"Második faktornak továbbra is tökéletesen alkalmas az SMS"
Ez továbbra is a te egyéni véleményed az üfk+ kapcsán - szerencsére nem te fújod a passzát-szelet ezzel kapcsolatban.
"A "NEM" ugye itt arra vonatkozott, hogy NEM értetted meg, amit leírtam."
Arra vonatkozott, hogy nem az identitást kell tudni átadni, hanem feladatra jogosultságot adni másik identitásnak. Nagyon nem mindegy. Ha nem érted a user és a jogosultság közötti különbséget, akkor a hiba a te készülékedben van.
"legnagyobb seggberúgás a papucsos pizzazabáló üzemeltető macinak jár, aki lusta megoldani, hogy Micike és Mancika hozzáférjenek ugyanahhoz a hálózati erőforráshoz a saját userükkel. "
Az üzemeltetőnek semmi köze ahhoz, hogy milyen jogosultsági rendszer működik az általa üzemeltetett környezetben. Ha nem érted az üzemeltető és az architect/fejlesztő közötti különbséget, akkor a hiba a te készülékedben van.
"Ezért inkább szívjanak az okostelefon nélküli tudatos felhasználók. "
Már most is (sőt, a sima üfk-nál is) megvolt a lehetősége meghatalmazásra, semmi köze a DÁP/üfk+ bevezetésének ehhez - maximum annyi, hogy a DÁP okán meghatalmazást _kell_ adni, mert a teljes identitás átadása a jelenlegi módon nem fog működni - mivel a jogkövető magatartást az esetek 99.9%-ában ki fogja kényszeríteni az üfk+ (A maradék 0.1% az, amikor a debil üf. odaadja a telefonját (ezzel az elektronikus okmányát) a másik baromnak, illetve zoom/meet/távoli hozzáférés keretén belül az üf. a saját eszközének mutatja meg a másik delikvens képernyőjén megjelenő QR-kódot...)
Szóval ha egy lépést hátrébb lépünk, akkor valóban szívás lesz egyeseknek, de nem csak a DÁP, hanem az üfk+ nem jogszerű felhasználói miatt.
" A DÁP-os mobilok döntő többsége semmiféle menedzsmentet nem fog kapni és pont úgy fognak rá vígan települni a malware-ek, ahogy eddig."
A hülye usert nem a saját hülyeségétől nem lehet 100%-ban megvédeni, ez igaz. De azt mi a tökkel magyarázod, hogy (elég nagy merítéssel rendelkezem céges és magán környezetből is) nem futottam bele ilyen problémába...? Igen, a telefont is lehet ésszel használni.
"Továbbá, egy nem managed eszközön senki nem fogja garantálni, hogy a user nem rak fel APK-kat. Márpedig egy olyan környezetben, ahol a Google visszaél a Play Store fölötti uralmából adódó monopolhelyzetével, és kitiltja onnan pl. az alternatív Youtube-klienseket, ott be lesz kapcsolva az ismeretlen forrásokból telepítés és ezért konkrétan a Google a felelős, mivel ahelyett, hogy rendbe rakná a Play Store-t, korlátozza a felhasználói szabadságot."
Alapbeállítás, hogy csak megbízható forrásból megy fel alkalmazás. Elvárod, hogy biztonságos legyen, de legyen szabad bárhonnan bármilyen sz@rt felrakni, mert például a YouTube felhasználási feltételeit ignoráló alkalmazásokat (azaz nem jogszerűen működő szoftver) nem lehet máshogy telepíteni... Döntsd el, hogy szabadon lehessen bármit bárhonnan telepíteni (ahogy a desktop-ra is), vagy biztonságos legyen, és csak egy legalább alapszintű vizsgálatin átment alkalmazások kerülhessenek fel az adott eszközre. A bármit bárhonnan _és_ biztonságos is legyen együtt nem egy létező opció.
"ezért minimum két faktorra (értsd: két eszközre) lenne szükség egy olyan kritikus szolgáltatásba való belépéshez, mint a DÁP/Ügyfélkapu. Ehelyett egy eszközre erőltetik, azokat pedig ellehetetlenítik, akik okostelefon nélkül szeretnék használni kétfaktorral, pedig sok esetben lehet, hogy épp a TOTP biztonságosabb Tapicskoló Tamás fossá-húggyá fertőzött okostelefonjánál."
A TOTP _nem tud_ biztonságosabb lenni egy de facto outband, time/cert/deviceID based challenge-response megoldásnál, a shared/elvihető secret miatt sem. És ha x user telefonja tele van malware-rel, ami mondjuk képes arra, hogy a DÁP telepítése során(!) eltérítse a kulcsgenerálást, mint OS-funkciót (ez kell ahhoz, hogy az adott eszközt, és ezzel a hozzá kapcsolódó okmányt el tudja lopni a malware), akkor vajon a desktop-on a TOTP secret-et hogyan fogja biztonságosan megoldani? Ja, nem desktop-on, hanem telefonon, amin a totp secret eléréséhez a DÁP-os környezetből történő identitáslopáshoz kevesebb okosság kell, ráadásul azt bármikor is megteheti, hiszen a kritikus adat (totp secret) időben nem változik, és a tárolása sem olyan...
"Semmilyen módon nem indokolja az Ügyfélkapu+/TOTPkivezetését és az okostelefonkényszert az, hogy te mibe futottál bele a saját tesztelgetéseid által."
Nem is azt mondtam, hogy ez indok, hanem azt, hogy desktop-on, ahova bárki, bárhonnan, bármit telepíthet sokkal többször lehet belefutni kártékony dologba, mint mobilon, ésszel telepítve dolgokat.
A sima TOTP kivezetésének több indoka is van - az, hogy ez a lépés rettentően nagy ugrást jelent, az más kérdés. (A sima user/pw sem túl régen lett kihajítva, az egy fokkal jobb TOTP szerintem a jogszerűtlen használati szokások miatt is kerül lapátra - amellett, hogy annak a kiszolgáló-oldali üzemeltetése, karbantartása plusz költség; sajnos ezzel együtt az e-személyis azonosítás is megy majd a levesbe, amit kifejezetten sajnálok (a user/pw -t illetve a TOTP-t nem); ahogy talán már írtam is, ez ellen, nem pedig a TOTP kihajítása ellen kéne ágálni.