[update] "Feltörhették az OTP Simple rendszerét"

Hozzászólások

Popcorn bekészítve... Akkor is, ha igaz a hír és akkor is, ha nem.

És ezzel mit is érnek el? Mert ez így tuti bukó lesz számukra erkölcsileg, IT biztonságilag. Talán jogilag is....

A másik, hogy talán meg kellene fizetni az OTP / Simple IT-sokat, megfelelő eszközöket kellene alkalmazni. Ha olyan megbecsültek az emberek, mint a MOL-nál, akkor semmin se csodálkozom.

Tehát anyagi kárt nem történt, de nyilván kellemetlen.

Itt a felhasználó volt a balfasz, messzemenőleg. Ha nem ő lett volna a balfasz, akkora nem-balfasz felhasználókat is érintette vona, de őket nem érintette.

Egyelőre úgy tűnik jól kezelték a dolgot, kizárták a támadókat, a balfaszokat pedig jelszóváltoztatásra kényszeritették, ill. a bankkártyáikat is újra digitalizálniuk kell, ha volt nekik.

Ha illetéktelenek hozzáférnek a személyes adataidhoz az kár, amiért valakinek felelnie kell.

Nem, a szolgáltató volt a hibás aki baszott MFA-t fejleszteni a webes elérhetőségre, ezzel megakadályozva az illetéktelen hozzáférést.

.. és honnan a tökömből tudják hogy melyik authentication request jött a usertől és melyik a támadótól,
amikor a webes bejelentkezést nem kellett jóváhagyni és bármilyen NAT-olt környezetből, külföldi IP range-ből valid request jöhetett?

Kurvára félrevezető és hazug a kommunikációjuk.

1. Minek megkülönböztetni? Webes belépést leállitották, mobilos belépés pedig eddig is több faktoros volt, aki ott be tud lépni, annak joga van a jelszóváltoztatásra, ő a user és nem a támadó.

2. Az meg, hogy ki változtatott e-mailt szintén tudják, arról nem beszélve, hogy valószinűleg azonos ip-kről jött az összes támadás.

3. Maga a user is tudja a problémát, mert jó ideje email-t küldenek minden egyes webes belépésről, igy azonnal látod, hogy beléptek a nevedben.

Tényleg és hogy tájékoztatott? Mindig azt mondják, h ők sosem írnak emailt, sosem hívnak fel! Akkor kiment egy futár v. mit csináltak? Tehát ha emailen v telefonon ment az értesítés, akkor pontosan azt az igéretüket szegték meg, aminek ismeretét elvárásként szokták megfogalmazni az ügyfelek felé, miszerint ők sosem keresik ezen a módokon, ami összeségében rombolóbb hatású lesz, mintha nem értesítettek volna, mert továbbiakban nem lehet tudni, hogy tényleg a bank a megkereső fél-e?

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Érzékeny kérdés. Ha telefonálna a bank, én nem akarnám magam azonosítani, mert nem tudom, ő kicsoda. Bárki is lehet. Esetleg azt mondhatja, menjek be a bankfiókba, mert ilyen és ilyen ügyben beszélnünk kell. Ha olyan szolgáltatást mond, ami nekem nincs, azonnal tudom, hogy spammer. Ha olyat mond, ami érvényes, akkor bemegyek élő valómban, a legrosszabb, ami történhet, hogy rámcsodálkoznak, miért is mentem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

akkor bemegyek élő valómban, a legrosszabb, ami történhet, hogy rámcsodálkoznak, miért is mentem

Neked van idod ilyenekre? Remelem nem olyan banknal van szamlad aminek csak Budapesten van fiokja es te onnan 200km-re laksz...

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Neked ebben tökéletesen igazad van. Annyit azért az igazság kedvéért tegyünk hozzá, nekem épp ennyire esik rosszul, amikor valaki az SMS második faktor kivezetését szorgalmazza, mert ezzel eléggé bajba sodorna. Tudom, ha szerencsém van, akkor lehet okostelefon nélkül authentikálni, de ehhez szerencse is kell, meg nem biztos, hogy annál a banknál, amelyiknél a pénzem van, ez lehetséges. És még mindig nincs okostelefonom, s nem is tervezem, hogy legyen.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

nekem épp ennyire esik rosszul, amikor valaki az SMS második faktor kivezetését szorgalmazza

Nekem pedig az esik rosszul, hogy kotelezo magyar bankszamlahoz magyar mobilszamot megadni ahova az SMS-t kuldik, kulfoldit miert nem lehet?

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

még mindig nincs okostelefonom, s nem is tervezem, hogy legyen.

Szerintem manapsag mar nem annyira nagy befektetes es belepo kategorias okostelefon, hogy ne lehetne barkinek meg akkor is ha csupan egyetlen celra hasznalja (pl. bankolas), sot ugy meg biztonsagosabb is.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Az egyik gond ezzel, hogy belekényszerítenének egy felesleges beruházásba, ami ráadásul nem örök. A másik a privacy, mert gondolom, úgy kezdődne Android esetén, hogy fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát, amelyeket viszont nem fogadok el, mert az abban foglaltakkal nem értek egyet. Meg GPS, meg egy rakás szenzor, meg netkapcsolat, és ez így együtt. Nem kell.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem. Viszont az előző számítógépem úgy volt talán13 és fél éves, hogy volt benne alkatrész még az azt megelőzőből is. A telefonokat nem támogatják ennyi ideig, az akkumulátoruk is tönkre megy. Ráadásul egy drága eszköz ahhoz, hogy hozzájussak a pénzemhez, amelyért megdolgoztam.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

az előző számítógépem úgy volt talán13 és fél éves, hogy volt benne alkatrész még az azt megelőzőből is. A telefonokat nem támogatják ennyi ideig

Mutass nekem egy szamitogep gyarto ceget amelyik 13.5 evig tamogatja a termekeit (hivatalosan). Amit te itt "tamogatasnak" nevezel az gyakorlatilag nem letezik. Ha az altalad leirt "tamogatast" nezzuk, akkor ott van a LineageOS es tarsai mobilokra.

Ha a telefon hardverrel van gondod, akkor vegyel Fairphone-t, itt tudod kulon megvenni a cserelheto reszegysegeket.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Mindkettővel gondom van. A félvezetők miatt nem aggódom, de az akksik megmakkannak, nem éri meg cserélni azokat. A másik pedig a software-es támogatás. PC-re a mindenkori legfrissebb Fedorát upgrade-eltem, az oprendszerem up to date volt az öreg hardware-en is, nem vagyok róla meggyőződve - bár nem tudom -, hogy ezt meg lehet tenni telefonnal is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A félvezetők miatt nem aggódom, de az akksik megmakkannak, nem éri meg cserélni azokat.

A jelenlegi SMS-t fogado mobilodban nincs akkumulator vagy annak az aksijara orok garancia van?

A másik pedig a software-es támogatás. PC-re a mindenkori legfrissebb Fedorát upgrade-eltem, az oprendszerem up to date volt az öreg hardware-en is, nem vagyok róla meggyőződve - bár nem tudom -, hogy ezt meg lehet tenni telefonnal is.

A jelenlegi SMS-t fogado telefonodon mikor frissitettel utoljara szoftvert vagy firmware-t? Egyebkent erdekes egy PC-t egy mobiltelefonnal osszehasonlitani, almat a kortevel?

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Miért almát körtével? Mindkettő számítógép, mindkettő Linux alapú. A jelenlegi telefonom akksija szerszám, szerviz háttér nélkül cserélhető, elfogadható áron hozzá lehet férni emlékeim szerint az akksihoz, bár már rég néztem.

A jelenlegi telefonom a 2G szabványt tudja. Ugyanakkor nem vagyok meggyőződve arról, hogy egy banki alkalmazás nem ír elő olyan feltételt, hogy minimális OS verzió Android 43527.20114, mert ennél kisebb verzión nem fut.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Miért almát körtével? Mindkettő számítógép, mindkettő Linux alapú.

Ilyen alapon osszehasonlithato egy nyomtatoval vagy egy mosogeppel is, azokra is igaz a fenti allitas :)

A jelenlegi telefonom akksija szerszám, szerviz háttér nélkül cserélhető, elfogadható áron hozzá lehet férni emlékeim szerint az akksihoz

Ugyanez elmondhato a Fairphone-rol is.

A jelenlegi telefonom a 2G szabványt tudja.

Ezek utan mar csak arra vagyok kivancsi mennyi idobe telt atallnod a szemelyes/telefonos ugyfelszolgalatrol netbankra anno es mik voltak ellene a kifogasaid :)

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Érdekes az a szemléletmód, amiért azokat, akiknek fontos a szabadság, egyesek lenéznek, butának, maradinak gondolnak. Önmagában a technológiával nincs bajom. Tervezek herdware-t, s nem legózós módon, nem kész modulok összeillesztgetésével, hanem áramköri szinten. Mérőerősítőket, számítógépeket. Írok firmware-eket C-ben, assembly-ben. Nem a technológiával önmagában van bajom, hanem a technológiai változások azon részével, amelyik elveszi a szabadságom, kontrollálhatóvá tesz, sérti a magánszférát, az intimitást, a személyes teret, a privacy-t, amelyik beszivárog az emberi kapcsolatokba.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az SMS, mint ezer(huszonnégy) sebből vérző 2. faktor kivezetése jó/nem jó/neked fájna a téma. Igen, azoknak, akik csak SMS-t tudnak 2. faktorként használni, ez nagyon fájdalmas lenne, emiatt _nem_ vezethető ki. Azon, hogy opcionálisan, per user/ügyfél kikapcsolható legyen az SMS fallback, az már lehet gondolkodás tárgya - ha jól van marketingelve, akkor még akár üzleti előny is kovácsolható belőle.

Úgy emlékszem, amikor beszéltem arról, hogy Claws Mailre nem tudtam beállítani a céges levelezést, volt arról szó, hogy az Office365, vagy mi kér TOTP-t. Én azt látom, olvassam le, hogy az authentukátoromon - ami egy okostelefonos alkalmazás -, azt látom-e, hogy bekeretezve 93. Hogyan képzeljem el ezt offline, terminálból, linuxos PC-n? Tényleg érdekel, mert ha egyszerűbb az SMS-nél, amit egyébként erőst kétlek, lehet, hogy alkalmazni fogom!

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Én is ezt mondtam, így született az a kompromisszumos megoldás, hogy lett céges SIM-kártyám, amelyet saját dual SIM-es telefonomba tettem. Mindez azok után, hogy home office-ból nem léptem be egy online meetingre, majd felhívtak, hogy miért nem vagyok ott. Mondtam, hogy azért, mert második faktor. :)

Szóval mondod azt, hogy TOTP, offline, miegymás, de ebben az esetben ez mégsem, vagy igen, csak máshova kell kattintanom, vagy mi a helyzet?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem tudom, hova nem léptél be, milyen 2FA-t nem voltál/vagy halnadó a munkád kapcsán _kötelező_ feladataidhoz használni. Én munkáltatóként két lehetőséget vázolnék előtted: kapsz egy céges alsó polcot mobilt, amivel tudod végezni a céges feladataidat, tudod használni a céges felhős szolgáltatásokat, vagy b-tervként egy találkozót a HR-es csapattal.

Update: O365-höz valóban a MS Authenticator kell 2. faktornak, ott van a három darab kétjegyű számból válaszd ki az, amit a webes felületen látsz kérdés. Így jártál (vagy járt a cég): a munkádhoz KELL ez az alkalmazás. (Apropo, az O365 esetében is el kell fogadnod egy rakat felhasználási feltételt, ami egyébként azzal, hogy az azt használó cég alkalmazottja vagy,  implicit módon megtörtént...)

Nah, ertelmes hozzaszolas.

Önmagában a technológiával nincs bajom.

Miert hangzik ugy mintha felnel tole?

En sem ertek egyet azzal, hogy nyomjak az arcomba a reklamokat es profiloznak, viszont egyelore tobb elonyet latom mint hatranyat az okostelefonnak a napi rutinomban. Sokaig nem vettem, mert: 1. draga volt 2. meloban es otthon is volt internet, utkozben meg minek? Aztan 2016 korul rajottem, hogy van haszna utkozben is es az arak is csokkentek mert tomegtermek lett.

Nem a technológiával önmagában van bajom, hanem a technológiai változások azon részével, amelyik elveszi a szabadságom, kontrollálhatóvá tesz, sérti a magánszférát, az intimitást, a személyes teret, a privacy-t, amelyik beszivárog az emberi kapcsolatokba.

Ez ugy hangzik, mintha attol felnel hogy beszippantanak azok a dolgok amiktol tavol akarsz maradni ha veszel egy okostelefont. Az egy ertheto erv a vasarlas ellen ha ugy gondolod, hogy nem csupan a banki appot hasznalnad rajta, hanem egybol befigyelne a tiktok, snapchat, stb. Lazan kapcsolodo cikk.

Amit leirsz, hogy elveszi a szabadsagod, stb. az nem igaz ha csupan ugy hasznalod mint egy celszerszamot. Pl. banki app feltelepitve, amikor nincs szukseg ra akkor kikapcsolva a fiokban hever vagy Faraday kalitkaban van.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

belekényszerítenének egy felesleges beruházásba

Az SMS-el is, hiszen a regi telefonok nem tudtak olyat fogadni, muszaj volt ujat venned...

ami ráadásul nem örök

Mint ahogy a felhasznaloja sem, de meg a bolygo sem... Szerintem a butafonokat sem 200 eves elettartamra terveztek :)

A másik a privacy

Feltetelezem, hogy hasznalsz internetet ha szoktal ide irni. Gondolom az IP cimed alapjan nem vagy azonosithato a Google vagy a HUP szamara. Az SMS kepes telefonod helyzetet sem lehet bemerni haromszogelessel.

fogadjam el a Google ÁSZF-ét és adatvédelmi nyilatkozatát

Nem tudom, biztosan. De elfogadhatod helyette az Apple ASZF-et vagy a Huawei ASZF-et ha nem tetszik a Google szerzodese.

Meg GPS, meg egy rakás szenzor, meg netkapcsolat, és ez így együtt.

Ha kizarolag bankolashoz kell akkor arra az 5 percre amig bekapcsolod es belepsz a netbankba nem mindegy, hogy milyen szenzorok vannak benne?

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ha kizarolag bankolashoz kell akkor arra az 5 percre amig bekapcsolod es belepsz a netbankba nem mindegy, hogy milyen szenzorok vannak benne?

Ráadásul - mint az közismert már elhangzott - a működéshez nem szükséges sem netkapcsolat, sem GPS, nyugodtan maradhat offline / repülő üzemmódban, mindössze a nagyjából pontos időre van szüksége (hogy egyszerre váltson kódot a két oldal). Ebből a szempontból nem szükséges "okostelefon" hozzá, mert a kulcsgenerálás elfut egy kenyérpiritón is. A TOTP generálás nem platformfüggő, keresztbe-kasul mindenki olyan klienst használ hozzá, amit akar. Van opensource megoldás is, egyáltalán nem létszükséglet a nagy gyártók alkalmazásait használni, mégkevésbé egyes platformokat, ökoszisztémákat.

Ha te erre a célra egy rPI Pico-t használsz egy mini kijelzővel, az is tökéletesen működik. 
https://eddmann.com/posts/building-a-2fa-totp-generator-using-a-raspber…

Meg eleve, mivel okostelefon nélkül a mobil (nem helyhez kötött) használat elég körülményes (telefonos bankolásnál még nem szoktak TOTP-t kérni), rendes számítógépen ezer megvalósítás közül választhatsz.

A telefonos megoldás azért praktikus, mert így a 2FA tényleg növeli a biztonságot: a "something you know" mellé lesz egy "something you have" faktorod is. Aminek persze valamilyen szinten az SMS is megfelel, ha nem lenne ennyire egyszerű hozzáférni.

Rádiózom, nem a levegőbe beszélek (amúgy dehogynem :D ) - kell hozzá egy pár ezer forintos SDR vevő, némi doksiolvasás és ügyeskedés, és gyakorlatilag tudod venni a környékbeli bázisállomás összes kiküldött SMS-ét. A GSM alapú SMS olyan, mint a telnet, csak még olyanabb, mert még wiretapping sem kell hozzá, szórja a bázisállomás plaintextben az üzeneteket..

Meg sem fordult a fejemben hogy az MFA-t és biometrikus azonosítást használó applikáción
kivül van egy elkúrt webszolgáltatásuk is ami nem követeli meg az MFA-t.

OTP-nél dolgozol egyébként hogy ilyen serényen véded a profitjukat?

Amíg de jure nem kötelező az Simple app/webes felület szolgáltatásaihoz az MFA... Ahogy ugye a magyarországponthu-hoz sem kötelező - a rossz nyelvek szerint azért sem, mert vannak azonosításra azt használó rendszerek, amik nem készültek fel a pluszos, 2FA-s loginra...
Szvsz. az, hogy a simple esetén nincs 2FA ugyan baj, de nem katasztrófa - sokkal nagyobb baj az, hogy a mohu-n nics kötelezően...

Nálam konkrétan opció sincs rá a mobilos app-ban (iOS).

Szerencsére a jogiosztály már letette az asztalra!

Tájékoztatunk, hogy 2023. 12.11-i hatállyal módosulnak a Simple Általános Felhasználási Feltételei, melyben a következő módosítások és új feltételek lépnek hatályba a jelzett dátumot követően:
– kétfaktoros Simple-fiók azonosítás bevezetése,
– "Full Extra" készülékbiztosítási csomag bevezetése,
– egyéb pontosítások.

üdvözlettel:
a Simple csapata

Amiket én használok:
Parkolás: Parkl
Autópálya matrica: https://ematrica.nemzetiutdij.hu (én ezt használom, évest veszek, így évente csak 1-szer kell vele foglalkoznom)
Közlekedési jegy és bérlet: Mobiljegy alkalmazás (előre feltölthető az egyenleg az NMFR portálon (https://szolgaltatasok.nemzetimobilfizetes.hu/), nem kell bankkártyát rögzíteni benne)
MÁV jegy és bérlet: MÁV alkalmazás

Autópálya matrica:
- https://nemzetimobilfizetes.hu/applikaciok (Nemzeti Mobilfizetési Rendszer néven fut egy app Apple Store-ban, amivel tudsz parkolni, matricát venni és közlekedési mobiljegyet is venni)

Sok-sok betöltendő álláslehetőség az IT területen. Linkedin rendszeresen küldi a listát. Van hogy ugyanarról a posztról fél évente. Ha olyan jó hely lenne, nem lenne annyi üresedés.

Így inkább skippelem a lehetőséget. Álnéven az ott dolgozók megírhatnák, élhető hely-e amúgy, mert van egy sejtésem (hogy nem). Mármint az igazgatótanácsban biztos jó, de a  melósrabszolga helyekre kíváncsi itt mindenki.

Voltam nemrég egy MBH AI rendezvényen. A MOL is előadott. Így AI, úgy AI náluk. Az AI csökkentette le a hotdog veszteséget. Előadása végére kiderült az input papír alapú rögzítésből van. Felröhögtem.

Mondjuk stat2 vagy valszám1 is elegendő erre, nem beszélve arról az elemi hibáról, hogy amikor nincs  kínálat, akkor az egyén nem vesz semmit. Vagyis a veszteség csökkentése, forgalom csökkenést fog magával hozni.

Felhív / rám ír a MOL-os hr-s leányzó / hölgy / nő és a bérkérdés feltételekor jön a himi-humi - titkolózik a cég, majd nagy nehezen kipréselem belőle, hogy mennyit kínálnának. Aztán elmondom, hogy már 5-6 éve is többet kerestem ennél alkalmazottként Magyarországon. Én ezután sok sikert kívánok a kereséshez és elköszönünk egymástól. Fél óra el is ment az életemből feleslegesen.
Ez a kör ismétlődik 1-2 évente. Öreg vagyok én már ehhez....

A másik a HO ellenesség. Az egyik olyan cég, aki határozottan elzárkózik a HO támogatásától.
Persze a MOL-nál semmiféle parkolási lehetőséget nem tudnak biztosítani, ha véletlenül valaki nem tömegközlekedéssel járna be.

Főleg h. ott a környéken sehol nem tudsz megállni. A Dombóvári út kilőve. Budafoki úton sosincs hely. BME környékén meg már fizetős a parkolás. Gondolom a baszomnagy campus alá nem raktak elé mélygarázst (Duna közelsége miatt kb. -1 emelet lehet reálisan).

A kopaszi-s fizetős parkoló meg egy vagyon.

Van, akinek igen, de az ITban viszonylag sokan vannak, akik vmi külső kerületben, vagy agglomerációban laknak. Én konkrétan elég közel dolgozom a MOL toronyhoz (kb 1.5 km). 

A maps szerint azzal, amivel reálisan megbízhatóan be tudok jutni, azzal 1:15 perc (ebből 15 perc elsétálni a kiindulási megállóig, ott végül is letehetném a kocsit, mert van P+R szerű valami, ha nem hatkor megyek, akkor jó eséllyel kb egy másik tetejére). Van egy gyakorlatilag direkt busz, amivel 1 óra bejutni (20 perc kiindulási séta, és ott nem igazán van hova tenni a kocsit). 

Ez a busz majdnem pontosan arra megy, amerre én megyek kocsival. Ami a jelenlegi becslés szerint 23 perc. És ahogy bizonyos időjárásban nem szívesen bringázik az ember, abban nem szívesen sétál 15-20 percet sem. Hát ezért.

(És akkor azt még nem is mondtam, hogy jellemzően az ilyen-olyan elintézni, beszerezni valót simán megejtem azzal, hogy az útvonalon valahol megállok, amikor egyébként is arra megyek, nem kell emiatt külön köröket futni)

Persze, ezzel nincs is semmi problema, ezert irtam, hogy az ilyen ceggel nem egymast keressuk.

Egyebkent en szivesen megyek az irodaba, nalunk van pl. 100% HO, de ettol meg lehet parkolot is foglalni, meg hat nagyforgalmu tomegkozlekedesi vonal mellett van az iroda, szoval BKK-zni is konnyebb.

Én is így vagyok ezzel, ide születtem. Ezzel együtt azzal szerintem semmi baj sincs, hogy igen, ez alapvetően az én bajom, ha emiatt nem lesz munka, akkor majd csinálok valamit. Cserébe az meg a cég baja, hogy ha a parkoló hiánya és a HO nem támogatása miatt nincs munkavállaló, azzal kezdjen ő valamit. Egyelőre nekem lejt a pálya.

Nyilván a bejárás ideje meg körülményei is véleményesek lehetnek. Én mindig is tömegközlekedtem munkába, nekem ez napi 2x1 óra (jó esetben az 1 óra az mondjuk 55 perc, ritkán 51-52 percre is lemehet). Ha jól emlékszem, itt írta valaki pár hónapja, hogy ő azért jár mindig autóval, mert ő nem fog napi 40 percet tömegközlekedni. Tessék, nekem egy irányban több az utazás, mégsem pöfékelem tele a várost. (Persze lehet, hogy félreértettem, és 2x40-re gondolt, mondjuk az is egész baráti.) De volt olyan munkatársam, aki Székesfehérvárról járt be Budapestre a 12 órás műszakba; ő még rajtunk is túltesz. Az időjárás viszont tényleg elronthatja az ember napját: volt egy egyetemi napom, amikor reggel befelé menet ázott át a cipőm és a zoknim is, ill. volt szerencsém egy 12 órás műszak előtt (szó szerint) bőrig ázni, hát mondhatom, egyik sem vicces.

Nézd, örülök neki, hogy te nem pöfékeled tele a várost, nekem nincs erre napi  kb +1:45 órám, hogy ne pöfékeljem tele a várost. Volt, amikor volt, de már elmúlt. Egyébként nem pöfékelem tele a várost, meglehetősen kompromisszum képes vagyok. Ameddig a lehetőségem adott, nem vállalok el olyan munkát, ami hozzám képest a város másik felén van (pl vannak egész elfogadható cégek a grafisoft és környékéne, ahova biztos nem megyek), nem pöfögök be mindennap, és nem vállalok el olyan munkát, ami ezt igényli, kivételes esetben szopatom magam és másokat azzal, hogy olyankor autózzak be, amikor épp sokan vannak, hogy a dugóban pöföghessek. Ha a tömegközlekedés, vagy a részben tömegközlekedés reális alternatíva volna, használnám. Pl simán megyek a munkahelytől már inkább tömeggel a belváros irányába, ha ott van elintézni valóm, mert ott nagyjából egálban van a kettő, azonban a 3x-os szorzó nem reális alternatíva.

Cserébe azért bizony abban is legyen kompromisszumkészség, aki úgy döntött, hogy ő márpedig Budapesten akar lakni, mert akkor közelebb van a munka meg a mozi meg a tudom is én, az bizony vegye tudomásul, hogy oda mások bizony időnként kocsival fognak bemenni sokan, mert az egy nagyváros. Az nem működik, hogy a faszt képzelsz magadról, te menjél plusz majd két órát naponta, vagy vállalj sokkal szarabb munkát, mert nekem jár a közelemben a sok jó munkahely, és a nem büdös élettér.

Ez már nagyon offtopic. Szerintem. De azért leírom a véleményem.

-1000.
Mindennek megvan a normális sorrendje az életben. A dugódíjhoz először legyen normális tömegközlekedés, legyen P+R, aztán örömmel fizetem ki én a dugódíjat, ha be kell mennem a nagyfaluba privát célból autóval.
Ha meg céges célból megyek be, akkor meg a cég fizeti ki. Pontosabban a cég ügyfelei. Vagy az ügyfeleinek az ügyfelei. Röviden: végfelhasználók.
Gyereket is úgy illik vállalni, hogy legyen hol lakni, legyen meg az anyagi, érzelmi, mentális biztonság először. Normális ember a "semmire" nem szül gyereket. Szerintem.

Mindazonáltal ha nekem nagyfaluba (Bp-re) kell mennem orvosi célból, mert nem tudnak / akarnak vidéken ellátni, akkor mennyire etikus a dugódíjat elkérni? És nem csak Bp. agglomerációból küldenek be valakit az Uzsokiba, Honvédba, Bajcsyba, Szent Imrébe stb., hanem 200-300 km-ről is.
Járni, mozogni alig tudó rokonokat meg csak autóval vihetem. Igen, akár havi 2-3 alkalommal is.

Szóval véleményem szerint a dugódíj bevezetése sem nem etikus, sem nem megoldás, sem nem észszerű. Jelenleg. Ha az előfeltételek teljesültek, akkor lehet róla szó.

Igen, ez a kényelmes patópálos szöveg: 'először legyen meg minden is, ha meg az megvan, majd kitalálunk mást, lényeg, hogy sohanapján'.

Pl. tömegközlekedés: amíg az utak telítettek autóval, addig autóval szívás menni a dugók miatt. A tömegközlekedés (busz esetén) ugyanazokon az utakon megy, mert nincs másik, tehát az is áll a dugóban, csak a megállók miatt még lassabb, vagyis soha nem lesz más. Addig viszont üresen jár, ha fejlesztik, akkor sem lesz tele az előbbi okok miatt. Mindenhová meg nem lehet kötöttpályás közlekedést vinni, de akkor is jönne az, hogy 'nincs hely az állomás előtt parkolni, marad az autó'. Tanulság: nem lesz tömegközlekedés. A P+R emlegetése pedig vagy szűklátókörűség, vagy humbug. Hány autó jár be Budapestre naponta az agglomerációból? Mekkora parkolók kellenének, ha azok a város szélén legalább 50-60%-ban leállnának? Annyi hely egyszerűen nincs.

Mennyire etikus dugódíjat elkérni, ha be kell menni Budapestre? Jó kérdés. Ne adják hozzá ingyen a benzint is vagy a tömegközlekedést etikai megfontolásból? Az életnek vannak költségei, ezek adott esetben lakóhelytől függően mások és mások, amit szintén figyelembe kell venni a lakóhely megváltoztatásánál.

Amivel egyetértek: legyen jobb ellátás vidéken, mint jelenleg. Hogy ezt hogyan lehet elérni, természetesen nem tudom, de minden ellátáshoz kell egy adott mennyiségű kereslet. Amíg olcsóbb bemenni Budapestre, kisebb lesz a helyi kereslet mindenre, így nem is fog megteremtődni a kínálat sem.

A P+R nem ördögtől való, és jellemzően a több kisebb működik, több "fokozatban". A P+R mellett az agglomerációs "behordó" járatokra való ráhordás (elektromos buszok pl, kiváló töltési lehetőség lehetne a vasútállomáson), az ottani helyi közlekedés fejlesztése (jobb esetben optimalizálása) lenne fontos. Az valóban nem járja, hogy 10 szintes (-3-mal induló...) óriási borg kockaként pöffeszkedő P+R-ek legyenek. A P+R-eknél az elektromos autózás is támogatható több lassú töltővel. Nem kell millió kWh, viszont rögtön fel lehet pakolni a napelemet, helyi akksipakkot, és lennne mondjuk 3-4db gyorsabb töltő (50-100kW, de erős időkorláttal), és lennének 5-10kW-os, választható teljesítményű DC töltők (lassú occó, gyors drága).

Az esztergomi vonal a felújítása utáni 4. évben túlterhelt, erősen P+R hiányos, pedig már emeletes KISS-ek járnak, amiken nem két ember fér el. Például kerékpáros parkolók, nagyobb kerékpár befogadós vonatok az elővárásokba, szóval vannak megoldások, nem csak ötletek.

A "hát ezt nem lehet", a beletörődés, és a pénztelenség, és ha van, akkor pedig az alultervezés már soksok éve probléma. Az egész eredője pedig, hogy koncepció nélkül, vagy néha 1-1 koncepció indulással történik valami, de utána sokáig semmi nem történik, lásd még választási időszakok. Ugyanis az összes ilyen fejlesztés eleve évek alatt valósul meg, vagy érik el a részfeladatok a kritikus tömeget, és ezeknek egymásra kell épülnie.

A behajtási díjat olyan formán lenne jobb megvalósítani, hogy a parkoláshoz az indulási, vagy minimumdíj zónánként emelkedik szépen.

Ha vesszük Rákospalota-Újpestet, mint vasúti megállót, pláne azért mert ott a veresegyházi vonal fejlesztés miatt vízionáltak teherforgalmat, ott ahol sosem volt érdemi (heti 1 kocsi eldöcögése nem teherforgalom, hanem érdekesség), és jött a hörgés. Ahhoz a történethez szükséges lenne a teljes nyugatiba menő vasúthálózat érdemi újjáépítése (kb. dunakeszi alsótól olyan 20 perc amíg becsattog a vonat, egy vicc), a metró minimum odáig meghosszabbítása rendkívül fontos lenne. Aztán pedig ott lenne bőségesen hely P+R-nek, az oda nagyon jó lenne, illetve a külsőbb megállóknál is fejleszteni, építeni. Ez nem csak a külsővárosok, hanem az Újpest, Újpalota, Kápmegyeri régiónak (ahol nem 2-en laknak) is óriási lépés lenne. Arra már gondolni sem merek, hogy mi lenne, hogy elkészülne a déli-nyugati vasúti alagút, és hipphop budára, és tovább, el lehetne jutni, és fordítva. Hiába 10 éves, meg 20 éves projektek, ezeket azért nem kezdik el, mert hát nagyon messze van, hja, de sosem lesz kész, pláne akkora, hogy ha visszaadjuk az ingyenpénzt, magára a _tervezésre_. Meg lehet nézni, hogy Bécsben, Prágában, Münchenben, Varsóban milyen és mekkora fejlesztések futnak, készültek épp el, vagy vannak indulófélben. Müncheni példában az a helyzet, hogy a főpályaudvarnál 3-4 villamos, 4 metró, és 4 hév (S-Bahn, ez inkább nálunk a Flirt/KISS jellegű dolog) fut össze, és most furtak mégegy alagutat, hiszen még keresztben nem ment semmi...

Ez is erősen offtopic, de reagálok.

S71 / G71 vonalról van szó (Budapest Nyugati p.u. - Veresegyház - Vác vonal):
1. Nem igaz, hogy soha nem volt rajta teherforgalom. 30-40-60 évvel ezelőtt mindegyik állomáson (nem megállóhelyen) volt tüzép. Szénlerakat, falerakat, építőanyagok. Ennek nyomai még ma is felfedezhetőek a tartalék / parkoló vágányok révén (Fót, Veresegyház, Őrbottyán, Vácrátót). Csak a villamosításkor ezen vágányok egy részét is elbontották - mondván felesleges már (ami meg erős szűklátókörűség).
2. Volt téglagyár is Erdőkertesen. Igaz, hogy már régen szanálták a gyárat, a nyomai még mindig felfedezhetőek - pl: a Fő út kialakítása, vágánynyomok. Illetve üzemelt / üzemel egy téglagyár Őrbottyánban is.
3. A vonal legnagyobb hibái:
- Csak 1 vágány van Rákospalota-Újpesttől Vácrátótig. Ígérték a 2 vágányúsítást már a 80-s években is, a 90-s évekbeli villanyosításkor is. Még mindig nem lett belőle semmi. Most épp valami környezeti hatástanulmány előkészítő projekt fut erre a célra.
- A pálya kialakítása nem teszi lehető a nagy pályasebességet. Lásd: Fótújfalunál a pálya a megállóban annyira bedől, hogy erősen kapaszkodni kellett a régi vonatkocsikban le- és felszálláskor. De még az alacsonypadlósoknál is erősen érezni, hogy átesel a vonat túloldalára. Fótfürdő és Csomád között telente / nyaranta rendszeresen előfordul, hogy csak 15 km/h-val tud haladni a kanyarban a vonat. Dől a pálya + hőtágulás / zsugorodás. Szabályszerűen hallani, érezni, ahogy a sín és a kerekek nyírják egymást a kanyarban.
- Képesek voltak a vonatpálya mellé lakóházakat építeni. Van, amelyik csak 5-10 méterre van a vonattól.
4. Olyan sokan utaznak a vonaton, hogy sokszor már a végállomásokon se tud rá az ember felszállni csúcsidőben (hétköznap reggel 6-8 között, délután 16-19 között).
5. A vonatok rendszeresen kimaradnak. Tájékoztatás nuku. Tiszta "kaland és élmény".
6. Lerobbanó szerelvények. Élmény, amikor a célállomás előtti utolsó állomáson lerobban a szerelvény, tájékoztatást hamarabb kapok a MÁV alkalmazásból, mint a kalauztól / jegykezelőtől. Majd fél órányi várakozás után előkerül a jegykezelő, leszállítanak mindenkit és 1 óra 20 percet szobroztunk egy forró augusztusi kora estén 18 óra körül, hogy a váltó végre működjön és tovább tudjon mindenki menni.
Ugyanez ment 30-40-50 éve is ezen a vonalon, nem változott semmi. Csak akkor még volt ember, akit lehetett kérdezni. Meg volt bakter minden állomáson és megállóhelyen, aki javította a váltókat, is ha kellett.

A Volánbusz - ami egy ideig együtt halad a vonattal (318, 319-s vonal) - szintén iszonyatosan túlterhelt.

Szóval hová a ****-ba akarnak még több embert itt tömegközlekedésre kényszeríteni???!!!

1-2: Nem a szocialista ipar maradványairól van szó, hanem hogy most lenne-e, mert fejlesztik... Elég jól tudom, hogy régen előfordultak tehervonatok kb mindenhol, de nagyon-nagyon kikoptak a kis vonalakról, sőt a komolyabb mellékvonalakról szintén. Ha kisebb állomáson jársz, vagy régen nagy forgalmún, akkor ott rohadnak a darabárúraktárak, és az ilyen olyan rakodók. Egyébként ha munkaidőben, munkanapon előfordul heti 1-2 tehervonat, hát akkor milesz? 15-30 perces személyvonati közlekedés mellett csúcsidőben üde színfolt. (A zajról azt tudom mondani, hogy a tehervagonok esetén komoly zajkibocsájtási szigorítás van folyamatban, persze felmenő rendszerben, a fékpor kérdése ott is előtérbe került. https://iho.hu/hirek/zajcsokkentes-masfel-milliard-forintert-nem-hallja…)

3: Igen, ezt támadták a helyi önkormányzattól. Vajh az nem zavarja a népet, hogy ha bemegy Bp-re melózni, akkor a gatyájuk rámegy a parkolásra?

4: Igen, ezért kéne oda nagyon a fejlesztés. :) Ahogy írtam, alultervezés...

5: Sajnos máshol is, nagyon ki van számolva a Flirt (helyesen FLIRT, mert egy remek svájci német mozaikszó) flotta.

Szóval a cél az lenne, hogy elsőre nagyon komoly közösségi közlekedési fejlesztés, azok amiket leírtál abszolút problémák, ezért jönne második vágány, felüljárós keresztezés kápmegyer elején. Erősítés a gördülőállományban ésatöbbi. Szóval maga az, hogy komoly (térugrás szerű) fejlődés van, az maga "terel" a tömegközlekedésre, és ha már az jó, akkor lehet egyéb eszközökkel "finoman jelezni", hogy esetleg tömegközledni kéne, mert van és jó (tényleg jó..., csak ritkán sikerül). Máshogy nem megy, csak a 10-20-30 éves koncepciókkal, és folyamatos fejlesztéssel. Ehhez képest jegelték ezeket, legalábbis remélhető, hogy nem teljesen törölték.

Ez most kiemelt példa, de ezek több helyen jelen lévő problémák. Sőt Lajosmizse felé a vonatok állapota sem mindíg nyerő, hiszen az dízeles vonal.

Emitt a tervek: https://iho.hu/hirek/hamarosan-megujulhat-a-veresegyhazi-es-a-lajosmizs…

Sorry az offért, a közlekedés minőségét elég jelentős figyelemmel kísérem. A látszat ellenére sem ragaszkodnék mindenhol ugyanahhoz a szentgrál szerű megoldáshoz, de jellemzően az óriási első lépés nagyon hasonlóra jön ki, mert nagyon régen beégettek a mostani állapotok.

Igen, ez a kényelmes patópálos szöveg: 'először legyen meg minden is, ha meg az megvan, majd kitalálunk mást, lényeg, hogy sohanapján'.

Hát ugye a be kell vezetni a dugódijat, azt' meg van oldva felütésre kb az jár, hogy akkor menj te is a picsába ;)

Az életnek vannak költségei, ezek adott esetben lakóhelytől függően mások és mások, amit szintén figyelembe kell venni a lakóhely megváltoztatásánál.

Jaja, meg vannak más aspektusai is, amit lakóhelytől függően mások és mások, azokat nem kell figyelembe venni? 

Úgy értem a nem működiket, hogy kevésbé elegáns, hogy mindenki hozzám igazodjon, mert ha nem akkor ő egy rohadék ökoterrorista. Azért van dugó budapesten igen nagy részben, mert a) rohadtul oda van központosodva minden, szóval "muszály" bemenni, b) a tágan vett belvárost leszámítva a tömegközlekedés rohadtul nem reális alternatíva.

És azért jó budapesten élni, mert oda van központosodva minden, és minden közel van. Aztán bubuka felköltözik a jóba mondjuk bivalybasznádról, és utána háborog, hogy hát itt büdös van, és neki ne legyen büdös, aki nem az ő kompromisszumát választotta, az szopjon hosszan, mert neki joga van nem büdösben lenni közel a jóhoz, az egy igen állszent hozzáállás.

Egyébként meg a dugódíj önmagában faszt se oldana meg. Amíg igény van rá, hogy emberek bemenjenek, addig be fognak menni, max nekik lesz valamivel rosszabb, én a jelenlegi helyzetben simán figyelembe venném ezt bértárgyaláskor, aztán szevasz. És ameddig igény van rá (márpedig az nem várható, hogy az autómentesen működő városrész lakossága kiszolgálja a cégeket, és azok elengedhessék az azon kívül élő talent poolt), addig ez simán ki lesz fizetve.

Ahhoz, hogy érdemben változást legyen, ahhoz: a) csökkenteni kell a mobilitásra az igényt (rohadtul nem kéne a vízfej, a fasz se akar bejárni, csak hát amíg odabent van a rendes munka, meg a rendes szórakozás, meg egy csomó állambácsi dolga) b) érdemben javítani kéne az alternatívákon (sokkal jobb tömegközlekedés, átgondolt Home Office, bár ezt a COVID egész jól megoldotta). Akkor van értelme ellensúlyként dugódíjjal operálni, hogy javítsa ezeket az alternatívákat comparatíve, de ezek nélkül hacsak nem baszod fel annyira a dugódíjat, hogy a cégek nagy tételben költözzenek el a picsába kintebb, akkor nem lesz érezhető hatása.

Sokmindennel egyetértek abban amit írtál de abban nem, hogy a dugódíj ne hozna változást. 

Londoni tapasztalatok. ULEZ: https://www.london.gov.uk/new-report-reveals-transformational-impact-expanded-ultra-low-emission-zone-so-far

Plusz lenne a városnak bevétele amit a tömegközlekedés fejlesztésére fordíthatna.

A dugódíj hozhat változást. Csak nem önmagában, ahogy az locsemege kolléga vizionálta. ("be kell vezetni a dugódíjat, és a probléma meg van oldva"). Egy normálisan tervezett változás csomag részeként tud működni, idővel, de önmagában szart se ér. És sajnos nem látszik, hogy a többi dolog érdemben történne. Van néha egy-egy pozitív megnozdulás, de elég esetleges, és időnként egyet előre kettőt hátra érzése van az embernek (zonázó menetrend kivezetése, valaki).

A pénz meg külön mókás, én szoktam mondani, mikor vki előveszi a nem Budapest baja, csináljon az agglomeráció amit akar kártyát, hogy akkor viszont az iparűzési rám eső részét is oda kérném. 

A Duna túloldalán -3 szintes mélygarázsok vannak. Igaz, a part és az irodaházak közt van egy HÉV vonal meg egy sétány, de azért elég közel vannak a Dunához. Persze egy 6-7 emeletes épület alá -3 szinttel is korlátozott a parkolási lehetőség, a MOL toronynál nyilván még rosszabbak az arányok.

2013-ban egy műemlékvédelem alatt álló épületben dolgoztam (fő telephely) a Váci úton a 13. kerületben. A pincében 1-1,5 méter magasan állt a víz. Mentek a szivattyúk éjjel-nappal. Megvolt a havaria terv is, hogy hogyan költöztessük át a teljes IT-t a másik telephelyre, ha beüt a krach.

Más se...

Úgy általánosságban, az NDA betartatásáért fizetnek amúgy cserébe, v. ha nem írod alá, majd találnak másik balekot aki ingyen bevállal mindenféle titoktartást? (Tudom tudom, még arról se szabad beszélni h. miről nem szabad beszélni) Ha megszűnik a munkaviszony adott cégnél, az NDA-s hallgatás hány évig kell tartson még utána? Azért viszont plusszban fizetnek? Ugye olyat nem lehet h. utána ha elmentél, akkor halálodig tartsd a szád. Mármint persze mindent lehet akarni munkáltatói oldalról, de nem mindennek van realitása.

Pénz... Mindig csak az a fránya pénz lebeg mindenki szeme előtt...
Életem végéig tart. Mi ebben a meglepő?

Egyrészt ha kiderül, hogy én szivárogtattam ki (akarva / akaratlanul), akkor szénné perelhetnek. Másrészt bűncselekményt is elkövetek bizonyos esetekben.

Továbbá nekem sem feltétlenül érdekem, hogy XY intézmény / hivatal / cég bizalmas információit kiadjam, ha használom a szolgáltatásaikat (közvetve vagy közvetlenül).

Pesti oldal, Lágymányosi híd mellett majdnem, -3 szint a munkahelyemen. Tény, én csak a -1-re megyek le a bringával, de nem találkoztam árvízzel. Kb. 11-12 éve költöztünk oda. Persze lehet, hogy a -3-on már víz alatt álltak az autók, de ez engem nem érint, szóval #worksforme. Bár feltehetően hallottam volna róla :)

De van: Infopark. BME + ELTE. Bár az ELTE-nek van saját parkolója. A BME I és Q épület alatt meg korlátozott a hely.
Továbbá az Infoparkot körülvevő utcákat tavaly nyáron tették fizetőssé. Azóta legalább nem roncsautó bontó kinézete van a Neumann János utcának.

Hagyomanyos bankoknal ez sosem fog megvalosulni. Amig a menedzsment ujratermeli a semmirekello nagyon fontos(tm) meetingeken ulo onmagat, amely retteg barminemu agilis szemlelettol, addig marad az a szemlelet hogy az IT egy szukseges rossz, amit naluk meg informatikanak hivnak, es banannal fizetnek. 

Amíg mancibacsi/mancibacsijelszava-123 usernév/jelszó párossal fog Manci néni és a párja mindenhova _is_ regisztrálni, addig ha megfeszülnek sem fognak tudni az ilyen, máshonnan kikerült user/jelszó adatbázis alapon működő támadás ellen sokat tenni. A 2FA ezen mondjuk tudna segíteni, de... Van már a magyarországponthu-n és az azt használó rendszereken kötelezően 2FA...? Na ugye...

Webes bejelentkezésnél volt egyáltalán MFA a Simple-ben?
Gondolom nem véletlenül tiltották le a webes bejelentkezéseket..
 

Tájékoztatás a Simple-fiók bejelentkezés átmeneti szüneteltetéséről 

Tájékoztatunk, hogy a simple.hu felületen átmenetileg szünetel a felhasználói Simple-fiókba való bejelentkezési lehetőség. FIókodat a Simple vagy Simple Classic alkalmazáson, vagy az ügyfélszolgálaton keresztül tudod kezelni:

ugyfelszolgalat@simple.hu
+36 1/20/30/70 366-6611

szerk: nincs és nem volt

Hja már megint az pöffeszkedés h hát a user a hülye, közben felhasad az igazság, h a bank folyamatosan megtéveszti az ügyfeleit amikor azt állítja magáról h biztonságos, és persze a káresemény bekövetkeztekor nem akar jót állni, hanem az ügyvédeit uszítja az ügyfélre. Jó irányba kéne felülni már a lóra, ha a felhasználók 99% 1234 jelszót használ, akkor kritikus rendszereket nem üzemeletetünk jelszó bekéréssel - vagy ha igen. akkor minden káreseménynél jót kell állni ügyvédkedés nélkül! Ilyen a box! 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Ezzel csak az a baj, hogy akkor kötelezik az ügyfelet az okostelefon használatára, ami egy kötelező plusz költség, illetve sérül a privacy. Miért vegyek meg egy drága készüléket, ami a nyomkövetőm egyben, miért fizessek még net elérést is hozzá? Azért, hogy ahhoz a pénzemhez hozzáférjek, ami az enyém, amiért megdolgoztam, ami után már adóztam?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem, a valódi probléma az, h a bank nem-biztonságos szolgáltatásának igénybevételére köteleznek mert átutalással kapod a fizut. Ezért mondom mindig, h kötelezően kpben kéne kiadni a fizetést! Utána ha valaki akarja, akkor berakhatja a pénzét a bankba. Ez tiszta helyzetet teremtene. 

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

Igen, így ezzel egyetértek. Vagy valóban utalhat a cég is, de ne ez legyen az elvárt vagy az alapértelmezett. De tudom, ha már megengedjük, akkor megy a nyomásgyakorlás, ami alárendelt viszonyban nem túl jó.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve, a jelenlegi jogszabályi környezet és az ügyfelek számára is nagy tételben rendelkezésre álló, könnyen használható eszközökre építve.

Kaphatod, pontosabban kérheted kp.-ben, csak akkor a munkáltatónak legyen lehetősége a kp.kezelés teljes költségét rádverni - ahogy azt korábban kitárgyaltuk.

Definiáld légyszives a biztonságos szolgáltatást tételesen, összes corner-case-t lefedve

Nálad tudjuk, hogy ez azt jelenti, hogy kötelező okostelefon-használat.

 

Amúgy pont most jött szembe velem egy Allianzos 2FA - webes bejelentezés után kirak egy QR kódot, és hogy használjam okostelón a Google Authentikátort. Miközben a QR kód nem más, mint egy URL TOTP seeddel, így egy QR kód olvasó és az oathool --totp -b XXX paranccsal máris megvan a 2FA kódom. Itt miért köteleznek az okostelóra? Miért nem mutatja meg a TOTP seedet a QR kódon kívül? Security by obscurity, nem más ez.

használjam okostelón a Google Authentikátort.

Ez kb. ugyanaz a kamu, mint amikor egy levélmelléklet vagy letölthető dokumentum PDF-ben van, és azt hazudják, hogy "Adóbé Ríder kell a megnyitáshoz". Az ember meg találgat, hogy butaságból hazudnak, vagy rossz szándékból. (És vajon melyik a rosszabb...)

A PDF-ek döntő része nincs titkosítva (pl. BKK menetrendek, netes vásárlások számlái, termékadatlapok, PDF formátumú e-könyvek, szinte bármilyen letölthető PDF doksi), de a jelszavazást még a muPDF is kezeli, pedig én kinéztem volna belőle, hogy nem tudja. (Ha már inkompatibilitást kéne emlegetni, akkor én a PDF-űrlapokat meg a PDF aláírását említeném, de előbbi szerencsére sokszor megy mással is, utóbbi meg hál'Istennek ritka.) Mindezzel együtt netó hazugság, hogy PDF megnyitásához Adobe kell. Az esetek ~95+%-ában nem kell.

Semmiképpen sem "bankolénk" a telefonon. Ez valami olyan úri huncutság, amit nem merek magamnak megengedni. Egy tömegek által használt oprendszer és az ahhoz kötelezően letöltendő app kifejezetten céllá teszi a támadások ellen. 

Kösz, inkább a desktop-omon végzem el az utalásokat. Nem látom értelmét, hogy miért kéne a villamoson utazva utalgatni.

"Egy tömegek által használt oprendszer és az ahhoz kötelezően letöltendő app kifejezetten céllá teszi a támadások ellen." - Gondolom, akkor Linux/Windows/MacOS alól sima böngészővel sem bankolsz...

"Nem látom értelmét, hogy miért kéne a villamoson utazva utalgatni." - Mert mondjuk nem viszed mindenhova magaddal a nem tömegek által használt OS-t futtató desktop-odat...? (Pl. nyaralás, hosszabb szabadság...)

Oke, semmi gond, majd a kovetkezo honapban visszaadjak.

El is kepzelem magam, ahogy fekszem a tengerparton, kezemben a haromezer forintos tularazott sor, es azon aggodom, hogy vajon kapok-e 500 forint buntetest a szolgaltatotol, mire hazaerek.

Most peldaul van 100 forint tartozasom egy konyvtarban, mert 2 nap kesessel vittem vissza egy konyvet, de kit erdekel? Akkor ur egy ur, ha pazar!

Fura, ha én nyaralok, ilyeneket mind nem csinálok. Okostelefonom nincs, a kis, 11.6"-os notebookomat szoktam vinni, de leginkább zenehallgatás, filmnézés, környékbeli programok keresése, térkép miatt. Eszembe nem jutna bármilyen banki művelet, de régebben számítógépet sem vittem magammal. Nyaraláshoz nem kell semmilyen informatikai eszköz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a FULL offline működő TOTP-vel a magánéletedet mindenestől elviszik

Nem ez volt az aggodalom tárgya, hanem az, hogy csak okostelefonnal, bagy csak valamelyik amerikai multi cég közreműködésével lehet elintézni egy rakás dolgot.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a bank folyamatosan megtéveszti az ügyfeleit amikor azt állítja magáról h biztonságos

+1

Van magyarorszagi bank, ahol letilthato az SMS, mint masodik faktor? Nincs.
Van magyarorszagi bank, ahol van FIDO2? Nincs.
Van magyarorszagi bank, ahol van legalabb valami proprietary hardveres token? Nincs.

Nekem az ilyenek ne pofazzanak biztonsagrol.

Az SMS, mint fallback van a push mellett elég sok helyen, ergo ha nem akarod, nem használod. A hardvertokennel két gond van. Az egyik, hogy drága, a másik - és ezt egy másik topicban szerintemmár írtam - rengeteg extra adminisztrációval, szabályzattal, folyamatokkal jár. Mert ha a bank veszi meg, akkor azt valahogy megfelelően dokumentálva ki kell adnia az ügyfélnek, nyilván kell tartania, hogy kinél,melyik eszköz van kint, ha gondja van az üf.-nek vele, akkor személyesen elérhető supportot kell adnia (minden bankfiókban legyen arra megfelelően kioktatott munkatárs?), ha az üf. hozza, akkor nagyon alaposan specifikálni kell, hogy mit, milyen verziót fogad el a bank, és ha nem az, nem olyan, akkor az üf. nem panaszkodhat.

 

Nem mondtam, hogy adott szűk ügyfélkörre nem lehet megoldani, de mindenkire kiterjedően azért elég meredek összegekről beszélhetünk, akár egy közepes bank esetében is. És azt sem szabad elfelejteni, hogy az ügyfél kényelmet, egyszerűséget szeretne. Nem olyat, hogy ott a mobil, rajta az app, ami kér biometriát, és utána még azt a kis kütyüt is rakjam oda az nfc-olvasó közelébe, hogy minden jó legyen... (Bizony, 2023 van, lassan 2024 - és a mobilos felület használata bizonyos területeken bőven megelőzi a desktop/böngészős használatot, úgyhogy _elsősorban_ mobilos app/szolgáltatások irányába megy minden bank...)  Ha meg csak opcionális a tokenes ba...akodás, akkor meg nagyon az fog kijönni, hogy minimális számú ügyfélre kellene elkölteni több zsák pénzt.

 az ügyfél kényelmet, egyszerűséget szeretne

...aztan amikor megkapja az egyszeruseget, es levesznek 30 millat a szamlajarol, akkor megy picsogni az indexhez, hogy kerem ujsagiro ur, engem megkarositottak.

Nem olyat, hogy ott a mobil, rajta az app, ami kér biometriát, és utána még azt a kis kütyüt is rakjam oda az nfc-olvasó közelébe, hogy minden jó legyen...

De lattal mar fido tokent? Itt van a kulcstartomon. En csak annyit kerek, hogy amikor egy csaladi haz arat elutalom, akkor ne egy fiszemfaszom SMS koddal kelljen szorakozni, hanem a kulcstartomat kelljen odatartani a telefonomhoz.

Az, akinek ekkora összeget elvittek, az jellemzően a kellő gondosság témában eléggé alacsony szinten járt.

"lattal mar fido tokent? Itt van a kulcstartomon." - Az enyémen is van egy... (Anno SecureID-ból volt, hogy 2-3 darab is kellett a napi munkához, ez legalább pici...)

"a kulcstartomat kelljen odatartani a telefonomhoz" - Tehát a biometria _mellett_ (vagy helyett?) legyen egy plusz eszköz is. Oké. Neked ez kényelmes, de milyen értékhatár, milyen tranzakciótipus, esetleg milyen egyéb körülmény(ek) figyelembe vételével kérjen a mobilos app illetve a webes felület harmadik (vagy a biometria helyett fido-s) faktort? Mert gondolom egy 300Ft-os utalás esetén nagyon nem szeretnél ilyennel ...akodni...
És ezt kéretik lefejleszteni a mobilbanki/netbanki rendszer minden érintett rétegében...

És ezt kéretik lefejleszteni a mobilbanki/netbanki rendszer minden érintett rétegében...

Karbonlábnyomra bezzeg van idő/pénz.

Egyébkén egy bizonyos értékhatár felett nyugodtan lehetne hardware tokenes kötelezettség, az, hogy több millió forintot el tudsz baszni 5 sec tapizással, az inkább ijesztő, mint kényelmes.

Az SMS, mint fallback van a push mellett elég sok helyen, ergo ha nem akarod, nem használod.

Nem erted. Peldaul az apple/google pay hijacking alapja, hogy a user kap egy SMS-t, azt kell megszerezni, es maris rakerul a kartyad tokenje a filippino scammer telefonjara. Emiatt szeretnek olyan beallitast, hogy ne lehessen fallback authkent sem hasznalni az SMS-t. Ha elvesztem a soft/hard tokent, bemegyek a fiokba ujat kerni. SMS nem kell, koszi.

Az egyik, hogy drága

Kifizetem!

rengeteg extra adminisztrációval, szabályzattal, folyamatokkal jár.

Nekem anno volt hardveres tokenem mezei folyoszamlahoz, majd a bank rengeteg extra adminisztracioval, folyamatvaltoztatassal, szabalyzat-atirassal kivezette.

Volt -> nem volt. Es most azzal ervelsz, hogy melos lenne bevezetni. Hat talan nem kellett volna kivezetni, lol.

Az sms fallback-el az a baj, hogy oké, hogy te nem használod, de a támadó, ha már kompromittálta az sms elérésed, akkor saját maga kéri a banktól az sms fallback-et és máris ugyanott vagy: ő is megkapja és már authentikálta is magát vele.

De nyilván valamilyen net független failback kell, szerintem egy totp is jobb lenne az sms-nél.

Magyarországról volt szó... És az SMS fallback kivezetése majd akkor jöhet elő, amikor az ügyfeleknél lesz megfelelő eszköz. Az opcionális kivezetése meg megoldható, de az is fejlesztés, és amíg a nagytudású, aranyszájú, mindenben mindenek felett álló MNB egyéb f...ságokkal szivatja a bankokat, amiknek ugyanígy megvan a nem kicsi fejlesztési/bevezetési költsége, addig ilyesmire kevés esélyt látok, hogy valaki belevágjon.

Ha tömegével jeleznék az ügyfelek, akkor lenne rá érdemben lehetőség/akarat, hogy az üzlet elindítsa ennek a fejlesztésnek az átgondolását, "beárazását", de addig, amíg ez nincs, nem hiszem, hogy rárepülnének akármelyik banknál...
És a másik, hogy egy megoldás nem megoldás, ergo az SMS-es fallback kikapcsolása/tiltása esetén mi lenne a tartalék második faktor? A QR-kód vagy épp TOTP irány jó is lehetne, de megint csak az a kérdés, hogy mennyibe kerülne? Mondjuk SCA sms-ek költségén (nem hárítható át az ügyfélre) lehetne spórolni vele, az biztos...

És a másik, hogy egy megoldás nem megoldás, ergo az SMS-es fallback kikapcsolása/tiltása esetén mi lenne a tartalék második faktor?

Az eredeti szemelyi igazolvanyom, a lakcimkartyam, es a sajat fizikai valom bemutatasa a bankfiokban. Ez nem eleg tartaleknak?

Megprobalom leegyszerusiteni a problemat, hatha ugy jobban atmegy. Van egy szamlam. (Tobb is, de most egyszerusitunk.) Ezen annyi penz van, amennyit egy atlag magyar egy elet munkaja utan sem tud felretenni. Azt szeretnem, hogy ehhez a penzhez csak megfeleloen biztonsagos modon lehessen hozzaferni. Nem kell SMS fallback, nem kell backup, nem kell B-terv.

Ha tokent kell cserelnem, majd bemegyek a fiokba. Ha uj telefont veszek, majd bemegyek a fiokba. Ha lemerul a hardvertoken akksija, bemegyek a fiokba. Nem erdekel. Az erdekel, hogy a penzemet nehez legyen ellopni. Szarok az SMS-re. Nem kell fallback. Van most erre lehetosegem? Nincs. Miert?

Az OSSZES banki scam arra epul, hogy a usertol megszerzik a user-pass-SMS kombot. Mikozben az egesz infosec ipar azon porog, hogy biztonsagosabb authentikacios lehetosegeket talaljon ki, ami phishing-proof. (Hello, FIDO2!) Es mit csinal a bankbiztonsag, az IT, az a magassagos uzlet a Jo magyar Bankban, hogy erre megoldast talaljon? Semmit.

Az kellene nektek, hogy legyen egy olyan szabalyozas, mint amit az angol regulator agyalt ki, az osszes csalasbol keletkezett kart le kell verni a bankon, aztan jonapot. Lenne am haddelhadd! Meg kene ismerkedni a modern infosec megoldasokkal es trendekkel! 

Teljesen mindegy, amikor ilyen tobb tizmillios osszegeket lopnak el, az nem kartyaval megy amugy sem. Raadasul amugy sem folyoszamlan kell tartani a szazmilliokat, de a pelda szempontjabol tokmindegy, az ertekpapirszamlara is ugyanilyen authentikacio van legtobb helyen.

Ha ellopjak a kartyam, es leszednek rola egy napi limitnyi osszeget (300k talan?), az kellemetlen, de nem fogok sirni miatta.

Az OTP banknál például baromira nem mondják el az ügyfeleknek, hogy ez egyébként nem véd az átutalás ellen, DE a bankfiókba be lehet állítani egy határt ami a napi tranzakciós limitre vonatkozik, átutalásokkal együtt. Alapértékben tudod mire van állítva? Végtelen. Nehogy megzavarjuk az ügyfelet. 

Az OTP banknál például baromira nem mondják el az ügyfeleknek, hogy ez egyébként nem véd az átutalás ellen, DE a bankfiókba be lehet állítani egy határt ami a napi tranzakciós limitre vonatkozik, átutalásokkal együtt. Alapértékben tudod mire van állítva? Végtelen. Nehogy megzavarjuk az ügyfelet. 

Én még most is víg banki hardvertokenes felhasználó vagyok. A hardvertoken kb fél éve prüntyög, hogy low batt. A bank annyit mondott semmi tennivaló, jelentkezzek, ha már nem működik. Más miatt behívták feleségemet a bankba, ugyanott bankolunk, épp együtt mentünk, és ha már itt voltunk rákérdeztünk a hardware tokenre, hogy továbbra is az-e az ügymenet, hogy majd ha lemerült jelentkezzünk? Merthogy már fél éve low batt vagyunk... hölgy közli, hogy tulajdonképpen már nincs hard tokenjük, a beszállító megszűnt és még nincs új szerződés, talán majd márciusban... lesz, vagy nem lesz...

Erre közöltem a hölggyel, hogy akkor most mindketten keresünk másik bankot, ahol még képesek működő hard tokent hozzálőni a netbankhoz, majd visszajövünk, ha megvan az új számla, ezt megszüntetni...

Úgy látom az Unicreditnél még van hard token... körülnézek, hátha van még más is a "piacon". Ugyanakkor nevetségesnek tartom, hogy visszafele fejlődünk, és a "biztonság" egy-két intézményre korlátozódik, mert sok ember "nem érzi át", hogy ez jó valamire....

Valaki tud még bankot, ahol létezik még "unobtainium" magánember usernek? (hard token)

Az üzlet egy dolgot fog kérdezni: mennyibe kerül, milyen piaci előnyünk lesz belőle. És amiko rmeghallja, hogy jog, szabályozás, folyamatok, fejlesztés, üzemeltetés, és még a marketing is zsákszámra öntheti bele a pénzt meg az időt, akkor nem biztos, hogy rá fog bólintani...

En roppant kivancsi lennek, mennyivel volt olcsobb megcsinalni egy 1st party taknyolast ahelyett, hogy egy szabvanyos megoldast valasztottak volna, amit a magyarorszagi kereskedelmi bankokon kivul mindenki mas is hasznal a vilagon a Google-tol a random harmadik vilagbeli weboldalakig.

Ehelyett valaki elhitette az uzlettel, hogy

  1. kidobatni(tm) a userek altal hasznalt hardvertokent (amiert meg havidijat is fizetett a user!), es
  2. osszeganyolni es supportalni valami sajat """megoldast"""

olcsobb, mint megmaradni szabvanyos iparagi megoldasok mellett. En nagyon-nagyon szeretnem megnezni annak a beszelgetesnek a felvetelet, amikor valami nagytudasu elmagyarazta, hogy sajatot epiteni valamibol olcsobb, mint egy kesz megolasra felulni.

Imadom, amikor az osszes banki fejlesztes valami lehetetlen dologkent van itthon eladva. Multkor is amikor szovatettem, hogy talan nem lehetne-e felhivni a usert, mielott kienged a bank egy csaladi haznyi lovet, akkor is az volt a valaszod, hogy hat az nem, meg draga, meg amugy is sok a melo vele. Lopikulat mar, hat teljesen rutinszeruen mukodik mar mindenhol, hogy mondjuk pontozott alairok kellenek egy utalashoz, hat nem olyan nagy melo erre rapiteni egy olyat, hogy ne tudj magadnak teljes alirast adni egy adott osszeg felett.

Olyan inkompetens megnyilatkozasokat meg szakmai temaban nem lattam, mint amit itt neha levagtok banki IT temaban. Nem csodalom, hogy szarul fizetnek itthon a bankok, ezert a teljesitmenyert en sem adnek tobbet.

Hogy a K&H miért vezette ki a csipkártyás dolgot, arról talán őket kéne megkérdezni.

 

"nem lehetne-e felhivni a usert, mielott kienged a bank egy csaladi haznyi lovet, akkor is az volt a valaszod, hogy hat az nem, meg draga, meg amugy is sok a melo vele."

nem olvasol alaposan. Az, hogy adott tranzakciót hogyan adja fel az ügyfél (IG2 vagy IG3 - ez utóbbi a default belföldi 20M Ft alatti utalás esetén), az ott van a felületen (Azonnali vagy időzített - előbbi IG3, 5s-en belül a célszámlán elérhetőnek kell lennie az összegnek, utóbbinál az üf. által megadott időben kerül bele a "kosárba", és az azt követő IG2-es körbenkerül továbbításra), azonban egy harmadikat, hogy "hívjanak fel, mielőtt..." belerakni, mint lehetőség, _és_ az ilyen tranzakciót megakasztani, _és_ kirakni az telebanki operátor elé, az bizony a netbankban és a mobilbankban egy plusz ág az átutalások között, annak minden kapcsolódó dolgával együtt - kezdve a folyamat szabályozásától a hirdetmény/ÁSzF/jogi anyagokon keresztül egészen a CC-s munkatársak oktatásáig.

 

Vaaagy esetleg talan bele sem kell tenni az utalast a queue-ba, amig nincsen rajta approval, lasd tobbalairasos utalasok. En hiaba utalnam at a sajat szamlamra egy egyesulet komplett megtakaritasat, ahhoz kell talalnom egy cinkostarsat, aki meg alairja az utalast, mielott a bank kiengedi.

Nahat, ja hogy ez mar le van fejlesztve! Meg nalatok is! Te, es nem volt bonyolult megcsinalni? :)

Lakossági számlánál egy tulajdonos van, és ahhoz adható jogosultság (bankja válogatja, hogy milyen granularitással). A számlatulajdonos egyedüli rendelkezési joga nem tudom, mennyiben és hogyan korlátozható, de egy lépést hátrébb lépve nehezen képzelhető el az az állapot, hogy a mondjuk férj számlájáról indított _valamennyi_ tranzakciókhoz a fér _és_ a feleség jóváhagyása is szükséges legyen.

Gondolom, egyszerűbb volt a mobiltelefonhoz kötött sw-token. Tudtommal a chipkártyaolvasót és a kártyát nem fizettették ki a felhasználóval, ráadásul a chipkártyás megoldás némileg behatárolja a használatot. Nem minden gépben van olvasó, a külön olvasóból pedig jellemzően csak egy van, időnként frissíteni kellett a drivert, az se mindig volt triviális, szóval volt vele kényelmetlenség. A KBC Securities (a csoport brokercége) egy ideig Digipasst használt HW-tokennek - az annyival könnyebb, hogy oda nem kell olvasó, ők is lecserélték SW-token megoldásra, azóta beépítették a mobilbroker alkalmazásba, de ugyanaz használható PC-s bejelentkezésre is, ha böngészőből lép be a user. Gyanítom, hogy a mobiltokenes megoldásnak alacsonyabb a licencköltsége, illetve a felhasználónak is kényelmesebb. Persze mondhatjuk azt is, hogy a költség egy részét áthárították az ügyfélre (aki megveszi a mobiltelefont).

EZ!

 

Szánalommal nézem, amikor a világszinten huszonkettedik magyar senki vállalat erőlködik, miközben ott van mellette számos jól bejáratott, működő megoldás ... de nem,erőtltetjük a saját sz*runkat, aztán meg vannak lepődve, amikor a felhasználó elvárná ugyanazt a stabilitást, mint a nagy nevektől, hiszen arra gondol, azért vágtak bele egy nulláról történő fejlesztésnek, mert valamit még a nagyoknál is jobban tudnak, aztán jön a koppanás, hogy egy eső-kelő sz*rt tákolnak napi szinten. (Lásd a Mávinform kétnapi-háromnapi értesítését arról,  hogy a SimplePay karbantartása miatt már megint nem lehet majd jegyet venni, csak papíralapon, a pénztárban.)

 

Hasonló az Indavideo, emlékszem, egy időben ki is volt írva a videók elején, hogy ha külföldről akarod nézni, akkor a szaggatás feature, mert külföld felé egyszerűen nem vettek elég sávszélt. Tessék mondani, ha ennyire nem megy, akkor minek erőltetni? Olyanokról nem is beszélve, hogy sem az indavideon sem a videan például a mai napig nem lehet időkóddal megosztani videót, (ami a Youtubnál a &t= xxx) mert egyszerűen nem kezelik.

 

Vagy a budapesti jegy? Londonban ott van az Oyster kártya, de Münchenben vagy Bécsben már a papíralapúval is megoldották, ami Budapesten még mindig az űrtechnika kategória. Ehelyett megy a bohóckodás a QR kóddal, amit olvassál le kívülről (!!) a felszállás előtt, és nem egyszer láttam, amikor a Blaha Lujza téren, a délutáni csúcsidőben emberünk vergődik a QR kód körül, hogy lefotózza majd reméli, hogy a villamosvezető nem csukja be az orra előtt az ajtót. Legalább már arra rájöttek, több mint egy 1 év után, hogy esetleg ne szúrjunk ki az utassal és ugyan hadd olvashassa le felszállás után, a járművön belül a QR kódot. Aki lógni akar, az így se, úgy se fog QR kóddal bohóckodni.

rohamkocka

(Lásd a Mávinform kétnapi-háromnapi értesítését arról,  hogy a SimplePay karbantartása miatt már megint nem lehet majd jegyet venni, csak papíralapon, a pénztárban.)

Jaja, ismeros, es meg veletlenul sincs egy backup szolgaltatoval leszerzodve, ne adj' Isten kulfoldrol, hogy ne az OTP legyen a szuk keresztmetszet. Neeeem, napokig nincs kartyas fizetes, nem baj, a buzi utas oldja meg, ahogy akarja, ha meg nem sikerul, legalabb lehet potdijazni.

Videa-n nem az volt h. nem is nagyon töltött be bármilyen nem-magyar IP-ről évekkel ezelőtt, mikor utoljára próbáltam?

YT időkódos megosztást az android app-ban szerintem én soha nem láttam. De  webes kliensben sem jelenleg. Ahhoz ájfón kell vagymi? Kézzel, ha jól értesült ("hekker") vagyok, bele tudom gyógyítani az URL-be. De ezzel a felhasználók 0,00001%-hoz tartozok, aki tud róla h. ilyen is létezik.

Igazad van, de mondom, hogy nem olvastam utána. Ez úgy szivárgott be a mindennapokba, hogy észre sem vettem, mégpedig ezért:

1) Átlag felhasználónak van okostelefonja, Google fiókja, de ha nincs, csinál magának egyet. Átlag felhasználó nem olvas ÁSZF-et, adatvédelmi nyilatkozatot, hanem azt tudja, hogy ha beteszi az „elfogadom” szó elé a checkboxot, akkor neki minden működni fog. Az átlag megoldások tehát működnek minden nehézség nélkül, fogalma sincs az átlag felhasználónak sem arról, mi az a TOTP, azt csinálta, ami oda volt írva. Kivéve azt, hogy olvassa el az ÁSZF-et, adatvédelmi nyilatkozatot, mert azt nem csinálta. Átlag felhasználó eladta testét-lelkét az ördögnek, de nem aggódik ezen, mert el sem olvasta, min is kellene aggódnia, egyébként meg csak egészség legyen és térerő, holmi szabadságra nincs igénye, a privacy-ről meg azt sem tudja, melyik földrészen keresse.

2) Aki ezzel szemben érzékeny a privacy-re, nincs okostelefonja, az azt tapasztalja, kihúznak alóla olyan technológiákat, amelyek korábban működtek. Aki olvas ÁSZF-eket és adatvédelmi nyilatkozatokat, az ezekből megtudhatja, hogy gátlástalanul minden személyes, szenzitív, intim információt gyűjtenek mindenről. Életmódról, kapcsolati hálóról, szokásokról, tartózkodási helyről, mindenről, és harmadik féltől beszerezve is. Akinek nincs okostelefonja, annak meg kell dutakolnia, hogyan lehet MS-free, Google-free, Facebook-free módon megoldani Android és iOS nélkül ezeket a dolgokat úgy, hogy az ne legyen használhatatlanul körülményes.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az androidos apprból beszélek, amin az ember ott általában a youtubeot nézi.

Böngésző egyébként van, jobb klikk viszont nem igazán :) De megnéztem neked, böngészőből ha nyomom hosszan (amire általában előjön a "jobbklikk" menü) ez esetben gyorsabban játszik le (egyébként konzekvensen az appal).

De úgyse használsz ilyet, nem rohadt mindegy neked?

Azt mondod téged az véd meg, hogy még te sem tudod a e-bankhoz való jelszavadat? Ez esetben nem is kell 2FA, elég biztonságot ad az "ismeretlen", fix jelszó.

Mondjuk telefoncserénél vagy egyéb esetekben érhet némi meglepetés, amikor mégiscsak kellene tudni és beirni valahova azt a jelszót.

Ezt már leírtam máshol. Van két eszközöm, egy telefon és egy tablet. Mindkettőn van egy SW-token. Eszközcsere esetén új tokent kell generálni. ilyenkor a másik eszközzel belépek, és azzal hitelesítem az újat. Jó párszor váltottam már így, mióta a chipkártyáról átállt a rendszer SW tokenre, kétszer cseréltem tabletet és vagy háromszor telefont. Nem kellett a jelszó.

Marmint mi? Ez az egyik legpopularisabb scam manapsag. Jon SMS-ben egy kamu link (Foxpost, akarmi), bekeri a bankkartyaszamodat, azzal elkezdik a tuloldalon az Apple Pay onboardingot, arrol ugye kapsz egy SMS-t, amit a kamu oldalon bekernek a usertol. A kodot meg ugye beirja a hulyegyerek a tuloldalon, es kesz a digitalis kartya.

Ez nem bankfuggo, meg ismerosi korben is volt, aki beszopta, mit tudom en, melyik banknal van.

Na akkor mégegyszer... Mi az a módszer, ami a legtöbb felhasználónál rendelkezésre áll. Na az kell legyen a default fallback. (És a kártya digitalizálásánál a kliens IP-je alapján (GeoIP) a fraud simán adhat(na) sárgát, hogy tesséh telefonálni a bankba a digitalizálás befejezéséhez.)

Mi az a módszer, ami a legtöbb felhasználónál rendelkezésre áll. Na az kell legyen a default fallback

Az egyetlen dolog, ami mellett itt kampanyolok, hogy a default fallback legyen opcionalis. Erted, hogy legyen opt-out lehetoseg. Ha neked jo a default, akkor nincs teendod, hagyd bekapcsolva.

És a kártya digitalizálásánál a kliens IP-je alapján (GeoIP) a fraud simán adhat(na) sárgát, hogy tesséh telefonálni a bankba a digitalizálás befejezéséhez

Adhatna. Es, ad?

Igazából nem mindegy. Most sajnos elég sokszor kellett kártyát digitalizálnom (elveszett a táskám, kártyák letiltása után új igénylés), és amikor a mobilbanki alkalmazásból indítottam a digitalizálást, akkor csak azt kérdezte, hogy a telefonra vagy az órára tegye rá, a többit elintézte az alkalmazás. Ha meg a walletből indítottam, akkor kártyaszám, lejárat, CVV + a megerősítő SMS kód kellett hozzá.

Félreértetted! Nem a banki melós kapja azt a pénzt, hanem a bank baszik el temérdek milliót mindenféle outszorszolt 3rd party cégnek kifelé. A banki alkalmazott(ak többsége) esélyesen aprópénzért csinálja a (szar) munkáját. Plussz bónuszként ott van az összes pénzintézetre jellemző nehézkesség, impotens bürokrácia, bezártság, 0 innováció, 0 lehetőség up-to-date tech dolgokkal foglalkozni. Azaz kb. a saját sírodat ásod minden ott töltött évvel, elvesztegetve h. máshol kurrens értékes(ebb) tudásra is szert tehettél volna ugyanezen idő alatt.

Remekul osszefoglaltad amire ki akartam lyukadni.

Amig a babzsakos menedzserek napi 4 faszveros meetingben elvernek excelben rahedli penzt mindenfele kurva fontos plecsnire, certre, hogy folfele kipipaljak a checkboxot addig marad a fostakolmany, mert egy ambiciozus fejleszto sem fog szart lapatolva burokraciaval viaskodni.

”Azaz kb. a saját sírodat ásod minden ott töltött évvel, elvesztegetve h. máshol kurrens értékes(ebb) tudásra is szert tehettél volna ugyanezen idő alatt.“

Tobbsege pont ezert megy oda. Leulom a napi fix semmitevos oramat, csak gondolkodni ne nagyon kelljen, foleg ne tanulni.

Ha ezer milliárd EUR-s (háromszáznyolcvanezer milliárd Forint) asset állományt kellene felügyelned akkor valószinűleg te is kétszer meggondonád hogy mit cselekszel.
Nagyvállalati pénzintézetek általában nem "a felkúrok egy új webservice Simple néven, MFA nélkül mert úgy olcsóbb fejleszteni" kategóriában játszanak.
OTP a nagyvállalati pénzintézeti IT megkerülésére létrehozta a kis start-up inkubátorát, ez a poszt ennek az eredményéségéről szól.

Az OTP megkeresésünkre közölte, hogy más, nem OTP-s felület(ek)en eltulajdonított felhasználónév/jelszó kombinációkkal digitális adattolvajok robotizált módszerrel több ezer felhasználó fiókját valóban feltörték, és megváltoztatták a regisztrált e-mail címeket.

 

Nem az OTP hibája, hanem a usereké. Nem történt semmi "feltörés", hanem a balfaszoknak leakelődött a jelszava (feltehetőleg más platformhoz is ugyanaz a mail + pw van) és a bot belépett vele. Azért egy "IT" portálon lehetnénk kicsit szofisztikáltabbak is.

Hivatásos pitiáner - Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @

Hm, az e-mail cím megváltoztatásakor nem kéne a *régi* címre küldeni egy levelet amelyben van *valami* ami az új címre átíráshoz szükséges? Értem, hogy ez arra van, ha valaki  alól kiment az e-mail szolgáltató (vagy a fiók :-) ), node akkor is.

Valóban:

https://haveibeenpwned.com/

Egy-két embernek mondtam, hogy ellenőrizze le. Meglepődtek.

Nekem is van spamgyűjtő e-mail címem, ami kiszivárgott. Az egyik a Dropbox, a másik a Kickstarter megtörésekor. Jó tisztában lenni ilyesmikkel. Nyilván, fintech alkalmazásokban nem ezeket a megtört e-mail címeket használjuk a pénzünk védelmében. Ezek pont erre vannak, hogy vigyék, ha akarják.

trey @ gépház

>  A lakosság 99%-a kb.

Vagyis nem az emberek a hülyék, hanem aki azt állítja, h az IT rendszer biztonságos a bankoláshoz. Öszintén szólva, a monitor szélére kiragasztott postit "jelszókezelő" tűnik lassan a legbiztonságosabbnak!

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

De bammeg, az userek a hülyék. Sajnos nem tanították meg nekik az oskolában (ahol persze a dél-dakotániai Fütyimatyi királyságának az összes lényegtelen adatát be kell se&&elni, ahogy azt is, hogy Miskanéni,mint költő mire gondolt amikor leírta, hogy "'szomba"...). Maguktól meg nem tanulnak, nem próbálnak agyikag fejlődni . megmaradnak az agyilag zokni szinten...
 

Jó ez az oldal. Ja, nem egészen. Az rendben, hogy megmondja, hogy egy, két, három, valamennyi site-on kompromittálódott az adott login, azt viszont nem írja ki, hogy hol. Mivel a jelszavaim különbözőek, de az email cím nem, így hogy találom meg, hogy hol (és mikor) került ki az adat?

Én valamit nem értek. Ez az oldal azt írja, hogy az emailcímem (trécéhá/protkómél) szerepel egy helyen valami Gravatar-ról kiszivárgott dumpokban. Én meg azt se tudtam a mai napig, hogy van ilyen oldal, hogy Gravatar. Direkt odamentem, hogy lecsekkoljam, hogy nem csak elfelejtettem-e, hogy valamiért egyszer bereggeltem ide valamikor (kizárt: amire ad-hoc bereggelek valami miatt, aztán megy az account a levesbe, meg a feledésbe, ott én is valamelyik spamgyűjtő szemétládámat adom meg), de a view profile-hoz beírva az emilemet azt kapom, hogy "There is no profile associated with this email address.", ha meg be akarok lépni, akkor meg ugyan küld egy verifikációs linket, de a subject nem login, hanem sign up, a content meg az, hogy köszi, hogy csatlakozol, azaz nem vagyok regisztrálva. Akkor hogy szivároghatott ki innen az emilem, ha egyszer sose regisztráltam be ide vele? (Sőt, a jelek szerint más se tette meg helyettem.)
Nem mintha fontos lenne: össze-vissza mindenféle kriksz-kraksz jelszót használok az accountjaimnál - csak nem értem.

Ezek ilyen meghokkento it-s sztorik?

 

nalam az vitte a palmat, amikor regisztraltam, es visszabokte, hogy aszondja:

"Password matched with cutekittie89, please choose an another one. New password cannot be the same as old password."

 

Vegulis valaszthattam volna valami komolyabb jelszot, de azert kicsit pletykas na.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nekem ez vörös posztó, ilyenkor szoktam eldobni a szolgáltatást. Egyrészt benne van az, hogy hülyének néznek, azt vélelmezik, hogy 123456 a jelszavam, vagy ennél picit erősebb ugyan, de mindenhol azt használom. A másik, hogy nincs okostelefonom, azok a megoldások kapásból kiestek. A harmadik, ha esetleg lehet SMS-ben, nagyon nyűgös. Hogy lesz? Elindítom a Claws Mail klienst, s 10 percenként, amikor lehozza a leveleimet, vagy megnyomom a get mail gombot, jön egy SMS, és be kell írnom az üzenetben kapott kódot valahova?

Továbbá belefutottam abba, hogy utalni akartam, de már kikapcsoltam a telefonom. Eléggé felcseszett, hogy jó, akkor ágyamról telefon felvesz, bekapcsol, PIN beír, vár, SMS-ből kód beír, remél, hogy nem timeout-ol, felület használ, SMS töröl, telefon kikapcsol. Mindez azért, mert van néhány polgártársam, akinek 123456 a jelszava.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezen a területen valóban nem, mert ez félelmetes számomra azáltal, hogy öles léptekkel számolja fel a személyes szabadságot, s tesz mindenkit életmódja és minden mozdulata tekintetében kontrollálhatóvá, egyúttal kiszolgáltatottá.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mert sohasem jutok odáig, egyelőre kényelmetlenül ugyan, de ki tudom kerülni ezeket a sz.rokat. Majd ha már kényelmetlenül sem tudom, felteszem itt a kérdést, mik az aktuális trendek, s mivel lehet a privacy-t leginkább kímélő módon megoldani ezt.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

vannak desktop megoldások 2fa-ra, igaz kicsit "defeat the purpose"

Azért asztali gépen még mindig könnyebb biztonságban tartani a jelszavakat meg tufakódokat. Ráadásul ha jól látom, az Auhty valami kláudos cucc (legalábbis felhőbe ment), innentől kezdve ez kuka. Bitwardennek is csak akkor lehet értelme, ha magának szolgáltatja az ember (saját vasról, sajátnak mondható ingatlanból), felhőből használva az is felejtős.

Érdekel, mert ilyen telefonom van, bár csak GSM, azaz 2G-s, tehát nem LTE változat. A másik, hogy ne menjünk bele, mert megint le leszek szúrva, hogy kínáltátok a megoldást, csak nem foglalkoztam vele. És valóban, most nem érdekel még. Amúgy meg nem szeretnék semmilyen Google szolgáltatást elfogadni, tehát csak akkor érdekel, ha Google-free, MS-free a cucc. Kell hozzá valamilyen hálózat? Bluetooth a számítógéppel? Vagy GSM-en (2G)?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nézz utána, keress rá, hogy mi ez és hogyan működik -de ezt már a másik topicban korábban n+1 alkalommal leírták/tuk neked... _Semmilyen_ külső kommunikáció nem kell neki, csak az indulásnál kell valamilyen módon a kezdő hash-t megadni neki, amit jellemzően egy QR-kód beolvasásával csinálnak meg az alkalmazások, de lehet úgy is, hogy a QR-kódból kinyered a hash-t, és odaadod az alkalmazásnak egy stringként.

Hash nem lehet egy random szám a /dev/urandom-ból? Mondom, azért ne beszéljünk erről, mert a korábbi alkalmak részleteire is azért nem emlékszem, mert annyira félelmetesnek tartom ezt az egészet, annyira a szabadság végének, hogy nem foglalkoztam vele, mert fáj. Ha valamiért már muszáj lesz, akkor fogok kérdezni, addig megpróbálom ezt odázni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

ert annyira félelmetesnek tartom ezt az egészet, annyira a szabadság végének, hogy nem foglalkoztam vele, mert fáj

Ha egyszer végre hajlandó lennél foglalkozni vele, akkor rájönnél, hogy a félelmeid (viszonylag) megalapozatlanok. Lehet privacy sértő módon is csinálni, de speciel pont elég sok dolog van, ahol egészen konkrétan feature a privacy. Veszel egy hw tokent, azon jól tárolva vannak a secretek, és működő második faktort tud adni önmagában, a szolgáltatásra egyedileg. De a TOPT is alapvetően teljesen privacy mellett is használható megoldás.  Vannak rossz gyakorlatok (pl sajnos elég sok helyen nyitnak azzal, hogy telefonszámot próbálnak kunyizni, meg nem lehet rögtön FIDO-t állítani, meg ilyenek, de ezek alapvetően nem technológiai, hanem policy korlátok.

 Ha valamiért már muszáj lesz, akkor fogok kérdezni, addig megpróbálom ezt odázni.

Csak mi lenne akkor, nem kürtölnéd folyamatosan bele a szócsőbe, hogy ez egy rakás szar, és fujj és rossz, miközben saját bevallásod szerint sincs fingod se róla?

Az irány rossz. Régen jó volt a felhasználónév, jelszó. Ma is jó lenne, ha nem akadékoskodnának a szolgáltatók, nem találnák fel a langyos vizet. Azt értem, hogy vannak, akiknek lenyúlják a jelszavát, de ez olyan, mint az az ember, aki a megtakarított kétmillióját odaadja egy futárnak, hogy segítsen a balesetet szenvedett unokáján, és csak a pénz átadása után gondol bele, hogy nincsenek unokái.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

QR-kód beolvasásával csinálnak meg az alkalmazások, de lehet úgy is, hogy a QR-kódból kinyered a hash-t

Hogyan? Nincs okostelefonom. Van egy nagyon régi fényképezőgépem. Arról felmásolom a QR-kód képét a desktop gépre, s megkínálom egy alkalmazást vele? De mondom, ne most, mert amikor tényleg érdekelni fog, azt fogod mondani, olvassak vissza, s nekem akkor kell majd a segítség, nem most.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Lehet egyszerűbb, ha a desktop gépen copyzod ki a képet. :) Szerintem a TOTP pont a szabadság mert nem kell hozzá semmilyen 3rd party (google/faszbook/amazon...), egyszerűen van egy közös titkod a serverrel ahova loginolsz, amit soha többé nem küldesz át a zsinóron, csak abból + az aktuális időből készült nagyon rövid hasht (általában 6-8 karakter). Desktopon is megy, nem kell hozzá okostelefon. Igen persze ez a közös titok ellopható, ha bénán tárolják, az ellen nem véd. De kitalálni az átküldött számsorból nem lehet (ha elkapod hálózati forgalomban, sms-ben, keyloggerrel, vágólapról stb).

A QR kód nem szerves része semmi ilyesminek, az alapvetően csak egy kényelmi funkció, hogy az összes faszott paramétert, meg a preshared keyt kényelmesen lehessen beállítani a kliens applikációdon, jellemzően egy TOPT paraméterei vannak benne. Én még nem láttam olyat, ahol ne lenne gomb arra, hogy "nincs qr kód olvasóm, mutasd a paramétereket", és aztán ne lehessen belepötyögni az authentikátorba kézzel.

Egyébként pedig tippre van egy köbvödör qrcode olvasó lib, gondolom van hozzá valami offline tool is magában.

Én régi J2ME telefonon ezt használom évek óta: https://github.com/baumschubser/hotpants

A srác csinált is nekem tavaly egy javítást, mert a másodperc nem állítható a telefonom óráján (Sony-Ericsson P1i), ezért csinált egy Time Configuration beállítást, amivel igazíthatom, hogy PONTOSAN mennyi az idő. (+/- 60mp, ugyanis a TOTP-hez pontos idő kell.)

Semmi Google, semmi mobilnet, ez csak egy algoritmus ami percenként csinál egy hatjegyű számot amit bekér a weblap a név/jelszó után. A banknál nincs ilyen, de vagy 20-25 egyéb helyen használom.

Sajnos mivel sok weblap QR kódot rak ki és nem az ezekbe beírandó KRIX-KRAX-OT (ú.n. TOTP secret), ezért okostelefont előszedem a fiókból, bekapcsolom, leolvasom, és abból kiírom a "secret"-t a P1i-be. Az okostelefonon AndOTP nevű proggit használom és arról készül a biztonsági mentés is, hogy meglegyenek a TOTP kódjaim. Illetve, csináltam a PC-n egy KeePassXC adatbázist, amibe szintén beírom ugyanezeket a "KRIXKRAXOKAT", az is egy biztonsági mentés. Ezeket sose veszem elő, csak amikor újabb TOTP-t regisztrálok, legyen meg a mentés.

Én imádom ezt a kényelmetlenséget, hogy fel kell venni a telefont, feloldani, megnyitni a TOTP app-ot, beírni a 6 számot. Lelki megnyugvás. ;-)  (Pedig mindenhol más a jelszavam és kb 20 karakteres random vackok.)

Igen, rohadt régen próbáljuk neked elmagyarázni, hogy egy alapvető TOTP/HOTP authentikációhoz nem kell semmi network magic, meg bármiféle nagytestvér. Benne van az RFCben, hogy miből mit kell számolni.

egy gyors dnf search ezt dobta: numberstation, adj neki egy dnf installt, aztán nézd meg. Gyors gugli dobta még ezt: https://github.com/yitsushi/totp-cli. Ugyan nem C, mert go, de na.

Nem jobb. Csak egyrészt nem foglalkoztam vele mélyebben, másrészt a gyakorlatban az emberek igen sok százaléka okostelefont illetve Google szolgáltatást használ ilyenre, harmadrészt weblapokon olyanokat látok, hogy lépj be Google-lal, MS authentikátorral, Facebook-kal, s nem látok olyat, hogy lépj be papír-ceruza módszerrel, terminálban futó számolós alkalmazással, mindenhol QR-kódok vesznek körül, amivel nem tudok mit kezdeni, mindeközben céges levelezés eléréséhez eddig simán meg lehetett nyitni, hogy SMS-ben kérem a második faktort, már csak egy apróbetűs link visz az oldalra, ahol SMS-ben kérhetem a második faktort, a default az, hogy azt látom-e az okostelefonomon az authentikátorban, amit mutat a weblapon. Tehát megy az átnevelés, átterelés, nyomásgyakorlás, felkészülés a kivezetésre. És akkor azt mondod, indokolatlan az aggodalmam.

Ha azt mondjátok, lesz megoldás okostelefon nélkül, s az nem csak elméleti, azaz nem használhatatlanul körülményes, akkor megnyugodtam.
 

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hosszan tudnék írni, de felesleges, szóval igyekszem elég röviden. Az emberek nagy része immár legalább 10 éve okostelefont és google szolgáltatásokat használ. Te meg nem, és nyeffegsz, hogy nem igazodik hozzád a világ, hanem ezek vannak minden hova odaírva.

A 2FAra pedig folyamatosan öntöd a félelmedet privacy szempontból, miközben az ipari szabvány technológiák pont hogy tervezésüknél fogva privacy awarek, és félelmeiden tisztán látszik, hogy tények helyett képzelgéseken alapulnak. Ha kapsz róla infót, olvasnivalót, akkor elhesegeted azzal, hogy ez nem segít, mert ez téged nem érdekel. Mivel mérnökemberként minden kvalitásod megvan hozzá, hogy maximum pár óra alatt megértsd az egész hóbelevancot, ezért az a következtetés, hogy te ezen rettegni akarsz, ahelyett, hogy megértenéd a valós kockázatokat. Lelked rajta, csak ne csodálkozz, ha hülyének néznek. Jelen helyzetben erősen hasonlítasz a kisgyerekre, aki a fülére tett kagylóra formázott kézzel dobol a fülén, és közben fejhangon kántálja, hogy pa-pa-pa-pa-pa-pa-pa-pa....., hogy nehogy bármit meghalljon, amit a felnőtt mondana neki.

Különösen vicces, hogy ragaszkodsz ahhoz, hogy hülye maradj a témában,de volnának elvárásaid, hogy hogyan kell ezt csinálni, hogy ne legyen szar, de közben kikéred magadnak, hogy a te torkodon toljanak le dolgokat, mert mások hülyék.

Mondom, azért nem ásom bele magam, mert frusztrál, félelemmel tölt el. Ha muszáj lesz, akkor előveszem a témát, addig csak a szorongásom nő, mert a limitációk egyre magasabbra teszik a lécet. Egyelőre megoldás volt, hogy megváltam előbb a Skype accountomtól, később dobtam a Gmail fiókjaimat. Az összeset, pedig egy csomó helyen hivatalosan is azt adtam meg elérhetőségnek. Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel. Egyelőre.

Másfelől te is bizonytalanságban tartasz. Egyfelől azt mondod, nem kell okostelefon, Android a tufához, másrészt

Az emberek nagy része immár legalább 10 éve okostelefont és google szolgáltatásokat használ.

Lehet, hogy okostelefon nem kell, de ha Google kell - tényleg, kell? -, akkor visszakerültem a start mezőre. :(

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mondom, azért nem ásom bele magam, mert frusztrál, félelemmel tölt el. 

Így van, és ahelyett, hogy megértenéd mi ez, meglátnád, hogy a félelmeid közül melyik teljesen légből kapott, és melyik valós, és tudnál ez alapján egy számodra elfogadható cselekvési tervet építeni inkább félsz és frusztrálódsz, kb konstansan, ami egy meglehetősen szar élethelyzet (közben ráadásul simán még lehet szopatod is magad, mert információ hiányában matchetével vagdalkozol magad körül). Segíteni úgy lehet ezen, hogy a félek mert nem értem, de biztos sárkányok vannak ott helyett elzavarod a benned lakó gyereket a kormánytól, és megkéred a felnőttet, hogy kormányozzon már most ő egy kicsit, és legyen kedves racionálisan viselkedni. 

Lehet, hogy okostelefon nem kell, de ha Google kell - tényleg, kell? -, akkor visszakerültem a start mezőre. :(

Ezt félreérted, csak azért mondtam, mert jöttél azzal, hogy nem az van a reklámokon, hogy hogyan kell ezt cliből csinálni. Persze, hogy a reklámon az lesz, ami a nagy többség valósága.

Ráadásul neked erősen összemosódik a gonosz multik elveszik a privacymat félelmed a 2FA-val, ami miatt nehéz. Konkrétan egészen úgy tűnik, hogy nálad a "2FA == mindenképp egy csúnya gonosz multi közreműködése kell hozzá", illetve (és következésképp) a "csúnya gonosz multit kell használnom == azonnal javíthatatlanul csorbát szenved a privacy "egyenlőségek vannak a fejedben. És bár kétségtelenül léteznek privacy problémák mindkét területen, de ez a két egyenlőség egyáltalán nem állja meg a helyét, főleg nem az első.

Az általam látott szolgáltatások túlnyomó részében a 2FA valami szabványos megoldást használ. Ezek privacy szempontból nem rosszak, sőt az újabbak kifejezetten jók. Mivel szabványosak, ezért jelenleg is, és várhatóan a jövőben is lehet őket saját infrastruktúrán üzemelő saját szoftverekkel kezelni. Granted, helyenként bizonyára kényelmetlenebb lesz, meg nehezebb lesz beállítani, mintha a spoonfed megoldást használnád, ami neked nem elfogadható kötődésű.

Az okostelefon = gonosz amcsi multi sem igaz így. Vannak alternatív OSek, ezzel elérhető készülékek. Bőven van hardware, amin google szolgáltatás mentes androidot lehet futtatni, itt a hupon is egész sokan vannak, akik -- valószínűleg többnyire hozzád hasonló privacy aggályoktól vezérelve -- ezt teszik. Sőt, a dolgok jelenlegi állása szerint pl a huawei, egyébként egészen mainstream gyártó cuccain sincs google, mert az amcsik kitiltották. Szóval itt is vannak lehetőségek. A 2FA megoldások ezekkel is fognak menni.

Vannak, lesznek persze kivételek, amikor valami vacak köti az ebet a karóhoz (a bankok és banki appok egyébként pont ilyenek, kötik az ebet a karóhoz, meg a saját inhouse szarjukhoz, és a csakazeredeti google a jó telefonhoz, benne is van a topicban, hogy gelei felemeli emiatt a középső ujját nekik), de ameddig leragadsz ott, hogy minden, ami 2FA az eredendően gonosz, addig nem fogod tudni ezt érdemben kezelni.

Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel

Tehát a gonosz Google nem jó, mert az algoritmusa marketing célra adatot gyűjt, de:

- a netszolgáltató lyukas és karbantartatlan levelezőszervere, amire évente 1x néznek rá, amikor már a Mátrix folyik le a képernyőn, annyire egyértelmű, hogy felnyomták - az megfelel? 

- a freemail, ami egyébként tök biztonságos, mert oda aztán tutira nem kapsz meg semmiféle fontos levelet? Ezzel az erővel mehetne a /dev/null-ba is.

- a yandexKGB-re inkább rábízod a személyes adataidat, mint egy ugyan pénzéhes, de alapvetően viszonylag civilizált törvények szerint működő multira? 

Az megvan, hogy aki bent van az emailfiókodban, az kb. bárhová bejuthat az életedbe? Csak egy jelszóemlékeztető távolságra van tőle, főleg ha a 2FA-t nem használod - avagy Password reset is the new login.

azért nem ásom bele magam, mert frusztrál, félelemmel tölt el.

Azt javaslom, keress magadnak más okot a félelemre - mert a fentiektől sokkal inkább kellene félned.

Mit értesz a mailbox felnyomásán? Miért vagy ennyire rossz véleménnyel az internet szolgáltatókról, akiknek szinte más dolguk sincs, mint az üzemeltetés? Mennyiben rosszabb egy magyar ISP üzemeltetése, mint a Google-é, és miért?

tutira nem kapsz meg semmiféle fontos levelet

Nem ez a tapasztalatom, bár számlaértesítőt valóban nem várok a freemailre.

Mi a bajod a Yandexszel? Amúgy nem KGB, hanem FSZB és SZVR. A Google nem egyszerűen pénzéhes, továbbá világhatalmi törekvései az USA-nak vannak, Oroszország csak regionális hatalmi ambíciókkal bír. Azok a civilizált törvények olyanok, amelyek alól épp kivételt képeznek azok szükségessége esetén, szóval inkább hagyjuk. A népek altatására van, de semmire sem jó.

Az megvan, hogy aki bent van az emailfiókodban, az kb. bárhová bejuthat az életedbe?

Ez nincs meg, de talán majd elmondod. Továbbá a szolgáltató mindenképp hozzáfér, de ha lehet, ez lehetőleg ne az USA cége legyen. Így sem megúszható, ha ellenben a partnernek gmailes címe van.

a fentiektől sokkal inkább kellene félned

A te világnézeteddel, amennyiben elhiszed azt, hogy a Nyugat jó, mindenképpen. Én viszont nem hiszem ezt el, látva, hova tart a világ, látva, amikor a valóságot tagadva hoznak az állampolgárai érdekeivel szembenő döntéseket nyugat-európai vezetők, látva, hogy nem az élet, hanem a halál mellett érvelnek és kardoskodnak a világhatalmi érdekek kiszolgálóiként és a még több pénzért.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"Megvagyok a netszolgáltatói, freemailes és yandexes címeimmel. Egyelőre." - bammeg... A Google nem, de a frííímél/netszolgáltató/yandexpontru az igen... Aaazigen...  #facepalm

"Lehet, hogy okostelefon nem kell, de ha Google kell" nem, nem kell hozzá... Az, hogy a legelterjedtebb platformokra a GA és az MS authenticator app az, ami a legismertebb, az egy dolog, de egyik sem kell, sajátot is összerkhatsz, az RFC tartalmazza a referenica-implementációt is...

"lépj be Google-lal, MS authentikátorral, Facebook-kal" - Identity provider a kifejezés, amit keresel.

 

"céges levelezés eléréséhez eddig simán meg lehetett nyitni, hogy SMS-ben kérem a második faktort" - céges levelezéshez jobb helyen user+pass(+2FA) és kliens cert van már régóta... Ha saját magának csinálja a cég - ha G/MS szolgáltatást vesz, akkor meg a 2FA természetes követelmény, hogy a jóskapista user ellopott jelszavával ne lehessen megszemélyesíteni jóskapistát...

Van kliens cert, akartam is csinálni magamnak a Claws Mailhez, de valahol a vége felé elakadtam. És erről beszélek, hogy annyira el van bonyolítva az egész, hogy egy éjszaka, dokumentációt olvasva lépésről lépésre haladva csináltam végig az egészet, majd eljutottam egy hibaüzenetig, amire persze nem adott választ a doksi. És ekkor elfog az érzés, hogy abban a világban szeretnék élni, amikor a levelező kliens beállításához egy felhasználónév és egy jelszó elegendő volt, és ez így működött is.

A lap alján a Step 4-ben a copy the full URL you were redirected to into the Authorisation code field résznél akadtam el, mert itt hibaüzenet jött vissza a böngészőben.

Aztán győzködtök, hogy ez így van jól, de hát nem, mer b.szik működni! Marad a vékonykliens megoldás, belépek böngészőből, de marha kényelmetlen és gyűlölöm, de biztos így jó, mert néhány f.sz ezt így találta ki. Remek.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ahol nekem kellett ilyet összerakni (on-prem webmail), ott a szerver oldalon be lett állítva a tls-t végződtető komponensen, hogy milyen CA-val aláírt kliens certeket fogadhat el, a kliensekre (mobiltelefonok) meg a támogatók felrakják az egyedi, userre generált, jelszavazott p12 fájlt, telepítik belőle e kulcsot+certet, majd törlik a p12-t, így a user használni tudja, de kinyerni és lementeni már nem a certet+kulcsot.

Amíg nem fogod fel, hogy a csak usernév/statikus jelszó alapon megvalósított azonosítás önmagában miért rossz, addig nem fogsz tudni előbbre lépni.

Azért rossz, mert vannak naiv emberek. Azok, akik annyira naivak, hogy kiszolgáltatják személyes adataikat, életük minden mozzanatát a világ legagresszívebb állama fedőcégeinek, azok ki fogják adni az adataikat bárkinek, rosszindulatú hekkereknek is. Ezen többség miatt rossz a felhasználónév jelszó páros, meg azért, mert ugyanazt használja sok helyen, meg azért, mert 123456. Viszont attól, hogy ezt értem, nekem még mindig csak egy nyamvadt hibaüzenet jött vissza, amikor a Claws Mailt be akartam állítani a céges levelezés kliensének, szóval annyira azért nem vagyok előrébb, ráadásul elszúrtam vele kb. háromnegyed órát az életemből. Mindhiába.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"Azért rossz, mert vannak naiv emberek. Azok, akik annyira naivak, hogy kiszolgáltatják személyes adataikat, életük minden mozzanatát a világ legagresszívebb állama fedőcégeinek, " - Nem. Azért rossz, mert ha elviszik a jelszavadat, egyrészt baromira nem fogod észrevenni, másrészt azzal adott helyen (vagy a hülyéket máshol is) meg tudják személyesíteni úgy, hogy csak azt veszed/veszik észre, hogy valaki más csinált valamit a hozzáférésüket használva.

Nekem a fentebb megadott módszernél nagyjából 2 perc volt a teljes folyamat mindenestől, onnantól kezdve, hogy a p12 fájlt átküldtem az érintett user telefonjára, odáig, hogy meg tudta nyitni a levelezését.  Akinek meg volt olyan jogosultsága, hogy desktop-ról is elérje a levelezést, annak meg csak fel kellett pakolni a certet+kulcsot, a böngészőben megnyitni a webmail-es felületet, a böngésző máris kérdezte, hogy kliens certet kér a túloldal - és feldobta az ablakot, ahol kiválasztotta a megfelelő kliens certet, és máris nyomhatta a webmail-en a logint.

Google apps fiókhoz valóban sajtreszelő lehet a vastagkliens - megmondom őszintén soha nem próbáltam...
 

Már megint az van, más akarja elmondani, nekem mi a jó. Az a baj, hogy ezt azok is szentül hiszik, akik ezeket az authentikációkat megálmodják, webes mail klienseket kitalálják.

Nekem nem jó a webes felület, mert minden belépéskor SMS-t kell olvasgatnom. Nem jó, mert vigyáznom kell, nehogy véletlenül bezárjam a böngészőt, vagy a webmail fület. Nem jó, mert nem egységesen ugyanazt látom, mint az összes többi mailboxom esetén, ahogyan a Claws Mail megjeleníti, hanem van egy attól teljesen eltérő felület. Továbbá, ahogy írod is, az offline elérés, a lokális tárolás, vagy ennek beállíthatósága is szempont.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Neked az nem jó, hogy a webmail elszáguldott pár évtizeddel melletted, míg te leragadtál az SMS-nél, és NAGYON nem akarod felfogni, megérteni, hogy a TOTP nem ördögtől való, nem veszi el senki a magánéletedet vele (sőt, mi több, az SMS-hez kell egy mobilszám, amihez rendelt SIM nálad kell legyen, miközben a TOTP esetén tényleg semmilyen plusz adatot nem kell a szerver oldalon tárolni rólad...)
A Claws felülete teéjesen más, mint a mutt volt, ergo sz@r, mert nem úgy mutatja a leveleimet, mint... :-P

Most a felülettel érveltem. Megpróbáltam megcsinálni, hogy menjen Claws Mail alatt, nem voltam rest doksit olvasni, csak hát hibaüzenettel örvendeztetett meg. Erre mi a korszerű megoldási javaslatod? Mert nagyon korszerű akartam lenni, a baj épp csak az, hogy nem működik!

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

a céges oldalon is támogatott

Fogalmam sincs, de ezekkel a rém korszerű dolgokkal épp az az egyik problémám, hogy még az sem derül ki, mitől nem megy valami, hadd csesszem el az időmet számolatlanul.

A felhasználónév jelszó páros működött, tehát az jó. Ez tényleg ennyire egyszerű empirikus alapon.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"Fogalmam sincs, de ezekkel a rém korszerű dolgokkal épp az az egyik problémám," - Akkor első feladat: megkeresni a supportot, és megkérdezni, hogy hogyan tudsz SSL-es IMAP-on 2FA nélkül menni?

"A felhasználónév jelszó páros működött, tehát az jó." - DE nem elégséges, ez az egyik, a másik meg az, hogy vajon az adott r=1 usered jogosult-e nem 2FA-val menni?

Nem tudom végiggondolni, mert nem ismerem a technológiát. Adalékok:

  • céges MS Office szolgáltatásról beszélünk
  • munkahelyen saját tulajdonú linuxos gépem Thunderbird klienséből megy a levelezésem, arról használom, nagyon ritkán, kb. félévente kér második faktorként SMS-t
  • itthon nem tudtam fellelkesíteni a Claws Mail-t ezirányú működésre, mert megakadt valamilyen authorizációs hibával
  • itthon webes felületen minden belépéshez kér SMS-t, amelyet méla undorral vagyok kénytelen megadni neki, ha home office-ban dolgozom

Szóval fogalmam sincs, mi van, de hogy ez ezerszer rosszabb, mint a jól bevált username, password páros, az biztos. Az üzembiztonság az olyan, hogy egyes helyekről, configokról megy, másokról nem megy, ha kér félévente MFA-t, akkor rájövök, hogy ugyanabban a levelezésemben vannak a login adataim, amelynek az eléréséhez meg kell adnom a login adataimat és a második faktort. Mert ne gondolja senki, hogy ekkor csak a második faktort kell megadni, de a logint is. Aha, csak az a mail szerveren van, amelyről ötletszerűen épp kizárt az MS, mert jó ötletnek tűnt szerinte.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"itthon webes felületen minden belépéshez kér SMS-t" - nem SMS-t kér, hanem TOTP-t, ami lehet SMS _is_, azoknál, akiknél a naptárban az év az 19x-szel (vagy maximum 200) kezdődik...

Az, hogy _saját_ tulajdonú gépről dolgozol, az felvet néhány kérdést, de mindegy, ezért fájjon a cég megfelelő felelőseinek a feje...

Mégis milyen kérdéseket vet fel? Ott van az asztalomon a céges gépem is. Ha nem bízik bennem a cég, ne alkalmazzon! Nem a fizetett ellensége vagyok, hanem az a mérnök, aki úgy gondolja, közös érdek, hogy menjenek a dolgok. Én pénzt kapok, a cég a munka eredményét. Szabotázst céges gépről is el tudnék követni, valamint azt akárhonnan követném el, gazdasági bűncselekmény lenne, simán perelhető lennék érte.

Szerk.: sőt, két saját gépről dolgozom. Home office esetén az itthoni desktopról, a szervert VPN-en érem el, bent a kis linuxos gépemről, Windows-only software-ek használata esetén pedig a céges windowsosról.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azt, hogy a cégnél a DLP, meg úgy általában az adatbiztonság témakör khm. vagy erősen alulszabályozott, vagy van ugyan szabályozás rá, de betarta(t)ni azt nem...

Céges adatot, információt tárolni saját, privát gépen, amit bármikor elvihetsz, amire semmilyen ráhatása nincs a munkáltatódnak...

Miért ne lehetne? Ha valaki feldug a hüvelyébe egy pendrive-ot, akkor mi van? Ha lenyelek egy SD-kártyát? Van céges know-how, de arról egy A4-es lapra rajzolva egy kocsmában is beszélhetnék, nem? Vagy az agyamat is törölni kellene minden nap, amikor haza indulok?

Nem minősített államtitkokkal dolgozom, hanem hardware fejlesztő vagyok. Tény, hogy sokat árthatnék a cégnek, de mondom, ha ennyire nem megy a bizalom, azzal az a probléma, hogy elmondhatom a titkokat szóban is.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az esetek nagy részében a cég megbízik a dolgozóban annyira, hogy az nem fog szándékosan kárt okozni (azért ez ellen is fel kell készülni, de nyilván megvannak a korlátai). Azonban arra is fel kell készülni, és lehetőség szerint kivédeni, hogy az alkalmazott véletlenül, gondatlanságból okozzon kárt. Ebbe már sok minden belefér, pl. az is, hogy céges adatok csak céges gépen forduljanak elő, megelőzendő a véletlen adatszivárgást. (kötelezően titkosított SSD, pendrive, SD kártya tiltása, és lehet fokozni)

Ebből a szempontból elsősorban pont a túlzottan magabiztos emberektől kell védekezni a cégeknek. Amilyen te is vagy.

Céges notebook-ot biztos nem fogok hurcolászni, mert nehéz, nem autóval járok. Értem a szavakat, amit mondasz, hogy tőlem kell elsősorban védeni a céget, csak azt nem, hogy miért. Nem tettél mögé semmilyen érvet.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Már rég letettem arról, hogy téged bármiről is meggyőzzelek. Az, hogy neked bőven elég az, hogy jelszóval védesz mindent, elég sokszor leírtad. Ahogy azt is, hogy innentől kedve te tökéletesen védett vagy, mert a jelszavadat csak te tudod. Ez a hozzáállás pedig jelzi, hogy túlzottan bízol az egyébként messze nem bombabiztos védelemben. Tehát ezt nem nagyon kell bizonygatni, erre írtam, hogy magad vagy az érv.

A "miért" az a tapasztalat. Egy X1 Carbon töltővel együtt sincs másfél kiló... Egyébként én sem autóval járok, igaz, nem minden nap cipelem a gépemet, de a notebook.os "dolgozós" hátizsákom alaphangon több, mint három kiló (gép+töltő+egér+USB-s lomok+headset+...), igaz, ebben egy 15.6"-os notebook van, nem egy  14"-os apróság.

Ahogy a 2FA (MSauthenticator) kapcsán írtam, én cégvezetőként ezzel kapcsolatban is az ott jelzett két opciót kínálnám fel...

Ezért nem dolgozom nálad. (Bár gondolom, ez a „cégvezetőként” úgy értendő, hogy ha cégvezető lennél.) Nehogy már az legyen a munkavégzés feltétele, hogy lemondatnak a személyiségi jogaimról. Ezzel az erővel kezdhetnénk úgy a munkavégzést, hogy ezen a munkahelyen és annak 5 m-es körzetében érvénytelen a Munka Törvénykönyve.

Mondom, céges SIM és SMS auth lett a megoldás.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Mert hülye is vagy - már bocs. A statikus user/pass páros eltulajdonítása/harmadik fél általi megismerése után a következő jelszócseréig meg tudnak személyesíteni, akár úgy is, hogy te nem tudsz róla. A 2FA ezt kockázatot zárja ki azzal, hogy gyakorlatilag minden bejelentkezésed során más a jelszavad.

Az SMS-t 2. faktornak használni egyébiránt ősi dakota szokás, máshol már kitárgyaltuk, hogy nagyon nem való/nem jó most már erre a célra.

Azt is kitárgyaltuk, hogy az SMS tufa azokat érinti, akik okostelefont használnak, s screenshottal ellopják a képet, vagy akiknek a SIM-jét a támadó a sajátjára cseréli, a szolgáltató meg nem ellenőriz személyazonosságot, az áldozat meg nem veszi észre, hogy „nincs térerő”. Szóval az az ősi dakota szokás teljesen jó.

Értem, hogy szerinted hülye vagyok, csak eléggé rossz megoldások vannak. Vagy valami amerikai cégnél tárolt kulcsok vannak, vagy nem nyílt forrású megoldások, vagy okostelefon szükségesség, vagy nem Linux desktop kliens, és így tovább. Talán a YubiKey tűnik egyedül jónak, remélem, ahhoz van linuxos interface.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

"Vagy valami amerikai cégnél tárolt kulcsok vannak, vagy nem nyílt forrású megoldások, vagy okostelefon szükségesség, vagy nem Linux desktop kliens, és így tovább. Talán a YubiKey tűnik egyedül jónak, remélem, ahhoz van linuxos interface."

Ha a Google Authenticatorra gondoltál, akkor nagyon mellé ment a dolog a 2FA kérdésben, mert nem kell neki semmilyen hálózati kapcsolat, nem tárol semmit az eszközödön kívül. Ugyanezt a funkciót n+1 alkalmazás tudja (https://en.wikipedia.org/wiki/Comparison_of_OTP_applications), és mivel az algoritmus nem zárt, így te is le tudod fejleszteni a kedvenc programozási nyelvedet használva.

A Yubikey más jellegű 2FA eszköz - tessék utánanézni a TOTP, HOTP, Fido és hasonló dolgoknak.

Az SMS-sel az is a gáz, hogy nem garantált szolgáltatás(!), a TOTP app meg futhat bárhol, ahol a secret (a kiindulási hash) megfelelően védett módon tárolható (Ezért javasolt Android/iOS okostelefon, mert ott van erre megfelelően védett tároló.

 

 

Ha a Google Authenticatorra gondoltál, akkor nagyon mellé ment a dolog

Nem hiszem, hogy egy autonóm szolgáltatásba a magyar állam vagy egy magyar cég felveheti a Google nevet csak úgy, tehát azt bizony a Google nyújtja, azaz nem ment mellé.

nem tárol semmit az eszközödön kívül

Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!

A Yubikey más jellegű 2FA eszköz

Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű.

Az SMS-sel az is a gáz, hogy nem garantált szolgáltatás(!)

Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!

javasolt Android/iOS okostelefon

Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Az, hogy a Google csinált egy alkalmazást, ami a TOTP funkciót nyújtja, az annyit jelent, hogy ők rakták össze Android-os telefonokon lehet használni, de ennyi köze van a Google-nek hozzá, semmi több.

"Tehát nem semmit, hanem valamit tárol. Épp ezt volna kívánatos elkerülni!" - Azt írtam, hogy az eszközödön _kívül_ nem tárol semmit. Értő olvasásból elégtelen. Az idő alapú egyszer használatos jelszóhoz kell egy adathalmaz, ami alapján az időtől függő egyszer használatos (helyesebben megadott rövid ideig (legfeljebb percekig) érvényes), azonosításra szolgáló kódot (hat jegyű szám) ki tudja számolni.

"Ködös megfogalmazást tettél, nehogy kibökd, de azt sejteted, hogy az egyetlen, szerintem elfogadható eszköznek meg nincs támogatása ezekben az esetekben. Nagyszerű." - Olvasni, tájékozódni kéne a témában - más a "shared" infromáció, illetve más az algoritmus, amit a felek használnak az egyszer használatos kód előállításához.

"Semmi sem az. Tudod, milyen meleg van egy nukleáris robbanásban? Na, ugye!" - Ilyen alapon valóban, csak ha megnézed, az SMS célba érkezését semmi és senki nem garantálja...

"Kiesett mindkettő, mert USA kötődésű a Google és az Apple is, el kellene fogadjam a felhasználási feltételeket, van bennük GPS, meg egy rakás egyéb szenzor, az akkumulátoraik üzemszerűen, könnyedén nem eltávolítható, így a kikapcsolás ki tudja, mit csinál, és mit nem." - Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.
Mint említettem volt, semmilyen kommunikációra nincs szükség a GA-t futtató telefon és a külvilág között - oké, ha nem pontos az órája, akkor azt néha helyre kell húzni, de arra a GPS (ami passzív eszköz, azaz csak futásidőt mér, visszafelé nem kommunikál) is tökéletes megoldást ad.
 

annyit jelent, hogy ők rakták össze Android-os telefonokon lehet használni

Tehát kell hozzá androidos telefon, Google ÁSZF elfogadás, van benne GPS, egy kémgép az egész.

az eszközödön _kívül_ nem tárol semmit

Ezt gondolom, úttörő becsszóra mondja a Google, ezért nekem el kellene hinnem.

Olvasni, tájékozódni kéne a témában

Valóban, de az egész annyira nyomasztó, annyira lehúz, hogy amíg nem muszáj, kerülöm.

az SMS célba érkezését semmi és senki nem garantálja

Ahogyan egy TCP csomagét sem. Akkor sem, ha épp ez az UDP-hez képest a mássága. De nem, mert ha kihúzzuk alóla a fizikai réteget, varázsolni a TCP sem tud. A valóság nem olvassa az RFC-ket.

Akkor használj pécét

Ezt teszem.

abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni

Azért lehet, nekem megteszi a file-ban tárolás is. Valahogy a /etc/shadow is képes hash-t tárolni a gépemen. Látod, még azt is megmondtam, hol tárolja.

GPS (ami passzív eszköz, azaz csak futásidőt mér, visszafelé nem kommunikál)

A GPS nem. Az csak meghatározza a helyet, a telefon meg elmondja a Google-nek hálózaton, hogy hol van. Ha véletlenül nem lenne GPS, megteszi ezt a környező SSID-k alapján. A környék többi telefonja majd elmondja, azok az SSID-k milyen GPS koordináták közelében vannak.

Mindettől függetlenül van egy olyan gyanúm, hogy hamarabb kell Google ÁSZF-et és adatvédelmi nyilatkozatot elfogadnom, mintsem bármit csinálhatnék a telefonnal, továbbá nem tudom kontrollálni, hogy ne kommunikáljon egyáltalán hálózaton.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Értő olvasásból már a második elégtelenedet írhatod be magadnak... NEM kell hozzá semmilyen online kapcsolat, és offline-ban, wifi meg mobilhálózat nélkül, az apk-t mondjuk blútyúkon ráküldve ki nem sz@rja le, hogy az asztalon pihenve (mert ugye csak azstali gép az istencsászárkirály, és csak onnan bármit is) milyen adatokat tárol a nemmozgatásáról, a nemnyomkodásáról...

"Ahogyan egy TCP csomagét sem. Akkor sem, ha épp ez az UDP-hez képest a mássága. De nem, mert ha kihúzzuk alóla a fizikai réteget, varázsolni a TCP sem tud. A valóság nem olvassa az RFC-ket" - az SMS az nagyjából az UDP szintje, valaki elindítja, fizet érte(!), és vagy odaér a címzett SIMID-t tartalmazó eszközhöz, vagy sem. De erről semmilyen visszajelzést nem fogsz kapni.

"A GPS nem. Az csak meghatározza a helyet, a telefon meg elmondja a Google-nek hálózaton, hogy hol van. Ha véletlenül nem lenne GPS, megteszi ezt a környező SSID-k alapján. A környék többi telefonja majd elmondja, azok az SSID-k milyen GPS koordináták közelében vannak."

Leírom lassan: a TOTP működéséhez semmilyen  hálózati kapcsolat, semmilyen más eszközzel történő kommunikáció nem szükséges. Az eszköz sem nem fogad, sem nem küld adatot, kizárólag a preshared secret az, amit be kell valahogy tolnod a készülékbe, például úgy, hogy QR-kódot olvas le az eszköz, akár full offline módban.

"nem tudom kontrollálni, hogy ne kommunikáljon egyáltalán hálózaton." - SIM-et nem raksz bele - mobilhálózatra nem tud hozzád vagy bárkihez kapcsoltan feljelentkezni (hiszen nincs benn előfizetőazonosító modul, azaz SIM), csak a segélyhívásokat tudja kezdeményezni. WiFi-hez nem adsz neki adatot - wifi-re sem fog tudni feljelentkezni.

De sokadszor (és újabb elégtelen értő olvasásból...) leírom, hogy ez csak egy kényelmes és biztonságos lehetőség a presared secret tárolására és abból idő alapon TOTP kód generálására - megteheted, hogy te raksz össze egy alkalmazást a pécéden, és ott tárolod azt az adatot, amiből a TOTP kódot generálod.

"Azért lehet, nekem megteszi a file-ban tárolás is. Valahogy a /etc/shadow is képes hash-t tárolni a gépemen. Látod, még azt is megmondtam, hol tárolja." - és aki root tud lenni a gépen, az viheti is... Vagy viszi a gépedet mindenestől...

aki root tud lenni a gépen, az viheti is... Vagy viszi a gépedet mindenestől...

Na, dehát az épp én vagyok! Ha viszi a gépem, akkor már mindegy. Ha az ujjamat levágja, akkor van ujjlenyomata, ami az enyém. Ez ilyen.

Nem az a gondom, hogy ne hinném el, hogy a TOTP-hoz nem kell hálózat, hanem az, hogy ha vennék egy ilyen sz.rt - eleve miért költsek rá súlyos tíz- esetleg százezreket -, a bekapcsolása után szerintem a bejelentkező képernyő, hogy elfogadom a Google ÁSZF-ét és adatkezelési szabályzatát. Gondolom, csak OK opcióval, Mégse gomb nélkül, hogy növeljük a felhasználói élményt, nehogy eltévedjen a felhasználó. És akkor vihetem vissza a berendezést azzal, hogy elnézést, nem működik ez a sz.r, kérem vissza a pénzem. Továbbá nem tudom majd használni a TOTP-ot sehogyan sem. Ráadásul itt sem adtok majd tanácsot, mert ezt az esetet még senki sem próbálta ki, de örömmel olvassátok az erről szóló tapasztalataimat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.

Használjon akkor egy külön, air-gapped, azaz offline PC-t vagy laptopot a TOTP kódjainak tárolásához. Ezt a gépet tárolja egy páncélszekrényben és csak arra az időre vegye elő, amikor éppen belép vele a bankba, illetve amikor utal. Biztonságos lesz, de kényelmes nem.

Nézd, egy OS beépített jogosultsági rendszere, aminek az a dolga, hogy authorizációt végezzen az accessen, az bizony minden emberi értelmezés szerint " protected against unauthorized access and usage."

Azt elhiszem, hogy neked ez nem tetszik, mert szerinted ez kevés, mert szerinted kizárólag a mobilos secure storage a megfelelő, a valóság ezzel szemben az, hogy ezt az általad idézett félmondat maga sorolja explicit a nem kötelező kategóriába. Az, hogy szerinted a chmod szarabb access control, mint amit egy mobil OS csinál, az az rfct nem érdekli, ha lol, ha nem.

(Azt az öngólt meg hagyjuk is, hogy ha az ember nem root az eszközön, akkor ez az egész kevés, miközben kedvenc bankjaid a safetynetes színházzal aktívan nem hagyják, hogy root legyél ;) )

Ez így van. Valamiért az RFC mégsem megy bele ebbe alaposabban. Illetve egy kicsit de:

   We also RECOMMEND storing the keys securely in the validation system,
   and, more specifically, encrypting them using tamper-resistant
   hardware encryption and exposing them only when required: for
   example, the key is decrypted when needed to verify an OTP value, and
   re-encrypted immediately to limit exposure in the RAM to a short
   period of time.

   The key store MUST be in a secure area, to avoid, as much as
   possible, direct attack on the validation system and secrets
   database.  Particularly, access to the key material should be limited
   to programs and processes required by the validation system only.

A másodikból következik egy külön service user, vagy a megfelelő selinux/apparmor policyk. Attól függően, hogy hogyan értelmezed a tamper-resistantot az elsőben, esetleg rá lehet fogni, hogy az már mondjuk az adathordozó fizikai védelmét jelenti (sav tabletta, nyitás riasztó, stb), és a data-at-rest protection titkosítás még a másodikba értendő. De tekintve a "particularly" példát, ami runtime dolgot feszeget, nem hiszem, az az én megítélésem szerint már a tamper-resistant részhez tartozik (egyébként a példád már egyértelműen az első, a disk kivétele mindenképp tamper).

Vegyük észre, hogy

  1. az első csak SHOULD, szóval indoklással megengedi az rfc, hogy ettől eltérj
  2. Mindkettő kifejezetten a validation, vagyis a szerver oldallal kapcsolatban fogalmazza meg, amiből bizony következik, hogy ezek nem elvárások a kliens oldallal szemben. 

Szóval értem én, hogy nem tetszik (bár van véleményem arról, hogy egyébként miért ilyen "laza" ez), de bizony az RFC-ből akkor is az következik, hogy a "szokásos" authorization az elvárás (és indokkal még attól is el lehet térni!), márpedig az linuxon a chmod és a chown.

Akkor használj pécét, igaz, abban qrvára nem lesz olyan tárolóelem, ami a idő alapú autentikátor app védetten tárolandó kiindulási értékét megfelelően tudná tárolni, illetve a hozzáférést korlátozni.

Tehát az okostelóm, amihez még rootjogom sincs, biztonságosabban tárol bármit is, mint a gépem, ahol titkosított merevlemezen, titkosított állományokban (Tomb és tsai.) titkosított jelszóadatbázisokan tárolhatok dolgokat, és titkosított mentéseket tudok csinálni (mindezt akár testre szabva, nem úgy, mint okosteló esetén)?

Igen, így van. A pécéden egy root jogú processz mindenhez hozzá fog férni, a memóriában ott lesz a titkosított fájl kinyitásához szükséges adat, ahogy a fájl tartalma is részben vagy egészben elérhetővé válik a feloldást követően.
Próbáltál már Android-os telefonra felrakott privát kulcs+cert (klienst ezzel azonosítja a túloldal) párost kinyerni Android-os telefonról?