrikus adatok kiszivároghatnak

Fizikailag nem reprodukálható a szenzoradatokból az ujjlenyomat, csak az ujjlenyomatból a szenzoradat. Tehát például, ha ráteszed az ujjad egy kapacitív mátrixra, abból lesz egy közel azonos eredményed, de abból nem tudod reprodukálni az ujjlenyomatot. A legtöbb biometrikus szenzor már az olvasásnál fizikailag egyirányú.

Nem az a kérdés, hogy hash-t képez és hasonlít a szerkezet, de ha a szenzor lát, akkor tehet mást is akár, amit már nem lehet ellenőriznie a felhasználónak.

Az a baj, hogy egészen pontosan nulla időt tettél arra, hogy utánanézz a területnek, ehelyett a fehér foltokat színezgeted különböző feltételezésekkel, majd felépítesz az egészre egy légvárat.

https://iotguru.cloud

Fizikailag nem reprodukálható a szenzoradatokból az ujjlenyomat

Azután, hogy abból valamilyen jellemzőt készítettek, mint például jelszóból egy hash. De azelőtt? Sőt, mi van, ha a jelenlegi szenzorral egybeépítenek egy másikat, amely viszont már alkalmas arra, hogy az ujjlenyomatot, mint infót átadja? De tovább megyek, elég a hash, mert nem az az érdekes, hogy hamisítható az ujjlenyomatom, hanem az, hogy az ujjlenyomatomról meg tudják-e állapítani, hogy az az enyém. És nyilván meg, mert a szenzornak éppen ez a dolga.

Tehát ha a hash kikerül, már akkor vesztettem, mert akkor is tudható, hogy azt a bizonyos poharat megfogtam-e vagy sem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azután, hogy abból valamilyen jellemzőt készítettek, mint például jelszóból egy hash. De azelőtt? Sőt, mi van, ha a jelenlegi szenzorral egybeépítenek egy másikat, amely viszont már alkalmas arra, hogy az ujjlenyomatot, mint infót átadja? De tovább megyek, elég a hash, mert nem az az érdekes, hogy hamisítható az ujjlenyomatom, hanem az, hogy az ujjlenyomatomról meg tudják-e állapítani, hogy az az enyém. És nyilván meg, mert a szenzornak éppen ez a dolga.

Na, ismét egy egész bekezdés, ami megelőzhető lett volna azzal, hogy 5 percet tájékozódsz a témában. De nem tájékozódtál.

Tehát ha a hash kikerül, már akkor vesztettem, mert akkor is tudható, hogy azt a bizonyos poharat megfogtam-e vagy sem.

Ez a "hash" eszközfüggő, hiába kerül ki, nem lehet tudni, hogy a tied és hiába van két eszközöd, nem lesz azonos ez a "hash", hiába azonos az ujjlenyomatod.

Komolya: faszé' nem olvasol utána egy kicsit is a témának? Óráid vannak arra, hogy itt faszságokat olvass és írj, de arra nincs pár perced, hogy legalább high-level tudjad, hogy mi a fasz történik például ujjlenyomat olvasáskor? Mondjuk sok mindent megmagyaráz, ha így állsz hozzá az élet minden más területéhez is...

https://iotguru.cloud

Valószínűleg rosszul kommunikálok, ezért nem megy át a mondandóm.

A biometrikus adatok szenzitív személyes adatok. Irreleváns, hogy egy szenzor mennyire biztonságos, irreleváns, hogy mit tesz vele, mert ha bármilyen szenzornak megmutatom a biometrikus azonosítómat, azaz kiadom azt az adatom, akkor már csak az ígéreten, a jóindulaton múlik az, hogy csak azt teszi a szenzor, amit ígér, vagy például nem duplikált szenzor, amiből az egyik az ígértek szerint működik, a másik meg ennél többre képes. Tehát a védelmet az jelenti, ha nem adom ki a rólam szóló szenzitív adatot semmilyen szenzornak.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Valószínűleg rosszul kommunikálok, ezért nem megy át a mondandóm.

Hát, sokat segítene, ha tényleg lenne öt perced, amíg megérted az egész működését, mert úgy nehéz bármiről kommunikálni bárhogy, ha lövésed nincs.

A biometrikus adatok szenzitív személyes adatok.

Tárolva. De nincs tárolva biometrikus személyes adatod, a telefonnak nincs fogalma arról, hogy kinek a milye volt használva.

Tehát a védelmet az jelenti, ha nem adom ki a rólam szóló szenzitív adatot semmilyen szenzornak.

A védelmet az is jelentené, ha tudnád, hogy működi... áh, hagyjuk. A fekete billentyűk hangosabbak.

https://iotguru.cloud

Még egyszer: nem érdekes, hogyan működik, mert működhet másként is. Az, hogy jelenleg tisztességesen működik, senkit nem akadályoz meg abban, hogy holnap kijöjjön egy olyan szenzorral, amelyre ez már nem igaz. Miért kellene utánanéznem a működésének? Csak azt tudnám meg, hogy vannak olyan szenzorok, amelyek tiszteletben tartják a privacy-t, de abból nem következik az, hogy csak ilyenek vannak, vagy csak ilyenek lehetnek.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azért lépj hátra egy picit: ha az lenne a feladatod a munkahelyen, hogy gyűjtsd emberek ujjlenyomatát (becsszó, nem gonosz szándékból) akkor te üvegpohárra, vagy telefonba epitenel okositott szenzort?

Ez egy hamis dilemma... semmilyen eszközöd nincs arra még igen képzett műszerészként se, hogy mobiltelefonba tudj olyan szenzort építeni, amivel gyűjteni tudod az ujjlenyomatot, mert egyszerűen nem fér el, nincs mihez kötni, viszont egy csomó egyéb helyre tudsz tenni saját szenzort, például beléptetésnél, érintőpaneles világításkapcsolók, egér, billentyűzet, PC és nyomtató bekapcsoló gomb, kávégép bekapcsoló gomb és egy csomó dolog, amit üzemszerűen puszta kézzel használsz kamerával is felszerelt publikus területen a munkahelyen. Ezek mindegyikére sokkal egyszerűbb ujjlenyomat szenzort tenni, ami lelopja az ujjlenyomatod, mint egy telefonba.

Itt ismét nem racionálisan átgondolt kockázatelemzés alapján döntesz, hanem ismerethiány miatt szimplán érzelemből, és mondjuk könnyen lehet, hogy ezt ki is használja a háttérhatalom, és nem oda teszi az ujjlenyomat lopást, ahol várod. :)

https://iotguru.cloud

+1

Ha a megfelelő szolgálat meg akarja szerezni az ujjlenyomatod, akkor megszerzi. Pont. Erre megvan a képesség, felesleges vergődni rajta.

Btw előbb fogják összeszedni az ujjlenyomatom egy pohárról, mint a telefonomba beépíteni a malicsusz szenzort, megvárni az adatgyűjtést, majd kioperálni, mindezt észrevétlenül. Most is van otthon pohár az ujjlenyomatommal, mert reggel nem indítottam el a mosogatógépet. 

Bemegy, elvisz egy poharat, kimegy, done. Fel sem tűnne, hogy a 10+ egyforma ikeás pohár közül egy hizányzik. Szerinted baszakodna bárki egy ilyen szenzorral? Ez nem Hollywood.

Ezert telepitenek manapsag is meg kezzel poloskat a haloszobadba pegasus helyett ;)
Ezzel nem azt akarom sugalni, hogy azt gondolom h az iphoned ujjlenyomatolvasojahoz direkt hozzaferese lenne a harombetusoknek - csak annyit hogy inkabb az a Hollywood hogy 007-eseket kuldenek az ikeas poharadert. Emberi ugynokok dragak, kockazatos az alkalmazasuk es keves van beloluk. 
A masik topik tapasztalatai alapjan ahol a delikvens befotozta az arcat es szemelyes iratait majd elkuldte gondolkodas nelkul: minek pazarolnal  human  eroforrast? Kuldesz egy adatbekero emailt, hogy az ujjlenyomatat is szukseges a nyomozashoz azt is csatolja, ha nem tudja otthon rogziteni akkor kuldje az ikeas poharat de az felaras lesz :)

Hát, azon mondjuk pont rágódott a sajtóban a fejes, hogy a ... kialakult körülmények miatt, mondjuk így, mert a politika része rohadtul nem érdekel ... annyi nb-t kell megcsinálni, hogy nem tudnak mindenkinek a seggébe belenézni, és be kéne ezt fejezni, mert ennek spec így semmi értelme.

A képesség része meg... hát, azt meg tudom erősíteni, hogy valószínűleg van, amikor ki is mennek. Mondjuk, hogy mennyire ügyesek, ha a kevésbé high-tech, ellenben 100%-ban biológiai megfigyelőrendszer (aka szomszéd néni) jelzi, hogy volt itt két fiatalember egy autóban, és nagyon néztek befele egy fél órát, azt nem tudom :D

Mondjuk, hogy mennyire ügyesek, ha a kevésbé high-tech, ellenben 100%-ban biológiai megfigyelőrendszer (aka szomszéd néni) jelzi, hogy volt itt két fiatalember egy autóban, és nagyon néztek befele egy fél órát, azt nem tudom :D

Nekem volt ilyen, épp költöztem új lakásba, pár hete lakhattam ott, amikor kimentek megkérdezni a szomszédokat, hogy mit tudnak rólam, azok meg alig tudtak valamit... de... :D

...de: előző éjjel, mint ahogy kiment két NBH-s rólam kérdezni, feltörték a folyosón a rácsot és a szomszédnak ellopták két biciklijét, nekem meg két téligumit, amit a folyosó végén tároltunk. Na, én ugye nem tudtam, hogy kimegy két NBH-s, a szomszéd meg azt hitte, hogy olyan magas kapcsolataim vannak, hogy egy lopás miatt az NBH jön nyomozni, az NBH-s arcok meg nem értették gondolom, hogy a szomszéd miért akar a lopásról beszélni, de valahogy lement a dolog... fél éven át messziről előre köszönt mindenki, amikor kiderült, hogy amúgy feljelentést nem tett senki a lopás miatt, mert a szomszéd azt hitte, hogy én szóltam a rendőröknek, én azt hittem, hogy a szomszéd szólt, mert két nyomozóról beszélt este...

Amúgy átmentem a vizsgálaton... :D

https://iotguru.cloud

nb az picit tul van dimenzionalva az emberek fantaziajaban a transzgeneracios traumak miatt, de manapsag erossen le van gatyasodva.
 

valoban kimennek, de be mar nem mennek - az atvilagitas hangzatos, de azt hogy alulfizetett burokratak rutinszeruen vegigtoljak az adminisztrativ processzt (amit az esetek donto tobbsegeben elore tud a "megfigyelt") igen tavol esik a Hollywoodi jelenetektol. 

Nagyon nehéz elhinni, hogy nincs (szoftveres) hátsó ajtó abban a szenzorban, amit a három betűs szervezetek használhatnak. Szóval nem kell másik hardver, jó az, ami benne van, csak okosban kell használni.

Amúgy jók az alternatív példák is. De ezek is csak azt erősítik, hogy az ujjlenyomatot kb semmire sem érdemes használni. Könnyebben lophato, mint a jelszavam.

Szerintem irrelevans a szamitogepek jelenlegi mukodese, mindig lehet csinalni masmilyent.

Szerintem irrelevans a mikrocsipek mukodese, hiszen mindig lehet csinalni masmilyent.

Szerintem irrelevans levegot venni, hiszen mindig lehet masmilyen gazt lelegezni.

En komolyan nem ertem, amugy egy ertelmes okos ember vagy, raadasul ilyen muszereszeti dolgokban nem is kispalyas, es ilyenek kiesnek a billentyuzetedbol? Nem, egyszeruen nem fogom fel.

Persze, mindig lehet mindent is. Lehet, hogy holnap reggel a holdon fogsz setalni. Csak epp felettebb valoszinutlen.

Ha masert nem, hat azert erdemes utana olvasni ennek, hogy ertsd a technika mostani korlatait. Ez behatarolja, hogy most milyen masmilyen szenzort lehet csinalni. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Kevésbé bízom a folyamatokban, és szerintem helyesen teszem. Nagyon sok visszaéléssel találkozom. Nem azért, mert szerencsétlenebb vagyok másoknál, hanem azért, mert jobban figyelek. Másokkal is megtörténnek a visszaélések, csak nem veszik észre az érintettek, boldog tudatlanságban élnek. Nem úgy állok a világhoz, hogy ugyan, mi baj lehet, pipáljuk be az adatvédelmi nyilatkozat elfogadását olvasatlanul. Vagy elolvasom, vagy nem veszem igénybe a szolgáltatást. Sokszor ez utóbbi. Nincs gmail-es címem például. De nyáron, amikor eszem a hekket, elkezdem oszthatósági szabályok alapján visszaszámolni, hogy akárhány dkg volt a hal, a mérleg 1 g-os felbontása esetén semmiképp sem jöhetett ki az az ár, amit fizettettek. Rengeteg ilyen van egyébként. Csak figyelni kell. A világ, a benne lévő csalók sokasága nem szolgált rá a bizalmamra, ezért nem is bízom bennük. Az is kedvencem, amikor részösszegeket kerekítenek, meg az is, amikor kártyás fizetésnél mindig 5-tel osztható végösszegek vannak. A nem tárázott, nem 0-ról induló mérlegek is izgalmasak.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azt nem értem, hogy jön ez ide? Nem lehet az alá az üveglap alá betenni egy infravörös kamerát például?

Ti folyamatosan az ujjlenyomatolvasók működéséről beszélek, én meg arról, hogy ez teljesen lényegtelen, mert lehet olyan szerkezetet csinálni, ami másként működik.

Ha most az lenne a fejlesztési feladat, hogy csináljuk ezt meg, akkor a kollégáimmal elkezdenénk ezt fejleszteni. Mi ennek megértésén annyira bonyolult? Hogy a fenébe jönnek ide egyáltalán az ujjlenyomat olvasók? Arról beszélek, hogy nem taperol az ember ilyen felületet, mert akár duplikált szenzor is lehet az üveg alatt. Gondolom, azzal sem mondok újat, hogy voltak kijelző mögött megbújó kamerákra fejlesztési kísérletek, bár az utóbbi időben kikerült ez a sajtóhírekből.

Még mindig ott tartok, hogy annak a lehetőségét sem kell megadni egy olvasónak, hogy rögzítse az ujjlenyomatot. Ez úgy érhető el, ha nem mutatjuk meg neki az ujjat. Semmi köze ahhoz, hogyan működik általában egy ujjlenyomat olvasó.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem lehet az alá az üveglap alá betenni egy infravörös kamerát például?

De minek? Értékelhető (másolható) képet nem fog generálni. Ez olyan mintha azzal érvelnél, hogy jelszó felvételénél azt közvetlenül elküldik kódolás nélkül egy központi adatbázisba. 
Szerinted, ha találnának egy olyan telefont ami ilyet csinál meddig lehetne polcon tartani? 

A hülye szalmabábodat meg nem csapkodom. 


 

Arról nem beszélve hogy nincs is értelme az adatokat védeni, amelyek biometria, pin vagy bármi véd, mert az összes szolgáltató (bank, telkó, kórház stb.) és az összes eszköz (PC, telefon, TV, hajszárító) , eleve be van kötve a zsidók/CIA/ufók/kinaiak (nem kivánt törlendő) tibetben felépített super adattároló központjában. 

Az imamalmokat szerinted minek forgatják? Onnan megy az energia az szerverekhez!

Jalos

Igen, ez pont olyan. Mivel az MS az adatvédelmi szabályzatában világosan nyilatkozik arról, hogy gyűjtik a jelszavakat, éppen ezért nem lépek be windows-os gépről távoli gépre WSL-en sem linuxos gépre. Csak eljutunk oda, hogy kezded érteni a problémát.

Míg jelszóból használhatok olyat, amelyet windows-os gépen használok kizárólag, ha az ujjlenyomatomat használnám pl. Androidos tableten, telefonon, azt úgy kell tekinteni, hogy kompromitálódott az ujjlenyomatom, azaz közkinccsé vált.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mivel az MS az adatvédelmi szabályzatában világosan nyilatkozik arról, hogy gyűjtik a jelszavakat

Tudnád ezt idézni, linkkel? És nem arra a részre gondolok, hogy amikor böngészőből belépsz az outlook.com -ra, akkor beírod a jelszavadat, amik alapján ők beléptetnek. És nem is a böngészőjükben esetleg használt jelszókezelőre. Hanem amit te sugallsz, hogy teljesen más szolgáltatásokhoz tartozó jelszavaidat ők kéretlenül jól elmentik maguknak valami apróbetűs rész alapján.

Részlet:

Az általunk gyűjtött adatok a következőket foglalhatják magukban:

Név és kapcsolattartási adatok. Az Ön vezetékneve és utóneve, e-mail-címe, postai címe, telefonszáma és egyéb hasonló kapcsolatfelvételi adatai.

Hitelesítő adatok. Jelszavak, jelszó-emlékeztetők, valamint a hitelesítéshez és fiókeléréshez használt hasonló biztonsági adatok.

Demográfiai adatok. Az Ön életkorával, nemével, országával és választott nyelvével kapcsolatos adatok.

Fizetési adatok. A fizetések feldolgozásához szükséges adatok, ideértve a fizetési eszköz (például hitelkártya) számát, valamint a fizetési eszközhöz társított biztonsági kódot.

Előfizetési és licencelési adatok. Előfizetésekkel, licencekkel és egyéb jogosultságokkal kapcsolatos információk.

Interakciók. A Microsoft-termékek Ön általi használatával kapcsolatos adatok. Bizonyos esetekben, például keresési lekérdezésekben ezeket az adatokat Ön adja meg a termékek használatához. Más esetekben, például a hibajelentésekben mi hozzuk létre ezeket az adatokat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szerintem te nem tudsz szöveget értelmezni. :)

Az a helyzet, hogy bármelyik weboldal, ahol valaha jelszóval beléptél, legalább egyszer megismerte a jelszavadat, validálta is azt, hogy elég hosszú és elég változatos, szerver oldalon, mert kliens oldali validációban nem hiszünk, majd készít róla egy hash-t. Ha nem ismerné meg legalább egyszer, akkor nem tudnál jelszóval belépni, viszont GDPR miatt ezt ki kell írni az adatvédelmi szövegekben és ha a tisztelt user nem túl okos, akkor erre azt hiszi, amit most te is.

https://iotguru.cloud

Újra elolvastam, szerintem igazam van. Segíts konkrét idézetekkel és magyarázatokkal, amely szerint az MS a jóhiszemű feltételezésed szerint nem gyűjti a jelszavakat, miközben oda van írva, hogy de. Tényleg érdekel, hogyan sikerült neked erre a következtetésre jutni!

https://www.microsoft.com/hu-HU/privacy/privacystatement/

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

En szerintem tudom a feloldasat a dolognak.

Asszem az van, hogy az One Drive kepes a Windows jelszotarolojat szinkronban tartani gepek kozott (pl wif jelszo). Ez korulbelul a Chrome Password Managerenek felel meg.

Akkor mondom, hogy kell ezt olvasni jogi bikkfanyelven: Gyujtik es taroljak azokat a jelszavakat, amiket elmentesz szant szandekkal a WIndowsban. Ez egy szolgaltatas.

Mondom hogy lehet megkerulni: nem mentesz el jelszavakat a WIndowsban. 

Nem arrol van szo, hogy a kicsi narancshaju torpe ul a gepedben, es figyeli, hogy az xvideos -on mi a jelszavad.

Ja, varj, tudom: mindegy, hogy hogy mukodik, hiszen mindig lehet csinalni mashogy!!! 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Akkor mondom, hogy kell ezt olvasni jogi bikkfanyelven

Nem, te megint azt mondtad, hogy miként lehet ezt jóhiszeműen olvasni.

Nem arrol van szo, hogy a kicsi narancshaju torpe ul a gepedben, es figyeli, hogy az xvideos -on mi a jelszavad.

Nyilván nem erről van szó, de ha holnap lebukik a kis narancs hajú törpe, akkor simán takarozhatnak az elfogadott eula -val.

Tegyük fel, hogy Windows-on WSL alól ssh-zol egy másik linuxos gépre. Az adatvédelmi szabályzat sehol sem állítja, hogy ezt a jelszót az MS nem gyűjti be. Jogodban áll jóhiszeműséget feltételezni az MS-ről, de én nem teszem ezt. Sok lebukás volt már ebben a szakmában, ami után maszatolás meg elnézést kérés volt, de ez nem teszi meg nem történtté ezeket az incidenseket. Egyébként az USA-nak érdeke valóban gyűjteni a jelszavakat, ha be akarnak menni valahova, legyen hozzá táblázatuk. Azt meg engedjük el, hogy az a demokratikus állam ilyet sose tenne. Venezuela, Irak, Irán olaja, Grönland, Kászim Szulejmáni, az oroszok elleni proxy háború, a demokrácia exportok, Vietnam, 1945. augusztus 6-a és 9-e, stb.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tegyük fel, hogy Windows-on WSL alól ssh-zol egy másik linuxos gépre.  Az adatvédelmi szabályzat sehol sem állítja, hogy ezt a jelszót az MS nem gyűjti be.

Az egész adatvédelmi szabályzat blokk, amit idéztél és ahonnan indultunk a Microsoft-fiókra vonatkozik. Annak a jelszavát használod SSH-n? Ha igen, akkor az SSH-tól függetlenül legalább egyszer tudnak a jelszódról. Ha nem, akkor meg nem tudnak az SSH jelszavadról.

Szövegértés. Ennyi hiányzik nálad.

https://iotguru.cloud

Azon túl, hogy rágalmazol, érved is van? Meg tudod mutatni, hogy hol van az a szövegrész, amelyből szerinted ez kizárólagosan a Microsoft-fiókról szól, és ami alapján ezt nem lehetséges kiterjesztően értelmezni?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azon túl, hogy rágalmazol, érved is van?

A tények leírása mióta rágalmazás? :D

Meg tudod mutatni, hogy hol van az a szövegrész, amelyből szerinted ez kizárólagosan a Microsoft-fiókról szól, és ami alapján ezt nem lehetséges kiterjesztően értelmezni?

Úgy, hogy nem tudsz szöveget értelmezni. Az, amit idéztél a linkelt doksiból, az egy értelmező és magyarázó felsorolás, hogy milyen személyes adatokat gyűjthetnek, és azok mit jelentenek, majd utána ott van termékenként és szolgáltatásonként, hogy konkrétan hol és mit gyűjtenek.

Ez szépen le van írva a blokkban, ahonnan idéztél, de nem idézted be, szóval beidézem helyetted: "Önnek jogában áll dönteni az Ön által használt technológiával, illetve az Ön által megosztott adatokkal kapcsolatban. Ha Önt személyes adatainak megadására kérik, azt visszautasíthatja. Számos termékünk bizonyos személyes adatok megadását igényli ahhoz, hogy megfelelően működjön és szolgáltatást nyújtson Önnek. Ha azonban úgy dönt, hogy nem adja meg a termék vagy szolgáltatás megfelelő működéséhez és biztosításához szükséges adatokat, nem tudja majd használni az adott terméket vagy szolgáltatást."

És: "Az általunk gyűjtött adatok köre attól függ, hogy milyen kontextusban lép kapcsolatba a Microsofttal, és milyen döntéseket hoz (például milyen adatvédelmi beállításokat alkalmaz), illetve milyen termékeket és szolgáltatásokat vesz igénybe, továbbá függ az Ön tartózkodási helyétől és a vonatkozó jogszabályoktól."

Jön az értelmező felsorolás, amiből idéztél, majd: "Az alábbi termékspecifikus szakaszok leírják a termékek használatára vonatkozó adatgyűjtési eljárásokat."

És akkor szépen megnézed, hogy hol kezelnek vagy tárolnak jelszót, és rá fogsz jönni az egyik a Microsoft-fiók, a másik a Vállalati-fiók, a harmadik meg a jelszótároló a böngészőben. Ezen kívül ilyen említések vannak: "Ha konfigurálni szeretne egy fiókot, meg kell adnia a fiók hitelesítő adatait (például a felhasználónevet és a jelszót) az alkalmazás számára, amelyeket a rendszer az interneten keresztül küld el a külső szolgáltató kiszolgálójára"

Szóval az nettó faszság, hogy majd az SSH jelszavadat lelopják, egyszerűen az van, hogy nem tudsz szöveget értelmezni, ami nem lenne baj, a baj az, hogy ezt büszkén hirdeted is.

https://iotguru.cloud

A gondolataid nem válnak attól tényekké, hogy leírod azokat.

Önnek jogában áll dönteni az Ön által használt technológiával, illetve az Ön által megosztott adatokkal kapcsolatban.

Ez igaz. Tehát, ha nem használom a WSL-t, ott nem írok be jelszót, akkor az nem lesz begyűjtve.

Ha Önt személyes adatainak megadására kérik, azt visszautasíthatja.

Ez is igaz, csak akkor nem fog beengedni a távoli gép, amelyre ssh-val mennék.

Számos termékünk bizonyos személyes adatok megadását igényli ahhoz, hogy megfelelően működjön és szolgáltatást nyújtson Önnek. Ha azonban úgy dönt, hogy nem adja meg a termék vagy szolgáltatás megfelelő működéséhez és biztosításához szükséges adatokat, nem tudja majd használni az adott terméket vagy szolgáltatást.

Ez logikus, de ezzel nem vagyunk előrébb az adatgyűjtés tekintetében.

Az általunk gyűjtött adatok köre attól függ, hogy milyen kontextusban lép kapcsolatba a Microsofttal, és milyen döntéseket hoz (például milyen adatvédelmi beállításokat alkalmaz), illetve milyen termékeket és szolgáltatásokat vesz igénybe, továbbá függ az Ön tartózkodási helyétől és a vonatkozó jogszabályoktól.

Igen, csak ezt a függvényt nem ismerjük. Lehet egy egységmátrixszal való szorzás is, azaz a nem függ tőle a függés speciális esete, valamint függhet úgy is, hogy páros napokon a jelszavak azon részét gyűjtik, amelyek 0x00-0x3f kódú karakterrel kezdődnek, páratlan napokon pedig a 0x40-0x7f kezdetűeket.

megnézed, hogy hol kezelnek vagy tárolnak jelszót

Ezt nem tudjuk, ez továbbra sem több jóhiszemű vélelmezésnél részedről.

Ha konfigurálni szeretne egy fiókot, meg kell adnia a fiók hitelesítő adatait (például a felhasználónevet és a jelszót) az alkalmazás számára, amelyeket a rendszer az interneten keresztül küld el a külső szolgáltató kiszolgálójára

Ebből viszont egy pillanatig sem következik az, hogy mi történik az összes többi jelszóval.

Nem azt mondtam, hogy az adatvédelmi szabályzatban foglaltak hamisak, hanem azt, hogy abból nem következik, hogy nem gyűjtik a jelszavakat, sőt, explicit le van írva, hogy gyűjtik azokat. Is, meg lényegében mindent. Kapcsolati hálót, lokációt, sőt, harmadik féltől is bármit.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezt nem tudjuk, ez továbbra sem több jóhiszemű vélelmezésnél részedről.


De, tudjuk, pontosan le van írva az általad linkelt szabályzatban, amiből csak a magyarázó listát idézted be. Még mindig te vagy az, aki nem tudja értelmezni a szöveget.

Nem azt mondtam, hogy az adatvédelmi szabályzatban foglaltak hamisak, hanem azt, hogy abból nem következik, hogy nem gyűjtik a jelszavakat, sőt, explicit le van írva, hogy gyűjtik azokat. Is, meg lényegében mindent. Kapcsolati hálót, lokációt, sőt, harmadik féltől is bármit.

Az adatvédelmi szabályzatban foglaltak igazak és még mindig az látszik, hogy nem tudsz egyszerű magyar szöveget értelmezni és ebből adódóan vagy tudatlanságból vagy szándékosan nem érted a leírtakat.

https://iotguru.cloud

Nézd, innen nézve neked van hited ezen a téren, amit próbálsz racionalizálni, csak amivel és ahogy racionalizálni próbáltad, azzal konkrétan objektív szövegértési problémáid vannak. És mivel ezen gyakorolt hited adja az identitásod egy jelentős részét, ezért mindenáron a valóságot próbálod meghajlítani azzal, hogy egy komplett jogi szövegből olyat emelsz ki, ami nem is arról szól, amit alá szeretnél támasztani.

Amúgy nekem nincs bajom a hiteddel, csak ne propagáld, ha meg propagálod, akkor viseld el a kritikát meg azt, hogy adott esetben hülyének néznek, ha olyannal akarod alátámasztani, amivel nem lehet...

https://iotguru.cloud

Azzal nincs dolgom, hogy ki néz hülyének, hiszen ehhez bárkinek joga van, nem az én kompetenciám. Innentől kezdve nem foglalkozom ezzel a kérdéssel.

Viszont az a helyzet, hogy ideidézted, szerinted mi bizonyítja azt, hogy az MS nem gyűjti a jelszavakat - annak ellenére, hogy ők maguk írták, hogy gyűjtik -, majd mindegyikre adtam magyarázatot, hogy az miért nem bizonyíték, majd megint előhozakodsz az eredeti hülyeségeddel, hogy azt nem úgy kell értelmezni. Pedig bizony úgy kell értelmezni, ahogy írva van, nem pedig jóhiszeműen, naivan úgy, ahogyan azt látni szeretnéd.

Ha valamiről azt állítjuk, hogy az nem fehér, azzal nem azt állítjuk, hogy fekete. Az attól még lehet kék is, mi több, semmit nem mond az egyéb tulajdonságárol sem az állítás, tehát ha valami nem fehér, az lehet például forró. Csak beleképzeled, hogy mire kellene gondolni, noha az az állítás már nincs ott. Jó példa erre, amikor az MS azt írja, hogy ezek függenek attól, miként és milyen szolgáltatást veszel igénybe, de a függvénykapcsolat már nincs odaírva. Ezzel megvezetik a gondolatodat, miközben nyitva hagyja annak lehetőségét, hogy a leírás alapján bármilyen jelszót gyűjtsenek.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Viszont az a helyzet, hogy ideidézted, szerinted mi bizonyítja azt, hogy az MS nem gyűjti a jelszavakat - annak ellenére, hogy ők maguk írták, hogy gyűjtik -, majd mindegyikre adtam magyarázatot, hogy az miért nem bizonyíték, majd megint előhozakodsz az eredeti hülyeségeddel, hogy azt nem úgy kell értelmezni. Pedig bizony úgy kell értelmezni, ahogy írva van, nem pedig jóhiszeműen, naivan úgy, ahogyan azt látni szeretnéd.

Konkrétan leírták, hogy mikor és milyen jelszót gyűjtenek, amiket meg te leírtál, hogy te mit hiszel a saját vallásod szerint, azok nincsenek benne ezekben a konkrét esetekben. Még mindig az van, hogy hülye vagy a témához és nem vagy képes leírt szöveget értelmezni, nem vagy képes megérteni, hogy hol van a hiátusod, és ezért még mindig ott tartasz, hogy egy preambulumban felsorolt magyarázó listát úgy értelmezel, hogy az generális érvényességű, pedig az is le van írva ebben a preambulumban, hogy a konkrétan használt személyes adatok az egyes szolgáltatásoknál vannak felsorolva.

Ha valamiről azt állítjuk, hogy az nem fehér, azzal nem azt állítjuk, hogy fekete.

Ehhez kellene értened, hogy mi az a szín, mi a fehér és mi a fekete. De te úgy futsz neki már sokadjára ilyen témáknak, hogy nem tudod mi az a szín, mi a fehér és mi a fekete, és nulla percet töltesz azzal, hogy legalább alapszinten képezd magad, ehelyett faszságokat írsz lendületből.

Figyelj kérdezek: van egy sorozatgyártott kütyüd, amin van egy billentyűzet, a felhasználónak pedig be kell írnia egy jelszót a kütyü használatához, ezzel a sorozatgyártott kütyüd minden egyes alkalommal megismeri a felhasználók jelszavát, amikor azok azt begépelik a belépésnél, így kell a kütyüd mellé egy privacy policy statement, amiben le kell írnod, hogy milyen személyes adatokat ismerhet meg a kütyüd, tehát felsorolod többek között a jelszót is, leírod hogy mi az a jelszó és leírod, hogy csak a kütyüre való belépési folyamat során van használva. Ha erről a kütyüről a felhasználó belép egy másik gépre más jelszót használva, akkor hogy tudod leírni a privacy policy statement dokumentumodban, hogy nem tárolsz és nem kezelsz semmilyen más begépelt jelszót, csak a kütyüre való belépésnél?

https://iotguru.cloud

Csak a végére, mert annak még van értelme. Azt kellene leírni, hogy semmilyen jelszót nem gyűjtünk, kizárólagosan a kütyü által biztosított szolgáltatáshoz való belépéskor ismerjük meg azt a jelszót, ami a belépés alkalmával be lesz írva. Semmi mást, soha, akkor sem, ha a login előtt vagy után folyamatosan jelszavakat írogatnak be a billentyűzeten éjjel-nappal. Az MS ezzel szemben azt írta, hogy mindent gyűjt, majd utal arra, hogy ennek mikéntje függ attól, mit, mikor, hogyan veszel igénybe, miközben az egzakt függvénykapcsolat nagyvonalúan nincs megadva, tehát bárhogyan lehet, beleértve a mindig, mindent, mindenkor esetet is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azt kellene leírni, hogy semmilyen jelszót nem gyűjtünk, kizárólagosan a kütyü által biztosított szolgáltatáshoz való belépéskor ismerjük meg azt a jelszót, ami a belépés alkalmával be lesz írva.

Ezt úgy kell írnod, hogy gyűjtöd, hiszen olyan helyre kerül, amihez a felhasználónak nincs ráhatása.

Az MS ezzel szemben azt írta, hogy mindent gyűjt, majd utal arra, hogy ennek mikéntje függ attól, mit, mikor, hogyan veszel igénybe, miközben az egzakt függvénykapcsolat nagyvonalúan nincs megadva, tehát bárhogyan lehet, beleértve a mindig, mindent, mindenkor esetet is.

Nem, nem írja ezt. Te érted úgy, hogy ezt írja, mert nem érted a leírt szöveget, egészen pontosan le van írva az egzakt függvénykapcsolat az adott termékeknél.

https://iotguru.cloud

Jah, ha meg a user véletlenül rossz helyre írja be a jelszót, és valami logger benyalja, akkor meg mehetsz kártérítést kérni, nem?

Szerinted hány olyan logbejegyzést láttam már, hogy "failed login with usernévP1N4!123", mert a delikvens elfelejtett tabot nyomni a két szövegmező között?

Mondjuk direkt kértem, hogy ne arra vonatkozó részletet linkelj, ami a Microsoft saját fiókjához való bejelentkezési jelszóra vonatkozik. "Ön ezen adatok némelyikét közvetlenül adja meg, például amikor létrehozza a Microsoft-fiókját, kezeli a szervezetének licencelt fiókot". Milyen meglepő, hogy az odakerül hozzájuk...

például amikor létrehozza a Microsoft-fiókját, kezeli a szervezetének licencelt fiókot

Ez egy ügyes megfogalmazás, aminek te is felültél. Mellétesznek egy példát, de ez nem zárja ki, hogy a szolgáltatáshoz nem szükséges jelszavakat is gyűjtenek. Nem az van odaírva, hogy kizárólagosan azon jelszavakat, amelyek éppen az adott szolgáltatáshoz való hitelesítéshez szükségesek. Csak azt írták oda, hogy például ilyenek. Ha azt mondom, hogy vannak páros számok, például a 22 és az 56, abból nem következik, hogy a 34 nem páros szám.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem ültem fel semminek. Olvasd el újra, ez egyértelműen a Microsoft fiók jelszavára vonatkozik.

Te komolyan azt hiszed, hogy vállalatok százezrei használják úgy a Windows-t, hogy az kéretlenül elküldi a cégen belüli egyéb rendszerekhez tartozó jelszavakat valami Microsoft központba?

Ha az idézett szöveg így lenne értelmezhető, akkor ennek már rég sokkal nagyobb visszhangja lenne, ettől harsognának az informatikai és nem informatikai hírportálok.

Te komolyan azt hiszed, hogy vállalatok százezrei használják úgy a Windows-t, hogy az kéretlenül elküldi a cégen belüli egyéb rendszerekhez tartozó jelszavakat valami Microsoft központba?

Igen, sőt, komolyan azt hiszem, hogy európai vállalatok a céges műszaki, üzleti dokumentációikat MS és Google felhőben tárolják, azaz önként adják át az üzleti döntéseiket tartalmazó dokumentumokat, az azokat megalapozó információkat, a know how-t, mindent az Amerikai Egyesült Államoknak, s így a konkurenciának. Mindezt csak azért, mert a döntéshozókban, és úgy általában az emberek jelentős részében semmiféle óvatosság nincs, csak a megalapozatlan és indokolatlan bizalom.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Te most két teljesen különböző dolgot mosol egybe.

Az egyik, hogy azt hiszed, hogy a Windows váratlanul és kéretlenül gyűjti és elküldi más rendszerekhez tartozó jelszavaidat egy Microsoft központba, ami egy elég súlyos hiba lenne, és ahogy írtam, sokkal komolyabb következményei lennének, címlapokon ez lenne stb. ha ez tényleg igaz lenne. Elég sokan ki szokták elemezni mindenféle módszerekkel, hogy mi az, amit hazaküld a Windows, és ilyesmire még nem derült fény.

A másik, hogy valaki explicit úgy dönt, hogy valamilyen dokumentumot mondjuk OneDrive-ban tárol. Itt ebben nincs semmi váratlan, hogy akkor ez a Microsoft szervereken lesz tárolva. Ez minden cégnek, aki ezt a szolgáltatást igénybe veszi, egy tudatos döntése, nem a váratlanul és a háttérben történik.

ami a Microsoft saját fiókjához való bejelentkezési jelszóra vonatkozik

Nem arra vonatkozik. Ez a te jóindulatú feltételezésed, amely sehol sincs leírva ebben a szövegben. A joganyag épp arra épít, hogy vezeti a gondolatot, ne jusson eszedbe kilépni abból, amit sugallni próbál, ugyanakkor sehol sem írja, hogy csak ezeket a jelszókat tárolja. Apropó, ha már az ujjlenyomat kapcsán ment a szájtépés: a saját szolgáltatásukhoz miért is kell gyűjteni, tárolni a jelszavakat? Hash miért nem elegendő?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

ugyanakkor sehol sem írja, hogy csak ezeket a jelszókat tárolja.

Azt sem írja sehol sem, hogy nem küldenek bérgyilkosokat, akik majd jól megölnek az otthonomban. Akkor most kell rettegnem attól, hogy bérgyilkosokat küldenek, akik megölnek az otthonomban?

a saját szolgáltatásukhoz miért is kell gyűjteni, tárolni a jelszavakat? Hash miért nem elegendő?

Feltételezem azért, mert webes loginkor a jelszó elmegy a böngésződtől a Microsoft szerverig, és ott történik meg a hash-elés, tárolás előtt. Ahogy ez nagyjából minden más webes loginnál is így történik.

Azt sem írja sehol sem, hogy nem küldenek bérgyilkosokat, akik majd jól megölnek az otthonomban.

Egy adatvédelmi szabályzatnak ez nem is feladata.

Feltételezem azért, mert webes loginkor a jelszó elmegy a böngésződtől a Microsoft szerverig, és ott történik meg a hash-elés, tárolás előtt.

Minek? Kliens oldalon nem lehet hash-t képezni?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Minek? Kliens oldalon nem lehet hash-t képezni?

De, lehet. Van értelme? Nincs. Pl. így nem lehetne szerver oldalon mentés előtt ellenőrizni, hogy gyenge jelszót ad-e meg a user, ami egy sokkal súlyosabb probléma lenne.

Továbbá security szinten nem nyersz vele semmit. Ha user létrehozáskor meg loginkor is a hash-t küldi a kliens, akkor kvázi a hash válik jelszóvá, az lesz mondjuk útközben lehallgatható, ellopható, és ha valaki megismeri, kliensként úgyanúgy be tudja küldeni a szervernek a hash-t egy login bepróbálkozásra. Azt képzelheted előnynek, hogy a szerver nem tudja az eredeti jelszavadat, de az eredeti jelszavad a best practice-eknek megfelelően sehol máshol nincs felhasználva, ugye? Tehát a szerver amúgy sem nyerne semmit azzal, hogy látja az eredeti jelszavadat.

De amúgy ezt az érvedet másik szempontból sem értem. Hiszen úgyis attól rettegsz, hogy a Windows mindenféle jelszavadat gyűjti a kéretlenül a háttérben eredeti plain text formájában, akkor végülis mindegy, hogy ki mit hashel még küldés előtt :D

Lényegében igen. A szerver oldalon kellene újra hash-t képezni a hash-ről. De csak így lehetne biztosítani, hogy a szolgáltató ne tudja a jelszót, de ez nyilván nem cél. Már a megoldáson is látszik a szándék, a jelszavak gyűjtése.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Lényegében igen.

Tehát akkor az egész meg van baszva.

A szerver oldalon kellene újra hash-t képezni a hash-ről.

Attól még clear-text utazik a jelszó, amit nem akarsz megosztani ugye senkivel, tehát egyszeri alkalom helyett minden egyes alkalommal elküldöd és a rosszarcúak, ha el tudják kapni az üzenetváltást, akkor be tudnak lépni a hash-el. Tulajdonképpen az ellen nem véd, ami ellene védenie kellene.

De csak így lehetne biztosítani, hogy a szolgáltató ne tudja a jelszót, de ez nyilván nem cél. Már a megoldáson is látszik a szándék, a jelszavak gyűjtése.

Oké, hogy tudod biztosítani, hogy ne 0 hosszúságú legyen a jelszó, ha csak hash-t küldesz?

https://iotguru.cloud

Nulla hosszúságú jelszóval mi a baj? Az a felhasználó tudatos döntése, mint az 123456 is. A clear text ellen gondolom, a titkosítás véd. Ha elküldöd a szerverig a jelszót, az is clear text utazik - nem, mert titkosítva -, hiszen te magad mondod, a hash majd ott képződik.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ez amúgy nem baj, van egy csomó villamosmérnök, akiknek kiemelkedő tudása van IT területen (is).

A baj az, hogy IT problémákat akarsz megoldani úgy, hogy közben nulla erőforrást teszel a probléma megértésre és ennek ellenére magabiztosan olyan megoldási javaslatokkal jössz elő, amelyektől időnként még egy óvodás is a fejét fogja, hogy mekkora faszság. Aztán ezt fokozod azzal, hogy amikor ez már többször is előjöttél különféle faszságokkal egy témában belül és már neked is gyanús, hogy faszságot írtál, akkor se veszed a fáradságot arra, hogy megpróbáld megérteni a problémát vagy utána nézz annak, hogy amit megértettél belőle, az szakmailag helytálló és csak előjössz egy még nagyobb faszsággal.

https://iotguru.cloud

Egyrészt nem megoldani akartam IT problémát.

De: https://hup.hu/comment/3255189#comment-3255189

Pusztán arról beszéltem, hogy abból, hogy hogyan működik az ujjlenyomatolvasó publikus dokumentáció szerint, semmi sem következik.

Csakhogy nem erről beszéltél. :D

https://iotguru.cloud

Miért lenne kivétel? Amikor személyit csináltattam, ott volt az előző ügyfél ujjlenyomata, mondtam is a hivatalnoknak, hogy takarítsa le.

Apropó, az okmányirodában lévő ujjlenyomat olvasó is csak egy hash-t generál, s ha meg akarják tudni, enyém-e a személyi, akkor azt a konkrét leolvasót fogja helikopterrel odahozatni a rendőr? Vagy esetleg borul az az elmélet, amiket itt mondtok?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Apropó, az okmányirodában lévő ujjlenyomat olvasó is csak egy hash-t generál, s ha meg akarják tudni, enyém-e a személyi, akkor azt a konkrét leolvasót fogja helikopterrel odahozatni a rendőr? Vagy esetleg borul az az elmélet, amiket itt mondtok?

Nem, az pont nem ilyen, ott ISO/IEC 19794-2 formátumban tárolják, viszont ugyanúgy nem lehet belőle rekonstruálni az ujjlenyomatot. De ugye ez a kérdés se született volna meg, ha rászántál volna annyi időt az információ megkeresésére, mint amennyi idő alatt itt ismét feltettél egy hülye kérdést. :D

https://iotguru.cloud

Nem, az pont nem ilyen

Eddig azt toltátok, hogy az a lehetetlenhez közeli esemény, hogy más típusú ujjlenyomatolvasót fejlesszenek. Aztán mondok példát arra, ami létezik, majd kiderül, hogy jé, hát tulajdonképpen van.

Megint csak miért kellett volna utánanéznem, ha simán kitalálható volt? Hogy jobban igazam legyen?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Eddig azt toltátok, hogy az a lehetetlenhez közeli esemény, hogy más típusú ujjlenyomatolvasót fejlesszenek.

Nem, nem lehetetlen, sehol senki nem ezt írta, egyszerűen a telefonokban lévő szenzorok nem ilyenek, nem erre valók, nem ez a céljuk, ha ilyenek is lennének, kiderülne hamar, másrészt meg olyan lenne, mint a személyiben lévő tárolási modell, akkor se történik semmi, mert az se teszi lehetővé, hogy abból visszaállítható legyen az ujjlenyomat.

Aztán mondok példát arra, ami létezik, majd kiderül, hogy jé, hát tulajdonképpen van.

De ha már adtál így ujjlenyomatot, akkor mitől is félsz? A személyiben lévő biometrikus adat pont arra van, hogy azzal téged, mint személyt azonosítsanak. A telefonokban lévő biometrikus azonosítás nem személyt azonosít, hanem kinyit egy dobozt, és se a telefon nem tudja, ki a személy, se a dobozban lévő adat nem tudja, hogy ki a személy. Ha az okmányirodában azok után, hogy már egyszer összekötötték a személyedet az ujjlenyomatoddal, újra odanyomod az ujjadat, mert elfelejtetted, hogy ki vagy, akkor abból megmondják, hogy locsemege vagy a nyilvántartás szerint. Telefon esetén ilyen nincs, egyrészt nem tudni, hogy kinek a milye van rögzítve, mint ujjlenyomat, másrészt nincs összekötve konkrét személlyel.

Megint csak miért kellett volna utánanéznem, ha simán kitalálható volt? Hogy jobban igazam legyen?

Nagyon egyszerű: nincs igazad most sem, maximum eljött a hülyék paradicsoma, és annyira keveset tudsz a témában, hogy fél szavakból azt hiszed, hogy igazad van. :D

https://iotguru.cloud

Kezdettől fogva nem arról beszélek, milyen ujjlenyomatolvasó van a telefonban, hanem arról, hogy bármilyen lehet. Bonyolult dolgot írtam? Ennyire nehéz felfogni?

Abban van igazam, amit kezdettől fogva állítok: abból, hogy az általad említett konstrukciójó ujjlenyomat olvasók vannak a telefonokban, egy pillanatra sem következik, hogy ne lehetne másmilyen. Akár a jelenben, akár a jövőben. Éppen ezért nincs relevanciája annak, hogyan működik az ujjlenyomat olvasó. A privacy-t egyetlen dolog biztosítja, ha lehetőleg nem adod ki a biometrikus adataidat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Kezdettől fogva nem arról beszélek, milyen ujjlenyomatolvasó van a telefonban, hanem arról, hogy bármilyen lehet. Bonyolult dolgot írtam? Ennyire nehéz felfogni?

Teljes mértékben felfogtam. Ezért kérdezem azt, hogy miért nem tartasz attól, hogy bármiben lehet ujjlenymomat olvasó, ami megfogsz? Miért szűkíti le a fantáziád a rosszarcúak ujjlenyomat lopó lehetőségeit a telefonra, amikor rettentő sok egyéb lehetőség van ugyanerre?

Abban van igazam, amit kezdettől fogva állítok: abból, hogy az általad említett konstrukciójó ujjlenyomat olvasók vannak a telefonokban, egy pillanatra sem következik, hogy ne lehetne másmilyen. Akár a jelenben, akár a jövőben. Éppen ezért nincs relevanciája annak, hogyan működik az ujjlenyomat olvasó.

Gondolom akkor semmilyen kapacitív touch gombot nem használsz, mert ujjlenyomat olvasó lehet benne, hiszen akadálya nincs. Ugye? Sőt, semmilyen gombot nem használsz, mert bármilyen gombban lehet ujjlenyomat olvasó. Hiszen lehet, nem?

A privacy-t egyetlen dolog biztosítja, ha lehetőleg nem adod ki a biometrikus adataidat.

De kiadod, lépten-nyomon, járva-kelve, sőt, DNS mintákat is hagysz mindenfelé, ahol jársz. Sőt, az összes ismerősöd alapvetően biometrikus jellemzőid alapján ismer meg, ha személyesen találkoztok.

https://iotguru.cloud

Most arról a kis 'csík' alakú olvasóról van szó, amivel a laptopodat oldod föl, nem? Azon - mivel végighúzod rajta az ujjad - értékelhető ujjnyomat nem keletkezik. A tárolt információt pedig már eléggé kiveséztük.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Nem lehet az alá az üveglap alá betenni egy infravörös kamerát például?
akár duplikált szenzor is lehet az üveg alatt

És egy kávésbögrébe nem lehet belerakni a ugyanilyen könnyen ezt a csoda-kamerát? Miért ragaszkodunk ahhoz a peremfeltételhez, hogy egy szenzornak szenzornak is kell látszani?

Tehát ha a hash kikerül, már akkor vesztettem, mert akkor is tudható, hogy azt a bizonyos poharat megfogtam-e vagy sem.

Az akkor is tudható, ha a hash nem kerül ki. Sőt akkor is, ha a hash egyáltalán nem is létezik. 

Itt az a kérdés, hogy ha valakinek birtokába kerül a hash, képes-e bármilyen módon olyan helyzetet előidézni, amely szerint te megfogtad a poharat. Szerintem nem.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Az akkor is tudható, ha a hash nem kerül ki. Sőt akkor is, ha a hash egyáltalán nem is létezik.

Honnan?

Itt az a kérdés, hogy ha valakinek birtokába kerül a hash, képes-e bármilyen módon olyan helyzetet előidézni, amely szerint te megfogtad a poharat. Szerintem nem.

Persze, hogy képes:

Pelikán: Végtelenül sajnálom az ügyet, Virág elvtárs, de hát én jó előre megmondtam, hogy én ideológiailag nem vagyok elég képzett. Mert ha például Bástya elvtárs tábornoki egyenruhában úszkál abban a medencében, csak megismertem volna a vörös stráf miatt, és akkor megóvtam volna a sprickoló tömegektől. De így abban a gatyában olyan furcsán nézett ki, hogy hát talán a... fénytörés miatt. Ugye?
Virág elvtárs: Bástya elvtárs már megbocsátott. A jegyszedőt internáltuk – ő felel az egész incidensért.
Pelikán: De hát ő nem tehet semmiről! Én nem tudtam a vonalat!
Virág elvtárs: A jegyszedőnek az anyja egy malomtulajdonos kulák szeretője volt. Bevallotta.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Honnan?

Ez most komoly? google://ujjlenyomat, vagy nézz helyszínelőket!

Azt pedig nem igazán értem, hogy az idézet hogyan bizonyítja a lehetőséget, sőt őszintén szólva azt sem, hogy egyáltalán hogyan kapcsolódik a témához.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Ha nem ismert az ujjlenyomatom - vagy az abból származtatott jellemző -, akkor csak az derül ki, hogy valaki megfogta azt a poharat, az nem, hogy én voltam.

képes-e bármilyen módon olyan helyzetet előidézni, amely szerint te megfogtad a poharat

Azért írtam az idézetet, mert bárki bevallhatja, hogy ő volt. Talán még megvan, amikor Moszkva mellett - vagy Moszkvában - úgy emlékszem, Isis harcosok vagánykodtak - 147 halálos áldozat dereng -, csak emberükre találtak a csecsenek személyében. Mondjuk ott nem volt mit bevallani.

Egyébként meg az ujjlenyomatról képzett jellemzőnek vélelmezem az összehasonlíthatóság az értelme, szóval azt gondolom, hogy ugyan nem állítható belőle vissza az ujjlenyomat, de az megmondható, hogy ugyanahhoz s személyhez tartozik-e. Különben nem jellemezné az az információ - mint egy hash - az ujjlenyomatot.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Pont fordítva értelmezed az egészet.

Az ujjlenyomat a poháron hozzád köthető, egyértelműen azonosítható vagy vele. A hash nem ilyen.
Az idézetet akkor jól értettem, tényleg nem tartozik a tárgyhoz. Bevallhatod a Kennedy-gyilkosságot is, ha szeretnéd, de itt most az ujjnyomat és az abból képzett hash a téma.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Szerintem nem értelmezem fordítva. Ha az ujjlenyomatomból egy függvénnyel előállítható egy szármattatott infó, amelynek viszont nincs inverz függvénye, mert az inverze reláció, tehát nem egyértelmű, akkor az ujjamról és a pohárról képzett származtatott információ összehasonlítható, viszont való igaz, hogy a származtatott infóból nem állítható elő az ujjlenyomat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ha az ujjlenyomatomból egy függvénnyel előállítható egy szármattatott infó

Ez a származtatott infó minden szenzorral más lesz, by design, fizikai okokból. Két a gyárban a szalagon egymást követő szenzor nem fog ugyanolyan származtatott infót adni, sőt, időben se fog azonos infót adni, hogy ne lehessen replay-attack támadni.

https://iotguru.cloud

Ellenben én arról beszélek, hogy meg lehet szándékosan rosszul csinálni valamit.

Nem, te arról képzelődsz, mert nem tudod, hogy működnek ezek, mert eltelt több óra és még mindig nem vetted a fáradságot, hogy high-level utánanézz.

Amúgy gondolom mindent is megnézel, megszagolsz, megvizsgálsz, mielőtt megfogod, hogy nincs-e benne semmilyen biometrikus szenzor, ugye? Különben semmi értelme a félelmednek, ha abban nem bízol, ami publikus felépítésű és nyilvánosan többen is vizsgálnak rendszeresen. Honnan tudod, hogy nem tettek a szobádba ilyet már rég és évek óta visszaélnek a biometrikus paramétereiddel?

https://iotguru.cloud

De nem csökkented az esélyét, ezek egymástól független dolgok. Az, hogy tudatlanságból így érzed, az teljesen más kérdés: mint írtam, ha így állsz hozzá az élethez is, mint ehhez a témához, akkor már értem, hogy neked miért okoz nehézséget egy csomó dolog, ami másoknak nem, azért, mert meg se akarod érteni a dolgokat, neked elég az, hogy kitalálsz valamit és úgy veszed, mintha minden úgy történne, ahogy kitaláltad.

https://iotguru.cloud

Te azt vizsgálod, valami jelenleg hogyan van. Én azt vizsgálom, hogyan lehet. Ami lehetséges, azt nem szabad kizárni. Teljesen lényegtelen, ha valamire nincs precedens. Hány olyan eset volt, amikor tömegek bíztak valamiben, szolgáltatásban, cégben, aztán megtörtént a lebukás, hogy nem az a valóság, amit mondtak, aztán legfeljebb elnézést kértek, meg ígérgettek megint. Attól még az megtörtént. Akkor is, ha elnézést kérnek. Azokat tartom ostobának, akik ezeknek a történéseknek az áldozatai. Eleve ne adja meg valaki annak a lehetőségét, hogy a visszaélés megtörténhessen.

Tehát nem az a helyes megközelítés, hogy az ember bízik a jogban, a cégekben, majd baj esetén meglepődik, hanem alapvetés a bizalmatlanság, senkinek nem adunk át lehetőleg semmit, s akkor nem fogunk meglepődni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mi a relevanciája? Értem, hogy így működik, de van bármi akadálya annak, hogy másképp működjék? Nem jogi, hanem fizikai?

Valamiért abból indultok ki, hogy vannak az ujjlenyomat olvasók, amelyek így működnek, és ebből a mederből itt többen nem tudtok kilépni. Igen, ezek az olvasók ilyenek. A fizika törvényei nem teszik lehetővé másmilyen detektor kifejlesztését?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A fizika törvényei nem teszik lehetővé másmilyen detektor kifejlesztését?

Miért pont sorozatgyártott mobiltelefonba tegyék ezt, amit minden országban külön-külön auditálnak, teljesen random emberek világszerte szétszednek a megjelenés napján, elemzik részletes videóban a felépítésüket, működésüket; a konkurens cégek szintén atomjaira bontják a laborban a megjelenés napján és a többi... amikor annyi más - egyáltalán nem ellenőrzött helyre - tudnak tenni ujjlenyomatlopó szenzort, ha amúgy a visszaélés a cél? Ha azon aggódsz, hogy kicserélik titokban a telefonodban a szenzort, akkor azon miért nem aggódsz, hogy az összes villanykapcsolóba tesznek nálad ujjlenyomatolvasó szenzort? Ez utóbbinak nagyobb a valószínűsége.

Tényleg a hülyék paradicsomában élünk már, az egész nyitott téma és a hozzászólások nagy része megelőzhető lett volna azzal, hogy csak 5 percet tájékozódnak a témában azok, akik a jelek szerint egyáltalán nem tájékozódnak, se ilyen témában, se más témában, mégis úgy érzik, hogy közel nulla ismerettel képesek tökéletesen érteni és magyarázni a világ működését. De nem képesek.

https://iotguru.cloud

A hozzászólásod elején még írod, mi a probléma, persze hivatkozol bizalomra - szerinted ez elegendő, szerintem kevés -, te magad is leírod, lehetne így, de miért lenne, miközben én meg azt mondom, miért ne lenne. A második felében meg visszatérsz oda, hogy noha lehetséges, amiről beszélek, hogy lehetek olyan ostoba, hogy ezt a kérdést feszegetem. Hát úgy, hogy lehetséges!

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem, nem bizalomra hivatkozok, hanem arra, hogy egy rendkívül valószínűtlen eseménytől félsz, miközben több sokkal-sokkal nagyobb valószínűségű eseményektől egyáltalán nem tartasz és nem is védekezel azok ellen: abszolút nincs racionális kockázatelemzés a viselkedésed mögött, és ez többnyire abból ered, hogy rendszerint nulla erőfeszítést teszel abba, hogy megismerd a valós kockázatot, ehelyett elképzelsz irracionális kockázatokat.

Olyan ez, mintha azért nem mennél át egy krokodilokkal teli folyó felett a hídon, mert az leszakadhat és akkor beleesel a vízbe a krokodilok közé, ezért inkább átúszol a híd mellett. És ahogy szépen elmondtuk, hogy miért faszság, amitől ezen szál első hozzászólásodban féltél, úgy szorultál vissza hozzászólásról-hozzászólásra most már oda, hogy egy elképzelt világ elképzelt problémáit hozod fel... tényleg nem értem, hogy mi a faszé' nem tudsz érdemben utánanézni olyan témáknak legalább high-level, amihez hozzászólsz.

https://iotguru.cloud

rendkívül valószínűtlen esemény == lehetséges esemény

tényleg nem értem, hogy mi a faszé' nem tudsz érdemben utánanézni olyan témáknak legalább high-level, amihez hozzászólsz

Mert irreleváns. Nem az a kérdés, mit tesz az ujjlenyomatolvasó, hanem az, hogy mit tehet.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mert irreleváns. Nem az a kérdés, mit tesz az ujjlenyomatolvasó, hanem az, hogy mit tehet.

Na, de a "mit tehet" témakört miért szűkíted le egy sorozatgyártott termékben lévő ujjlenyomatolvasóra? Lehet a billentyűzetedben is, az összes ujjadról, ha 10 ujjal gépelsz. Lehet a mikrohullámú sütőd érintőpaneljében is ujjlenyomat olvasó, nem? Vagy a villanykapcsolódban. Vagy a tévéd távirányítójában. Ennyi erővel bárhol lehet, ugyanannyi eséllyel sokkal több helyen, mint a telefonban. Miért pont a telefon az, ami nálad ezt a fixációt okozza?

https://iotguru.cloud

A billentyűzetnek nincs olyan interface-e, amelyen keresztül ezt meg lehetne oldani. A telefonnak van LTE kapcsolata. A mikrohullámú sütőnek sincs. Okoseszközt nem használok.

Várjá', várjá', várjá'. Attól, hogy szerinted nincs ezeknek adatkapcsolata, még lehet, hogy van, nem? Van fizikai akadálya, hogy legyen adatkapcsolata ezeknek az eszközöknek úgy, hogy nem tudsz róla? Ugye, hogy nincs akadálya, tehát lehet ezekben ujjlenyomat olvasó, ami elküldi az ujjlenyomatod a háttérhatalomnak, szóval tessék rettegni ezektől is ugyanazon logika alapján.

https://iotguru.cloud

Mér írtam volna hülyeséget, amikor azzal jössz, hogy biztos a billentyűzet minden műanyag sapkájában ujjlenyomatolvasó van?

Idézlek szó szerint: "Te azt vizsgálod, valami jelenleg hogyan van. Én azt vizsgálom, hogyan lehet. Ami lehetséges, azt nem szabad kizárni. Teljesen lényegtelen, ha valamire nincs precedens. Hány olyan eset volt, amikor tömegek bíztak valamiben, szolgáltatásban, cégben, aztán megtörtént a lebukás, hogy nem az a valóság, amit mondtak, aztán legfeljebb elnézést kértek, meg ígérgettek megint. Attól még az megtörtént. Akkor is, ha elnézést kérnek."

Ez pont ugyanúgy igaz arra, hogy van-e a billentyűzet minden műanyag sapkájában ujjlenyomatolvasó. Szóval akkor hogy jutottunk el hirtelen a költségekhez?

https://iotguru.cloud

Persze, csak az ujjlenyomat olvasóra valószínűleg tesznek ujjat, tehát gondolom, azt célszerű okosabbá tenni, ha gyűjteni akarnak.

Te azt vizsgálod, valami jelenleg hogyan van. Én azt vizsgálom, hogyan lehet. Ami lehetséges, azt nem szabad kizárni. Teljesen lényegtelen, ha valamire nincs precedens. Hány olyan eset volt, amikor tömegek bíztak valamiben, szolgáltatásban, cégben, aztán megtörtént a lebukás, hogy nem az a valóság, amit mondtak, aztán legfeljebb elnézést kértek, meg ígérgettek megint. Attól még az megtörtént. Akkor is, ha elnézést kérnek.

Érted te egészen pontosan, hogy miért faszság az az érvelésed, hogy lehetséges, tehát nem szabad kizárni, amint visszapattan rád, szóval akkor most már nem a lehetőségnél tartunk, amit nem lehet kizárni, hanem költségeknél és valószínűségeknél, amit azzal ignoráltál, hogy de lehetséges?

https://iotguru.cloud

De ezzel pont magadat invalidáltad a saját érveléseddel. Onnan indultunk, hogy faszságot írtál, ami nagyon valószínűtlen és az egész abból indul ki nálad, hogy nem értesz hozzá és nem is akarsz hozzá érteni, amire azt írtad, hogy "igen, de lehetséges, ezért nekem van igazam". Most meg sokadik kör után jössz azzal a válasszal, hogy "igen, lehetséges, de nagyon nem valószínű, ezért nekem van igazam". Nem fáj ilyenkor az agyad azon része, amelyik a logikus gondolkodásért felel?

https://iotguru.cloud

Pedig itt valószínűségekről beszélünk, tekintve, hogy az adatból hash előállítása az függvény, az inverze viszont nem az. Tehát lehetséges hash ütközés. Ha nem így lenne, akkor ez egy hatékony tömörítési eljárás lehetne. Az más kérdés, hogy kicsi a hash ütközés esélye, ellenben nem nulla.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A linkelt threadben talán az "Az összes lehetséges kép - példámban 1 MB-os fileméretekkel - 28000000," és az "A példámban említém, hogy 1 MB-os file-ok esetén 28000000 féle file-unk lehet" állítások ütötték a legnagyobbakat. A valós szám ennél azért nagyobb. :)

$ grep -c egy$ word.list
100

A biometrikus azonosítást végző eszköz esetén a picike ujjacskád bőrredői és az eszköz együttesen adják azt az információt, hogy aki tapicskolja az érzékelőt, az kellően hasonló mintázatú redőkkel rendelkezik a pracliján, vagy sem. Ha a biometrikus azonosítást végző eszközben tárolt hash-t valahogy ki is lehet(ne) nyerni belőle, az más eszköz által rögzített adathalmazzal nem hasonlítható össze, és pláne nem alakítható vissza belőle az azonosításra alkalmas mintázat sem. Nem véletlen, hogy nem az egyedi jellemzőket tárolják, hanem az azoknak a matematikai leírását tartalmazó adathalmazból (ami a ujjacska rögzítésének az ideje alatt jelenik meg csak az eszközben) gyártott hash-t. Jó, tudom, most azzal fogsz jönni, hogy "mi van ha azt is eltárolják, és valahogy ki lehet nyerni..." ezen jellemzők már alapból a mintázat egy "kivonatát" jelentik, tehát ha ezeket szerezné meg valaki, akkor sem tudna a pohárra megfelelő zsírpacát "rajzolni"... 

Értem, de teljesen lényegtelen a kérdés szempontjából, hogy hogyan működik. Ha ugyanis egy szenzornak odaadtam a biometrikus azonosítómat, az bármit tehet vele. Nem az a kérdés, hogy úttörő becsszóra ez így működik, hanem az, hogy működhet másképp, tehát az a biztos, ha nem adom ki a biometrikus azonosítómat egy szenzornak.

Ti itt többen jóhiszemű feltételezéssel éltek, de ez semmi egyéb, mint bizalom részetekről a gyártó felé. Nem több annál. Olyan ez, mint amikor megbízol egy bankban, hogy vigyáz a pénzedre, illetve azt odaadja neked, amikor arra szükséged van. Pedig precedens van arra, hogy ez nincs így. Az egyik a COVID oltások ellen tüntető kanadai kamionosok, a másik az ukrán hadkötelesek, a harmadik pedig az, amikor az államcsőd szélén táncoló Görögország limitálta a pénzekhez való hozzáférést. Ez csak egy példa, de ugyanezt teszitek. Hajtogatjátok, hogyan működik a szenzor, de ez csak azért van, mert jelen pillanatban ez volt a gyártó szándéka. Nem fizikai szükségszerűség, csak most éppen így van.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Akkor ugyebár fényképet sem készített rólad eddig senki? Analóg / filmes géppel sem, ugye? Vagy ha igen, akkor azt ugye előtted otthon hívta elő, nem egy harmadik félnél lévő akár automata laborban? 

A kanadai kamionosoknak nézz utána, hogy jogilag pontosan milyen megítélés alá tartozott a cselekedetük. (Hint: terrorizmus és környékén kell keresgélni), az államcsőd meg ugye olyasvalami, amikor a pénzed vagy ér holnap is valamit, vagy sem, és akkor a teljes állam működőképessége miatt szükséges kényszerintézkedéseket hozni - ami egyébként nem a számlavezető bank, hanem a görög kormány/állam döntése volt. 

Ezeket a biometrikus azonosításra szolgáló eszközöket elég sok és jól felkészült fehér meg fekete kalapos támadó vegzálja, hogy valóban azt és csak azt (meg úgy, és csak úgy) csinálják, amit állít róluk a gyártó. 

A jogi megítélés azért álságos, mert az csak annyi, hogy érdekek mentén oda sorolnak valamit, valakit. Terrorista az, akire rámutat az erősebb entitás. Jó példa erre Venezuela és a Maduro házaspár. Az ő bűnük az volt, hogy nem szolgálták ki az USA érdekeit.

Miért ne lehetne bármilyen célért tüntetni? A szólásszabadságot addig engedi a hatalom érvényesülni, amíg az arra szolgál, hogy emberek szórakoztassák vele magukat, aztán megunják és hazamennek. Ha viszont valóban hatékony, akkor már terrorizmussá válik a cselekmény. A mondanivalóm lényege az volt, hogy bebizonyosodott, a magántulajdon szentsége nem egyéb, mint egy népbutító, üres szólam.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

" ... mi van, ha a jelenlegi szenzorral egybeépítenek egy másikat ... "

A szenzorra ráépíteni egy másikat elég macerás, sokkal egyszerűbb, ha a telefonod többi gombjába illetve a kijelző alá építenek több szenzort, úgysem veszed észre, ha nincs külön figyelmeztető keret. Így az összes ujjadat begyűjtik, és akkor neked annyi. De egy igazi fóliasisakos itt nem áll meg, hiszen ki tudja mi rejlik az egér gombja, illetve a billentyűzet billentyűi alatt? 

Form follows function.

És gondolom az utcán, meg mindenhol, ahol harmadik fél által elhelyezett kamera lehet, ott maszkban közlekedsz. És szemészeti vizsgálaton is elutasítod a géppel történő vizsgálatot, mert az is egy biometrikus azonosításra alkalmas (retina) képét tudja "ellopni"... Oh, wait... 

Majd fogsz szemészetre járni, idővel eljön az is, ez az egyik, a másik meg ha egyszer pofánvernek az utcán, és a gatyádon kívül mindenedet elvisznek, akkor gondolom azt fogod mondani, hogy köszönöd szépen, de a köztéri kamerák felvételei téged zavarnak, úgyhogy ne használják fel... 

Nem fogom azt mondani. A köztéri kamerák felvételei semmit sem érnek. Amikor elütöttek, azt mondták a rendőrségen, hogy a felvétel szerint szabályosan közlekedtem, egyértelműen a másik fél a vétkes. A bíróságon már nem volt meg a felvétel. Ja, aki elütött, egykor katonatiszt volt. Ennyit a köztéri kamerákról.

Ezen felül az elmúlt néhány ezer évben nem voltak köztéri kamerák, aztán valahogy mégis volt társadalom. Hogy csinálhatták?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Te nem érted, hogy ez még mindig csak ígéret. Olyan, mint az, hogy ha elsőbbséged van, azt meg fogják adni. Igen, a szabályok szerint, a valóságban meg vagy igen, vagy nem. Ellenben, ha semmilyen szenzornak nem adom oda a biometrikus adataimat, akkor az nincs odaadva. Az előbbi hasonlattal élve, a KRESZ-ben az elsőbbség nem garantálja a biztonságomat. A biztonságomat az garantálja, ha ki sem lépek az utcára.

Ha nem adják meg az elsőbbságet, egy medencetöréssel cseppet sem vigasztal, ha utólag sajnálkoznak, meg igazat adnak nekem, hogy hát igen, ennek nem így kellett volna történnie, és tényleg nekem volt igazam, mert attól még megtörtént és nekem rossz. Nekem ebben az esetben az elsőbbség csak egy üres ígéret. A biztos tehát az, ha nem megyek a kereszteződés közelébe se.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Egy webshop (mert arról volt szó) eltárolja a választott login nevet (esetleg), a telefonszámot, email címet (verifikálás után általában), valamint a nevet, lakcímet (számla kiállítása miatt amúgy is kell), szóval a jelszó tényleg nem jellemzi a személyt, de minden más igen.

( YleGreg | 2026. 01. 26., h – 13:30 )

Nem támadni akarlak. De kíváncsivá tettél, érdekel, hogy mi az oka annak, hogy semmilyen lock -ot nem szeretnél használni. El tudok képzelni ilyen helyzetet, pl. ha sokat használod a telefont, hívás fogadás és indítás, viszont 100% home office egy világtól távol eső helyen ahol nem dívik a betörés, és te sem járkálsz be városba, így a telefon fizikai biztonsága elég magas, akkor nyilván tök felesleges a nap 50 darab zár feloldás.

Ilyesmi az ok?

B terv: Mi van, ha beállítasz zárat, de az automatikus zárási idejét kitolod a lehető legnagyobbra? Nem tudom, hogy mennyi a max, és hogy az jó-e neked, szóval ez csak egy ötlet.

Form follows function.

Nekem sincs :D ... bár nincs is banki appom. Csak és kizárólag másfajta készülékeken bankolok, ha nagyon muszáj az átutalás. Ha már adnak érintős kártyát minek kínlódjak egy kétes eredetű banki appal? Mindig mosolyogva nézem, hogy a böszme telefont próbálják rákínlódni egyre kisebb érintőfelületekre. Utána meg kínlódik azzal, hogy megint feloldja. Kössz nem.

( kroozo v | 2026. 01. 26., h – 14:19 )

El tudom képzelni, hogy multi userrel / restricted userrel / work profile-al megoldható, hogy csak akkor kérjen mondjuk pin-t, ha a konkrét appot használnád. Illetve az android 15-től van valami Private Space izé is, esetleg az. Nyilván függ a konkrét ellenőrzési technikától.

Amit esetleg még el tudok képzelni, hogy az ilyen trusted places / trusted devices / on body detection bekapcsolgatása, meg a lock after érték egekbe verése meg tudja oldani, hogy kurva ritkán kelljen pinkódozni.

( Tom | 2026. 01. 26., h – 15:02 )

Hát, utald el a pénzed hozzám, nálam tuti biztonságba lesz......töled.

( KGer | 2026. 01. 26., h – 15:13 )

megértem az illetőt, én is erősen ellenkeztem/sírtam mikor a céges elérhetőség miatt pin-t meg ujjlenyomatot kellett állítani, de idővel megszoktam, más lehetőségem nem volt

illetve én is kitoltam a lock timet fél percre vagy többre

a céges elérhetőség miatt pin-t meg ujjlenyomatot kellett állítani, de idővel megszoktam, más lehetőségem nem volt

Gondolom ehhez a cég adott telefont, és azon írta elő ezt a követelményt. A privát telefonra én nem állítanám be ezt, márcsak azért sem, mert sok esetben a céges policy együtt jár azzal, hogy bármikor wipe-olhatják a telefonodat távolról.

( summoner v | 2026. 01. 26., h – 15:57 )

1. Deviceing (Xposed Modul) – A legprofibb megoldás

Ez a legnépszerűbb modul, amely kifejezetten arra szolgál, hogy módosítsa a rendszer válaszait az alkalmazások felé.

  • Mit csinál: Amikor egy alkalmazás (pl. egy céges profil vagy egy játék) lekérdezi a rendszertől, hogy be van-e állítva PIN vagy ujjlenyomat, a modul "Igaz" választ küld vissza, még akkor is, ha nincs zár.
  • Hol található: Az LSPosed Repository-ban vagy speciális Telegram fejlesztői csoportokban érhető el.

2. Fake Device Test Apps (Fejlesztői eszközök)

Vannak olyan alkalmazások, amelyek a fejlesztőknek segítenek tesztelni a biztonsági funkciókat anélkül, hogy ténylegesen lezárnák a telefont.

  • Riru-Clipboard-Whitelist vagy hasonló rendszerszintű "hook" eszközökkel néha elérhető ez a funkció, de ezek használata komoly technikai tudást igényel.


 

( kassaiviktor | 2026. 01. 26., h – 16:08 )

Be afraid of people who don’t have a passcode on their phone. They have nothing to lose

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( BehringerZoltan | 2026. 01. 26., h – 16:33 )

Hmm... csak most jutott eszembe: nincsen olyan h műujjlenyomat? 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

sőt, lehetne belőle akár nyakba akasztható 'ujjlenyomat' token ;)

 

nem neked, csak úgy általában:

vicces, amikor az újjlenyomatot - vagy bármilyen biometrikus azonosítót - jelszóként próbálják kezelni/védeni/használni... 

Miközben ez(ek) sokkal inkább speciális felhasználónevek, amik diretben és elválaszthatatlanuk kapcsolódnak egy valós fizikai (jó esetben élő) emberhez. Hiszen maga a 'paramtéter' kvázi publikus - de legalábbis igen könnyen megszerezhető a zember tudta nélkül is.

zrubi.hu

( EspOS | 2026. 01. 27., k – 08:39 )

Van egy mókolatlan telefon kikapcsolva a fiókban amin az ilyen szarok vannak. Asszony gizdáskodni akar, kapott egy LineageOS telcsit. Én butatelefonnal (1 hónap 1 tóltés) járok.

σ→0, SNR<1 (A semleges részecskékkel nincs mérhető kölcsönhatás)

https://www.esp8266.org

( gabrielakos v | 2026. 01. 27., k – 10:09 )

A biometrikus adatok nem hagyják el a telefont, sőt az ún "secure enclave"-n kívül senki nem fér hozzá. 
Ez egy teljesen különálló hardware elem. Annyi jön ki belőle hogy "igen/nem".

( sanyula | 2026. 01. 27., k – 15:11 )

A következő megoldást találtam, ami működik. Nem pont az amit kerestél, de lehet hogy a végeredmény mégis jó.
A képernyőzár telefon zárolási  időkorlátját át lehet állítani. Ez az az érték, ami után a telefon elsötétült képernyő mellett le is zárja a telefont, tehát bekéri az ujjlenyomatot vagy a zárképernyő kódot.
Így bekapcsolás vagy újraindítás után fel kell oldani a telefont pin kóddal/ujjlenyomattal, de utána gyakorlatilag sosem.

Engedélyezni kell a fejlesztői opciót Androidon és után számítógépről lehet ezt kiadni. Nem kell hozzá root. Gyári Androidon nekem megy.

adb shell settings put secure lock_after_timeout_rollback 86400000
adb shell settings put secure lock_screen_lock_after_timeout 86400000

Ez alapján a két parancs alapján találsz részletes infót a neten.

És ha a banki appot megnyitod, ott úgyis kér egyedi bankos pin kódot a belépéshez. Tehát nem tud bárki, bármit csinálni az egyenlegeddel.

( macsek | 2026. 01. 28., sze – 10:37 )

Még egy másik lehetőség ugrott be: ha egy okosezköz (karóránál láttam) a bluetooth hatósugarán belül van vagy a telefon adott helyen akkor beállítható, hogy ne kérjen unlockot. Az én telefonomon Smart Lock néven van a Biometria és jelszó részben a telefon beállításaiban. Az újabbakon a neve Extend Unlock, amit már jalos írt. Itt az android saját leírása: https://support.google.com/android/answer/9075927?hl=hu 

:-)

( gazsiazasz | 2026. 01. 28., sze – 15:29 )

elvileg a makkoddal is működik az ujjlenyomat olvasó, ha az ujjlenyomataidat nem akarod kiadni

( asch v | 2026. 01. 28., sze – 23:40 )

Egyrészt biztonsági szempontból is aggályos, másrészt pedig előbb-utóbb minden kiskaput be fognak zárni, ezért szerintem a két telefon a megoldás. Nekem már van kettő, a belépések a munkás telefonomon vannak csak. Mobilbankot nem használok, eddig elég a webes, de ha muszáj lesz, akkor az is megy a secure telóra.

Biztos nem lesz 2 telefonom, a munkahelyi one-time-passokat hajlando voltam felrakni a magan telomra, de hogy 2 telom legyen, az kizart.

En is alapvetoen webbankot hasznalok, de az a szar utana mobilbanki app-ban akar masodik faktorozni... Valoszinuleg vissza fogok allni SMS-es masodik faktorra.

Egyrészt biztonsági szempontból is aggályos

^ Ezt leszarom. Mint irtam, soha nem volt problemam belole, viszont elonyom mar szarmazott a nem-zarolt telefonbol.

"Valoszinuleg vissza fogok allni SMS-es masodik faktorra."

Ami lassan, de biztosan menni fog a kukába/dev/null-ba, mert ezer sebből vérzik - úgyhogy bankfióki ügyintézés lesz ebből neked - annak a költségeivel, természetesen... De akinek alusipkára futja, annak legyen pénze a következményekre is... 

Telefonja 100-ból 110 embernek van, az tehát adott, meglévő eszköz/erőforrás, amit többek között erre is lehet használni - és a banknak "csak" az alkalmazás fejlesztése, auditja, megfelelő rendelkezésre állást biztosító hw és humán erőforrás kerül pénzébe.
Egy ügyféligény kiszolgálása ebben a felállásban ettől függetlenül jóval olcsóbb, mint a bankfiókban történő ügyintézés. (Ingatlan bérlése, illetve saját ingatlan esetén a fenntartás és a benne fekvő tőke elmaradt haszna, a biztonságos üzemeltetés, humán erőforrás biztostítása, (bizonyos szolgáltatásokhoz 2 vagy 3 banki dolgozó jelenléte szükséges), stb. Drága a bankfiókban kiszolgálni az ügyfelet, ha tetszik, ha nem. És ennek a költségét azok, akik online intézik a dolgaikat, nem biztos, hogy szeretnék viselni. 

Az alusipka-kereskedők forgalmi adataira gondolsz, hogy azt is figyelembe kellene venni? Mondd, vettél te USB kábelt? És tudod, hogy mi van benne? És bármilyen más USB-s perifériát? Tudod mekkora egy wifi AP helyigénye? 

Szóval az alusipkások nem célközönség, ha tetszik neked, ha nem. 

 Hogy pl.‘‘a hw kulcs kikopott mert drága‘‘. Mihez képest? És kinek? Ahhoz képest, hogy vegyél 3 évente új telefont, amit amúgy nem akarnál, azért egy hw kulcs olcsó.* A biometrikus azonosításhoz: Nekem pl. az ujjaimon alig van lenyomat. Valószínűleg azért, mert sose szerettem kesztyűben dolgozni. Egy darabig -mint még használható- a bal kéz kisujj működött. Most már az is 3-4.-re megy. Tehát maradt a 6 jegyű kód.

Eddig még egyik bank se, se kincstár nem reklamált.

 

*Ezt már többször megbeszéltük: Pont azért nem alkalmas a telefon biztonsági faktorhoz, mert mindenkinek van. És minden szarra használja. A banki appokon kívül is.

A hw-kulcsot a banknak kellene elérhetővé tenni, cserélni, pótolni, estébé - de minimum beépíteni egy mondjuk fido2-es authentikációt a netbanki felületbe/elé, olyan workflow-t mellérakva, ami valamilyen erős azonosítást tartalmaz a tokennek az adott identátáshoz kötése kapcsán, illetve olyan megoldást alkalmazni, ahol az user által birtokolt és tulajdonolt token elvesztése/sérülése/kompromittálódása esetén az user tudná más módon hitelesíteni a logint, és a harvdetokent letiltani. Mondom, nem csak annyi, hogy belelapátoljuk a fido2auth.class -t, aztán hajrá... 

"Pont azért nem alkalmas a telefon biztonsági faktorhoz, mert mindenkinek van."

SMS fogadására alkalmas eszköze is van mindenkinek, úgyhogy az sem jó ilyen alapon, sőt a pécén futó totp sem, mert az meg szintén midnenkinek van/lehet, és a shared secret csak addig secret, amíg a banki oldal ki nem böffenti a webes felületen az usernek a qr-kódot, onnantól már az userre van bízva a biztonságos tárolás/kezelés, ami... Nagyon gyenge lábakon áll, úgyhogy a banki oldalnak kell a tőle telhető gondossággal eljárni a használható authentikációs megoldások alkalmazásával. 

Ami lassan, de biztosan menni fog a kukába/dev/null-ba, mert ezer sebből vérzik

Remeljuk nem. Az az ezer sebbol verzes (SMS-capture) meg osszemerheto az ujjlenyomatom celzott ellopasaval. Egyiknek sincs semmi eselye a gyakorlatban.

De akinek alusipkára futja, annak legyen pénze a következményekre is...

Ne aggodj ertem, rengeteg felesleges penzem van.

Az SMS-es 2FA könnyebben ellopható/kompromittálható, mint gondolnád. A bőrredők rajzolata ellopható, akár 3D-ben is, de az abból készített mesterséges ujjlenyomat maximum az 1000 éves, csak mintázatot (2D-ben) vizsgáló eszközökben működik, nagyon sok egyéb paramétert vizsgálnak a telefonokba épített biometrikus azonosítóeszközök.

"Ne aggodj ertem, rengeteg felesleges penzem van."

Akkor fizetheted a bankfióki ügyintézés költségét is, igen. 

mint gondolnád.

Teljesen irreleváns, hogy mit gondolok. Ráadásul te nem is tudhatod kitalálni. Tudod, egy gyengébb intelligencia nem tudja kitalálni egy erősebb intelligencia gondolatait.

SMS-es 2FA könnyebben ellopható/kompromittálható

Ha zeller mondja el sokszor, biztos igaz.

Akkor fizetheted a bankfióki ügyintézés költségét is, igen.

Igazából nincsenek bank ugyeim, és sajnálom azokat, akiknek vannak. A netes kártya használatomat nehezíti ez az egész ügy, amennyiben az kér második faktort, és be kell lépnem az app -ba.

Az SMS a GSM (2G) jelzéscsatornájában közlekedik, nyílt, nem titkosított, nem védett módon, az érintett telefon cellájában kvázi broadcast üzenetként sugározva. 

"A netes kártya használatomat nehezíti ez az egész ügy, amennyiben az kér második faktort, és be kell lépnem az app -ba."

Védi, nem nehezíti. A megoldás a csoportos beszedés, illetve EU-n kívüli webshop-ok használata - ott nincs/nem kell 3DS-sel vacakolnod, sok esetben a yukimuki.randomwebshop.akármi oldalon bepötyögnöd egy form-ba a kártyaadataidat - és bízni abban, hogy nem szívod meg... 
Vagy szépen letenni arról, hogy kártyával vásárolj a neten: elmenni a saját lábacskádon a boltba, és offline/on-site módon vásárolni :-) 

A CVC/CVV-hez birtokolni vagy legalább fotón látni kell a kártyát - sok-sok évtizede meglévő dolog, kivezetése, leváltása outband megoldásra (lásd EU-ban "könnyítetten" (ha nincs, akkor az elfogadó sara a visszaélés)  kötelező 3DS) nagyon nem triviális/egyszerű dolog - a 3DS is sokára ment át az ötlettől a "kötelező" bevezetésig - és az "csak" az EU, ahol a vonatkozó jogszabályok harmonizálása alap... 

A sztori egyébként abból jön, hogy a kártya előlapja domborítottan tartalmazta a kártya adatait, amit egy imprinternek nevezett mechanikus eszközzel "másoltak rá" a fizetési bizonylatra, amit a kártyabirtokos aláírt utána. Ezt követte e CVV/CVC, ami az ilyen "vasalós" bizonylaton nem jelent meg, így alkalmas volt arra, hogy a kártya birtoklását más módon igazolja az, aki fizet vele. 


 

( chx | 2026. 01. 30., p – 20:08 )

Lazán kapcsolódva. Miért nincs olyan banki app, amivel a 2FA-t lenyomod, meg mondjuk az egyenleged megnézheted, és másra nem is jó?
Szerintem biztonságosabb lenne ilyen appot a zsebedben hurcolni, ha esetleg (választásod alapján) csak otthon bankolnál a gépen.

echo crash > /dev/kmem

Azaz plusz egy alkalmazás fejlesztése, tesztelése, rendszeres külső auditja... Ha adott eszközön lévő alkalmazás funkcionalitása mondjuk a netbanki felületen korlátozható lenne a felhasználó által, az talán járhatóbb út lenne - de az is jelentős fejlesztői erőforrásokat vinne el. (Az API végpontokat kellene "felokosítani" egy userID - deviceID - funkció alapon történő jogosultságkezelésre (Egyelőre még az egységes eszközazonosító kérdése is nyitva van...)

Nem írtam, hogy megugorhatatlan, csak azt, hogy ennek szemmel jól látható és mérhető költsége volna. És amíg a zemenbé ajánlásokban vannak fa$$ágok, amiket meg kell valósítani, amikre költeni kell (mert ha nem, akkor dádá meg soknullás büntetés), addig azokra fognak a bankok fókuszálni. 
Ugyanez igaz a 2FA kapcsán másik topicban felvetődött fido2 (pl. yubikey) authentikációra is - jó lenne, de ugyebár a DÁP az kötelező, ergo azt fejlesztették/reszelték/reszelik a bankok, mert annak hiánya esetén se&&berúgás jár. 

 

A DÁP is nagy kedvencem :D Nem félek hogy állambácsi ellopja a privát adataim a telómról. De +1 csillagromboló van a telefonomon azért, hogy évente 2x be tudjak lépni az EESZT-re. Bármelyik authenticator jó lenne erre, de még az e-mail is 2. faktornak. És még szaladhatok is a kormányablakba, ha telefont cserélek.
Elengedtem, ha picsogok se változik semmi.

echo crash > /dev/kmem

A DÁP nem csak egy n+1. authenticator alkalmazás - arra is használható. És mivel a felhasználók elenyésző hányadának van mondjuk személyazonosító okmánynak megfelelő hardvertokenje, így maradt a mobiltelefon+tpm+szoftveres megoldás. 

A "bármelyik authenticator" pont nem jó erre, mert a full szoftveres implementáció miatt az azonosító adatok védettsége nem biztosítható, továbbá az azonosításra használt eszköz egy utólagos vizsgálat során nem határozható meg. 

A kormányablakba szaladozás érdekes kérdés - nekem sikerült úgy telefont váltani, hogy nem kellett kormányablakba zarándokolni... 

A "bármelyik authenticator" pont nem jó erre, mert a full szoftveres implementáció miatt az azonosító adatok védettsége nem biztosítható, továbbá az azonosításra használt eszköz egy utólagos vizsgálat során nem határozható meg. 

Mennyiben ad többet az email csatornán kapott 6 jegyű szám, mint egy bármelyik authentikátor?

https://iotguru.cloud

Az a könyvet ellők :) baromsága miatt van (még), utólag belegányolva a rendszerbe, remélhetőleg mielőbb kihajítják, mert már akkor is sz@r volt, amikor valakinek a fejben megszületett, mint ötlet - bár a 'zügyfél jelszavának a megosztása a könyvet ellőkkel még sokkal rosszabb volt, ez is igaz... 

Van a DÁP-os login, van a TOTP-s 2FA és van az e-mailben érkező 2. faktor. A biztonság/megbízhatóság is ilyen sorrendben csökken. Ha az e-mailes "2. faktor" már kidobásra került, akkor annak csak örülni lehet. A hozzászólásomban a TOTP-ről egy betű nem volt egyébként... Ja, ha kérhetem, a jövőben betonba köss, ne belém, ha már az értő olvasás nem megy... 

Ja, ha kérhetem, a jövőben betonba köss, ne belém, ha már az értő olvasás nem megy...

Hát, eddig elég sok esetben hamarabb nyilvánultál meg, mint kellett volna, úgy, hogy vagy semmi alapja nincs a hozzászólásodnak, csak egy anekdota, ami valamelyik ismerősöddel pont akko történt meg vagy épp egy kitalált sztori - mint most, hogy az email 2FA csatorna csak a könyvelők miatt van és amúgy se biztonságos... mert csak.

https://iotguru.cloud

Pedig valami ilyen gittegylet potentátja hápogott, hogy nekik kell egy nem TOTP, nem DÁP lehetőség, ez az egyik. 
Az e-mail, mint 2FA szerinted biztonságos? Jó, legyen neked így - ennek ellenére ezt a 2fa csatornát a legtöbb értelmes helyen nem tartják annak. (Ja, már általános iskolában megtanították nekünk, hogy háttal nem kezdünk mondatot...)

És értő olvasás: nem azt írtam, hogy nem biztonságos az e-mailben küldött 2fa, hanem azt, hogy a három közül a legkevésbé "jó". De belekötésre jó próbálkozás volt... 

^ ez ismét csak üres kinyilatkoztatás, mindenféle alátámasztás nélkül... mert csak. :D

Ja, már általános iskolában megtanították nekünk, hogy háttal nem kezdünk mondatot...

Hát én azt meg leszarom, hogy neked mit tanítottak és miért tanították, illetve értetted-e akkor vagy érted-e most, hogy miért tanították ezt neked... gondolom nem sikerült rájönnöd, hogy ez a kijelentés egy abszolút szubjektív faszság, amikor tök hasznos mondatkezdő, stiláris szó, sőt, igen sok klasszikus írónk használta, illetve kortárs íróink is használják, például itt van rögtön Krasznahorkai... el kellene venni a friss irodalmi Nobel-díját a picsába, mert zeller szerint nem figyelt az általános iskolában eléggé. Időnként csodálkozok, hogy miért jó neked tátott szájjal belerohanni a faszerdőbe, de biztos van valami jó benne, különben nem csinálnád... :D

https://iotguru.cloud

Megint a gyógyszerre piáltál...? nem mondta a doki, hogy ne tedd? 

Azért az látszik, hogy nem értetted meg amit írtam, ezért leírom mégegyszer: 

Az e-mailben érkező 2. faktor a leggyengébb a három lehetőség (DÁP, TOTP valamilyen authenticator alkalmazásból, illetve e-mailben küldve) közül. A "leggyengébb ebből a háromból" nem azt jelenti, hogy sz@r, hanem azt, hogy van tőle jelen esetben kettő, megbízhatóbb/jobb/biztonságosabbnak tekintett megoldás.
Nézzük sorban:
-A DÁP-hoz az adott identitáshoz kapcsolt fizikai eszközzel kell rendelkezni, és az fel kell tudni oldani. (A biztonság attól függ, hogy a fizikai eszközhöz ki és hogyan fér hozzá, és azt fel tudja-e oldani.)
-A totp-hez rendelkezni kell az adott identitáshoz kapcsolt shared secret-tel, és azt oda kell tudni adni egy tetszőleges,szabványos TOTP alkalmazásnak. (A biztonság attól függ, hogy a shared secret-hez ki és hogyan férhet hozzá)
-Az e-mail esetén hozzá kell férni a levél tartalmához bárhol út közben. (A biztonság attól függ, hogy a levélhet a küldéstől a címzett postafiókjáig ki és hogyan fér hozzá.)

Az sms, mint 2. faktor valahol az e-mailben küldős megoldással van pariban, van olyan szempont, ami alapján az egyik, és van, ami alapján meg a másik jobb egy picit - de mindkettő nagyon gáz, és célszerű lenne elfelejteni mindkettőt.)



 

Megint a gyógyszerre piáltál...? nem mondta a doki, hogy ne tedd? 

Visszavágások nagymestere... :D

Az e-mailben érkező 2. faktor a leggyengébb a három lehetőség (DÁP, TOTP valamilyen authenticator alkalmazásból, illetve e-mailben küldve) közül. A "leggyengébb ebből a háromból" nem azt jelenti, hogy sz@r, hanem azt, hogy van tőle jelen esetben kettő, megbízhatóbb/jobb/biztonságosabbnak tekintett megoldás.

Oszt? Ugye onnan indultunk, hogy bármelyik authentikátor nem jó, mert bla-bla-bla, banki lófasz ez-meg-az, és egyéb magyarázkodások. Most ott tartunk, hogy akkor van TOTP, van email, csak most már a "gyengébb" a kifogás, alátámasztás nélkül, persze, mert csak.

de mindkettő nagyon gáz, és célszerű lenne elfelejteni mindkettőt

Ez megint csak lebeg a levegőben, mert csak.

https://iotguru.cloud

nyitott kapun döngetsz, a kaü azonosítás jelszó+totp módszerrel is egész biztosan használható, én is azt használom. A totp generálásra google authenticatort használok

értem mi a paswordless előnye a jelszó+totp-hoz képest, meg volt már itt a hupon is erről sok infó. De a saját állami portálhasználat usecaseimben nekem a jelszó+totp elég.

Ennek nem az app oldalon kell lennie, csxólok, hanem az adott felhasználó és eszköz beazonosításához kapcsolódóan a kiszolgáló oldalon. Vagy arra gondolsz, hogy kellene olyan app, ami mondjuk csak az adott ügyfél egyenlegének a lekérdezésére használható? És az csak egy bizonyos api hívást végezhet el, a többit meg nem... Az, hogy az alkalmazásban nincs benne, az nem védelem, ergo visszajutottunk oda, hogy a felhasználót és az eszközt is azonosítani kell, és ezek alapján szerver oldalon dönteni arról, hogy a kért funkció végrehajtható vagy sem, az adott api végpont válaszolhat-e neki, vagy sem. 

Aha. mert a cert nem szedhető ki az apk-ból... Nem véletlen, hogy nem a kliens által bemutatott cert az, ami releváns, hanem a deviceID, ami az adott fizikai eszközhöz kötött, ahol az alkalmazás fut. 
De gondolatkísérlet: kliens certet használunk. Ami adott funkcionalitásra való jogosultságot "bizonyít'. A "nincs joga" cert nem kell - ha nemmutogat ilyet, akkor nincs joga, tehát egyszerűsítettük a dolgot - a biztonság csökkentése nélkül. Azaz a teljes jogosultsággal működő alkalmazásban ott van egy cert (meg kulcs is, mert az is kell hozzá). Nomostan ezt hogyan cseréled? Mert ennek van lejárata... Hogyan véded attól, hogy kiszedje bárki is az apk-ból? Ha több számla felett van rendelkezési illetve betekintési joga az adott ügyfélnek, akkor az a cert melyik számlához ad milyen jogot? 
(nemrég volt szakmai körben egy egyeztetés ami az egységes deviceID kérdéskörét is érintette...)

A kliensen lévő cert/key páros akkor tekinthető megbízható forrásnak, ha a kulcs az eszköz erre rendelt tárolóelemébe kerül - ahonnan - fun fact - rootolás és az eszköz szoftveres módosítása nélkül nem tudod visszanyerni, kiszedni. Ha az apk "viszi", akkor az apk-ban ott van, azaz elvihető (letöltöm az apk-t, és kiszedem belőle) Ha meg az adott userre/device-ra egyedit generálunk a banki oldalon, és az kerül lerakásra a kliensen, adott deviceID-hoz kötve, akkor is meg kell oldani a cert frissítését úgy, hogy az mindenképp megtörténjen annak lejárata előtt. Ehez kell a banki oldalon egy megfelelő subordinate ca, hozzákapcsolva a netbanki/mobilos api-t adó rendszerhez, a crl-t is kell kezelje az api-t adó komponens valahol, etc... 

Szép általános "kép" messziről nézve, hogy legyen egy cert, ami alapján beengedjük a klienst valahova, csak ha az a "beengedjük" funkció még nem létezik ilyen formában, és nem is úgy van a teljes beengedési folyamat kialakítva, hogy ez "plugin"-nel belerakható legyen, akkor az igencsak szemmel látható összeget jelent fejlesztési, tesztelési, implementációs és üzemeltetési részről is. 

 

Technológiai szempontból igazad van, azt hiszem, hogy elbeszéltünk egymás mellett, illetve én nem értettem meg teljesen az igény felvetést.

Én arra gondoltam, hogy a fenti felvetés, hogy lenne egy full-feature app és egy másik, gyík app az egy jó ötlet, mert vannak emberek akik nem bíznak a mobilban, és szeretnék úgy növelni a biztonságot, hogy bevállalnak olyan funkciók elvesztését, amire ritkán van szükségük. Vagyis ez az igény, az önkorlátozás.

Példa erre, ha valaki azt mondja, hogy átutalást intézni csak nagy gépen hajlandó, a mobil legyen erre alkalmatlan, de egyenleg lekérdezésre használhassam. Ennek technikai megvalósítása már több is lehet, akár két külön app, akár egy.

El tudok például képzelni olyan full-feature appot, ahol működik és ki van tesztelve az emberek túlnyomó részének megfelelő teljes funkcionalitás, de van egy plusz réteg, egy plusz flag, ami csak PC -s kliensről állítható át, plusz auth körök után.

Ez a flag egy kid-mode lenne, vagyis ha aktív, akkor az olyan, mint a többi hasonló szolgáltatásban (Netflix, stb) a gyerek üzemmód. A program maga belül képes bármire is, de a felszínen elrejt bizonyos menüket, illetve a szerver oldal egyes API hívásoknál ha az accountnál aktív a kid-mode, akkor azt nem hajtja végre. 

A PC-s felületen lehetne beállítani, hogy mely GUI elemek (és API végpontok) engedélyezettek ebben az üzemmódban. Például az egyenleget meg lehet tekinteni. És lehet utalni napi egyszer egy fix összeget a fő számláról a vásárlós kártyára. De sehova máshova nem lehet utalást kezdeni. Ez nem egy rettentő részletes lista, hogy mit lehet és mit nem, most ezen a két dolgon kívül nem is jut eszembe más, amit a kid-módban engedélyezni kéne.

Ez így jó lehet önvédelemnek is, ha az ember részegen fekszik a kocsmapulton (vagy leütve az árokban) akkor sem tudják az ujjlenyomatával átutalni az orkok a teljes folyószámláját sehova.

Abban igazad van, hogy két külön app nem véd a célzott támadástól, de az a usecase ami ellen ez az önkorlátozó dolog hasznos, az nem az apk -kat élveboncoló hackertől való védelem, hanem a részegen a felelőtlenül, vagy öntudatlanul tett dolgoktól való félelem. Egy gyík képességű app amin látható a beállított kártya egyenlege (pl. ahogy az OTP-s appban is van) meg egy gomb, hogy "50 rongy átutalása a vásárlós kártyára", amit megnyomva kiszürkül, mert ezt napi egyszer lehet megnyomni, elég kényelmes, és többnyire elég is a mindennapokban.

Engem is megnyugtatna, ha a teljes pénzügyeim feletti kontroll nem korlátozódna a telefonomra, ha nem lennék teljesen kiszolgáltatva a bicskás embernek. Ez kicsit olyan mint a bankok páncéltermének az időzáras védelme: Még ha betörnek, akkor sem tudja kinyitni a pénztáros, így nincs értelme őt fenyegetni.

Emiatt én üdvözölnék egy szerényebb képességű appot.

Form follows function.

Nem üzemmód, hanem device az, amire a jogosultságokat állítani kell/lehet (pontosabban device+ügyfél+számla hármas alapján). Azt,hogy kicsoda-micsoda indítja a kérést, azt az userid+deviceid adja meg. 
A funkciók szerinti hozzáférés-szabályozás szerver oldalon valósítandó meg, ez tiszta sor. Ilyen már most is van - átutalási limitek meg közösen használt számlák hozzáférései esetében. Ezt kiterjeszteni ki lehet, és errefelé el lehetne menni, de ahhoz az összes funkciót lefedő elemi jogosultságtól a szerepkörökig mindent ki kell alakítani, hozzárendelni az alapértelmezett szerepköröket az ügyfél-számla párosokhoz (mert egy üf. több számla, illetve több üf. közös számla is létező konstelláció), illetve ezeknek a módosítására felületet összerakni, a módosítások jóváhagyási folyamatát megvalósítani (pl. meglévő utalási jog elvétele weben kattintás elég(?) új jog hozzáadása 2FA mobilról és hasonlók).

Jó felvetni ilyen ötletet, és jó rajta agyalni, de ahogy a Derrick und Harry blogban a "csak fel kel rakni egy mezőt" a webes formra kérésről is kiderült, hogy jóval több van benne, mint azt az igényló gondolta, itt is ez a helyzet. 

Minden esetre elviszem az ötletet ;)

Ezek megvalósításával kapcsolatban szkeptikus vagyok. Mondhatnám ironikusan azt is, hogy mindjárt jön Le-he-tet-len Mérnök Úr, és azt mondja, hogy mivel ez nem MNB követelmény és 0 Forintnál többe kerül, ezért DRÁGA.

Aztán esetleg egy külföldi fintech megvalósítja és jön a Pikachu-arc. Pár hasonló példa: ideiglenes számla ("web kártya"), egyszer használatos kártya, valós idejű kártya freeze, ingyenes valós idejű 7/24 átutalás.

Nekem is lennének ilyen niche igényeim: read-only user, hardware token MFA-hoz, vagy pl. ne legyen korlátozott a webes netbank.

Nem drága hanem szemmel látható költsége van. És aki ismeri, hogy az aranyszájú bülbülszemű nagytiszteletű emenbé milyen "ajánlásokat" ad, és azoknak hogyanlehet megfelelni folyamtosan az el tudja hinni, hogy az ezeken felüli fejlesztések csak akkor "férnek bele", ha a megfeleléshez szükséges dolgok elkészültek/működnek. Az, hogy egy nembank megcsinál valamit, az azt jelenti, hogy a nembank, ami nem MNB alá rendelt entitás talán kevesebb szabályozót, előírást "ajánlást" kell, hogy betartson... Ahogy azt egy OTP-s kolléga egy előadáson prezentálta is: maratoni futás - fintech cégek uptodate futócuccban, bankok meg ipari nehézbúvár felszerelésben... 

A litván Revolut az idén nyitandó fiókteleppel pl. nembank?

MNB-s követelmény volt-e szerinted:

OTP: Számlanyitáskor előkerültek a 22+ éves adataim a rendszerükből (Helló, GDPR!); OTPDirekt 6 karakteres jelszót engedett használni; új banki csatornák email címet használnak felhasználói azonosításhoz (egy max. számlakivonaton szereplő számsor helyett); le van butítva a webes felület (használd csak a Mobilbankot!); kutakodik a telefonon, mi van telepítve

Unicredit: Be lehetett állítani hosszú jelszót, csak éppen 8 karakter utáni részt eldobták

K&H: Nem lehet fizetési kérelmet (AFR) küldeni, csak fogadni; Kate; az üzeneteket egyesével lehet "leokézni" - új app telepítésnél évekre visszamenőleg kiírja a karbantartási időszakokat, azaz többszáz olvasatlan üzeneted lesz

A Revolut az otthoni előírások alapján, határon átnyúló szolgáltatásként volt/van jelen, amikor fióktelepet nyit, akkortól az MNB (is) fogja őket töcskölni a hazai előírások ("ajánlások" betartása kapcsán...)

OTP... Ezek szerint az, amit 2013-ban tapasztaltam, hogy ti. 1998-'99 táján megszüntetett számlám ellenére az ügyféladatok ott voltak az éles, nem archív rendszerben, az nem változott...? (Mobiltárca okán mentem hozzájuk anno újra számlát nyitni, és a 10+ éve lezárt számlaadatok is elérhetőek voltak...) 
Mivel a szolgáltatásaikat ~10 éve nem veszem igénybe (A mobiltárca kivezetéséig voltam ügyfelük), így a többiről nem tudok nyilatkozni - véleményem az van, mellérakva, hogy nagyon nagyok (nem csak pénzügyi szempontból), így nem csodálkozom azon, hogy a "kötelező"-ket is rugalmasan kezelhetik itt-ott...  (Az app "kutakodik a telefonon, mi van telepítve" arról szól, hogy ismert kártékony/rootolásra használt/stb. motyó mellett a mobilos app nem működhet.)

Unicredit-et nem ismerem, ha tényleg így van, akkor érdemes feltenni nekik a kérdést, hogy ezt tapasztalod, erősítsék meg vagy cáfolják a dolgot. Mindezt írásban. utána ha megerősítik, akkor mehet az anyag a felügyelet (MNB illetékesei) felé. Anno egyébként a Citibank csinált olyat, hogy a netbanki jelszóban a kis- és nagybetűket nem különböztették meg - és ezt meg is erősítették, azzal "védve", hogy a netbank titkosított csatorna, így ezért biztonságban van a számlám, pénzem... 

Az IG3/AFR témában nem tudom, hogy áll most a kötelezően implementálandó funkciók listája - ha kötelező, és nincs, akkor az gáz, bár láttunk már olyat, hogy bizonyos entitások bizonyos funkciókra haladékot kaptak... 
Az új app telepítésnél első blikkre azt gondolom, hogy a specifikáció alapján az eszközhöz kötötten jelzi az üzenet státuszát - ami egyrészt lehet jó is, másrészt meg ahogy írod is, kényelmetlen/kellemetlen is. Az, hogy egyesével kell az üzeneteket végignézni és olvasott állapotba billenteni, az a bank saját hátsójának a védelme miatt van - így ugyanis nem mondhatja az üf. hogy nem látta az adott üzenetet. (Lehetne persze olyan naplózást csinálni az üzenetkezelésben, ami a megjelenítést is, illetve a tömeges "elolvasva/nem érdekel" státuszba billentést, mint tevékenységet rögzíti - vagy akár lehetne cifrázni azzal, hogy az üzenet érvényességi idejét beállítani, és azt követően egy "lejárt üzenetek megjelölése olvasottként" funkciót belerakni, stb. 
Nekem volt olyan mobilos app-hoz szerencsém, ahol a listában nem látszott, hogy melyik üzenetet olvastam már, és melyiket nem... De ezt aránylag gyorsan rendbehozták, mert gondolom nem csak nekem "fájt"... 

OTP... Ezek szerint az, amit 2013-ban tapasztaltam, hogy ti. 1998-'99 táján megszüntetett számlám ellenére az ügyféladatok ott voltak az éles, nem archív rendszerben, az nem változott...? 

Nekem ez 2019-es infó, akkor nyitottam újra náluk számlát.

Unicredit-et nem ismerem, ha tényleg így van, akkor érdemes feltenni nekik a kérdést, hogy ezt tapasztalod, erősítsék meg vagy cáfolják a dolgot.

2010-es infó. Bankfiókban kellett a zárolást leszedni az accountról, ennek örömére meg is szüntettem náluk a számlámat.

A K&H-nál tavaly decemberben azt mondták, hogy nem is tervezik bevezetni a fizetési kérelem küldését.

Az üzenetek elolvasásának szükségességét meg tudnám érteni, ha az jövőbeli időpontra mutatna. De hogy miért kell egyesével tudomásul venni az ügyfeleknek, hogy az elmúlt 3 évben volt kb. 200 karbantartásuk, azt a fejlesztőtől kellene megkérdezni.

Az integritás ellenőrzését véleményem szerint a platform tulajdonosra kellene bízni. Ez így spyware funkció. PC-n egy hasonló húzásért fél nap alatt a világ összes víruskeresője blokkolná és eltávolítaná az OTP cuccát, aztán Csányi Úr mehetne hason csúszva elnézést kérni mindenkitől.

"Az integritás ellenőrzését véleményem szerint a platform tulajdonosra kellene bízni." - Az MNB "ajánlása" szerint meg a mobilbanki alkalmazás nem futhat rootolt vagy rootolás-gyanús készüléken - ahhoz meg sajnos szükséges, hogy tudja, milyen "szomszédokkal" osztozik az eszközön... 

Te beköltöztetnél egy kritikus munkafolyamatot egy egyterű, megosztottan használt irodába úgy, hogy nem néznéd meg, kik ülnek még ott, és nem csekkolnád le az iroda üzemeltetőjét, illetve biztonságát? Ez bammeg nem privacy, hanem biztonság,hogy láthatóan sz@rkupac közepén NE lehessen mobilbankolni. Nem gyűjti ezeket az adatokat senki, mert a rossebet se' érdekli, hogy az 3.14nAI éájos pucérnő-rajzolós app fent van-e a telefonodon vagy sem, ahogy az sem, hogy mik vannak a telefonkönyvben, az üzenetekben, az akárhol is - MNB elvárás, hogy a bank tegyen meg minden tőle telhetőt azért, hogy módosított OS-sel működő telefonon NE lehessen futtatni a mobilbanki alkalmazást. 
 

Erdekes, a PC-men minden gond nelkul tudok bankolni, pedig debain-ban meg root is vagyok :D

"kritikus munkafolyamatot" - nyilvan bazmeg, az eltorzult vilagodban a "bankolas" az valami olyan szuperkirtikus munkafolyamat, hogy csak na.

Nem gyűjti ezeket az adatokat senki, mert a rossebet se' érdekli, hogy az 3.14nAI éájos pucérnő-rajzolós app fent van-e a telefonodon vagy sem

Ezt ugye megint higgyuk el neked meg a banknak, mert csak.

Amugy azt meg megsugom a draga bankoknak, hogy egy root-olt telefon altalaban veve biztonsagosabb (a felhasznaloja miatt), mint a Store-bol random fingos appokkal telerakott frissitetlen csamcsung.

De ugysem fogod megerteni, mert szektas vagy.

Nem kell elhinned senkinek semmit.. 
 

A lentiek tapasztalatok:


A legtöbb olyan felhasználónak fingja nincs arról, hogy mi történik a telefonján, csak abban a kényszerképzetben van, hogy igen. Videós segítségekből vadásszák össze a félinformációkat, kétséges forrásokból szerzik be a szoftvereket. (ez kb a 80%-a az ilyen "power" usereknek)
 

Fel kellene fognod, hogy a bank leszarja, ha viszik a pénzed, csak ne őt okold érte. De te a bankot fogod, sőt, a regulátor is elvárja, hogy a banki app csak nem rootolt környezet, frissített rendszeren fusson csak.

 

De ugysem fogod megerteni, mert szektas vagy.

Ebből a székből nézve nem rá mondanám, hogy szektás, ha választani kellene. 

Nem véletlenül kell a pécés bankoláshoz outband 2. faktor...  A bankolás nem szuperkritikus annak, akinek mindegy, hogy mi lesz a pénzével, de annak, akinek a számlája fontos/kritikus dolog, annak bizony nem mindegy. 
Te gondolom a pénztárcádat is kirakod egy közösen használt egyterű irodában az asztalodra és oda se nézel, hogy kik-mik járnak-kelnek az asztalod körül... 

"Ezt ugye megint higgyuk el neked meg a banknak, mert csak."

Megnézheted az alkalmazást, szétszedheted, vizsgálhatod, hogy mit csinál. milyen adatokat gyűlt, milyen adatokat küld és fogad... Ahogy teszik azt minden ilyen alkalmazás esetén a kommunikáció "mindkét végén" arra felkért/feljogosított független auditorok. És ha disznóságot csinálna egyik vagy másik ilyen alkalmazás, szerinted mennyi idő lenne, hogy ezt publikálja valaki? 

"egy root-olt telefon altalaban veve biztonsagosabb"

Aha, Tehát ha a random alkalmazások bármihez is hozzáférhetnek, akkor az biztonságosabb, mintha nem... 

Lehet almodozni, de a bankszektor technologiai szintje javareszt megragadt a 90es evekben. Ha nem lenne nyomas mnb es fintech szolgaltatok oldalarol, akkor kb ma is java appletek lennenek user+pw parossal :(

<fun>sztem pont azert zavarja zeller szemet hajbazer mert az xp retro trollkodas igazabol egy karikatura a bankszektorrol ;)</fun>

Lehet ezt hinni, de nem ez a helyzet - az MNB rengeteg jó és hasznos iránymutatást, javaslatot "jó gyakorlatot" ad/mutat/oszt meg a szektorban, amiket követni kell/javasolt - és van nagyon sok olyan "jogászkodás", amit meg szinte lehetetlen értelmes keretek között teljesíteni - és azt is meg kell csinálni.

 

OTP app -ban be lehet állítani, hogy belépés nélkül lásd valamelyik számlád egyenlegét. Ezt szeretem, mert a vásárlós kártyára (aminek az adatait megadom minden fiszfasz webshopnak) elméletben csak akkor teszek pénzt amikor el is akarom róla költeni. De a gyakorlatban mindig van rajta 10-20 ezer forint, és mivel egyből látom, hogy mennyi, alkalmasint be sem kell lépnem az appba hogy utaljak a számláim között, ha elég ami rajta van.

Ez minden auth nélkül egy read only funkció, és én döntöm el, hogy mi az az infó ami szabadon megjelenhet, így ez nekem teljesen rendben van.

Form follows function.

( nagy_peter v | 2026. 02. 03., k – 19:39 )

Általában a legtöbb telefon megengedi, hogy a kód mondjuk négy darab 0 legyen. Azt, hogy a kikapcsolt kijelző mellett lezárjon, fel lehet emelni akár egy napra is (adb parancsal biztosan, ha az adott telefon menüje nem engedné). Így ha minden nap használod a telefont, sosem kér kódot, ha pedig kimarad egy nap, akkor 4 darab 0-t kell beírni. Az ujjlenyomatot / arfelismerést pedig nem kell bekapcsolni a pin kód mellé. Így bár van hivatalosan 4 darab 0-ból álló kód a telefonon, mégis szinte sosem kell beírni, biometrikus adatokat sem kell megadni, és ennek ellenére minden app szerint "biztonságos".

Nagy Péter

Én nem azt mondtam, hogy így érdemes használni a telefont, de a kérdezőnek gyakorlatilag az a kérdése, hogy "A közösképviselő mostantól elvárja, hogy minden ajtó kulcsra legyen zárva, de ő a sajátját továbbra is nyitva szeretné hagyni. Hogyan teheti meg ezt úgy, hogy a közösképviselő se szólhasson miatta?".

Nem mondom, hogy ez lenne a követendő, vagy a javasolt viselkedés, de ha őt nem érdekli, hogy más bemehet a lakásába, akkor az a kézenfekvő megoldás, hogy a kulcsot kintről a zárban hagyjuk. Így a közösképviselő kérése is teljesül, meg neki sem kell kulcsot vinnie magával.

Nagy Péter