Ügyfélkapu plusz és FreeOTP (F-Droid)

Közösségi kerekasztal

Működhet / Használja valaki az F-Droidon elérhető FreeOTP alkalmazással?

  • 3996 megtekintés

( mauzi v | 2024. 12. 24., k – 21:45 )

Szerkesztve: 2024. 12. 24., k – 22:19

Az Ügyfélkapu plusz bármilyen TOTP authentikátorral használható.

Maga a TOTP nem egy űrtechnológia, nekem sikerült kb. húsz-harminc sor programkódban implementálnom. A FreeOTP-t nem ismerem, de mivel azt mondják magukról, hogy tudnak TOTP-t, ezért igen erősen merem feltételezni azt, hogy működni fog.

"Maga a TOTP nem egy űrtechnológia"

Olyannyira nem, hogy RFC6238, és az "A" melléklete tartalmaz egy referencia implementációt is. Egyébként a TOTP-s alkalmazásokban nem az időfüggő kód generálása a trükkös/problémás, hanem a generáláshoz használt secret tárolása, illetve védelme - amit az alap totp motyók az OS-re/szoftverkörnyezetre bíznak - azaz semmi sem garantálja, hogy 3. fél nem fér hozzá/nem tudja lemásolni...

( adi5 | 2024. 12. 24., k – 21:49 )

Aegis-szel használom, szintén F-Droidról. Működik, és a FreeOTP-nek is kell, ahogy minden IETF RFC 6238 képes alkalmazásnak.

( gemnon v | 2024. 12. 24., k – 21:50 )

Szerkesztve: 2024. 12. 24., k – 21:51

Működik, csak fikázza a tokent (valószínűleg jogosan :)): 

Token is unsafe!

The token you are attempting to add contains 
weak cryptographic parameters. 
Use of this token is strongly discouraged!
Please alert your token provider.

Cancel
Add anyway

De tovább lehet nyomni és megy. 

Az algoritmusnak erős megosztott titkot KELL használnia. A hossza a megosztott titoknak legalább 128 bitesnek KELL lennie. -írja [RFC4226](https://datatracker.ietf.org/doc/html/rfc4226#section-4 ) 2005 decemberében. Ugyan ez 2005-ben készült a dokumentum 160 bites megosztott titok hosszt ajánl.  

( asch v | 2024. 12. 24., k – 22:34 )

oauthtool csinál ilyen tokeneket Linuxon parancssorból. A lényege az, hogy egy kiinduló kulcstól és a pontos időtől függ, hogy mit ad, és a szerver ellenőrizni tudja, hogy tudtad a kulcsot, de a token az idő lejárta után nem lesz használható. Csak a privát kulcs, az idő és számolási képesség kell hozzá (Esetleg random source? Nem tudom.), bármire meg lehet írni és van is 1000 féle implementáció.

Az oauthtool-t szerintem valahogy lehet a jelszókezelőkbe is integrálni, talán úgy a legegyszerűbb használni. Valaki biztos csinált belőle online alkalmazást is, bepasztázod a kulcsot és ad egy aktuális tokent. Ezzel adhatunk egy nagy pofont a biztonságnak.

> Csak a privát kulcs, az idő és számolási képesség kell hozzá (Esetleg random source? Nem tudom.)

csak a shared secret (sajnos nem asszimetrikus, nincs privat es publikus kulcs kulon) es a timestamp kell neki, semmi mas. szamolni se kell sokat, nem attol lesz biztonsagos, hanem kell DoS vedelem az oldalon, hogy percenkent max 3-5 probalkozast engedjen ugyanazzal az userrel.   igy a 6 szamjegyu otp-t kitallani 3 probalkozasa van (ez kb ugyanannyira biztonsagos mint a telefon feloldo pin kodja) utana valtozik a kod es kezdheti elolrol a probalgatast.

> Valaki biztos csinált belőle online alkalmazást is

mindenhol a totp.app websiteot ajanlgatjak hozza, en meg nem probaltam, nem biznek ilyet senki masra

Sőt, az idő lejáratot se mutatja. Valamint nem találtam meg, hogy hogyan lehet kinyerni belőle az egyes kódok paramétereit - elsősorban a shared secret érdekel persze. (Hasonlóan a Google Autentikátorból sem.) Ellenben az Aegis-szel.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( machobymb v | 2024. 12. 26., cs – 19:21 )

Én Enpass-t használok, de próbáltam már a totp nevű Firefox kiegészítővel is ...

( legradi v | 2024. 12. 27., p – 17:23 )

Ha már lehet kérdezni, akkor én is ezt teszem:

A jelzett ,,Ügyfélkapu+''-t -- ha már van sima Ügyfélkapus azonosítóm -- pontosan milyen alkalmazásokkal is lehet elérni?

Hint: nem csak mobil applikációk, de akár webes megoldások is érdekelnének, az jelzett megoldásokon kívül.

"Share what you know. Learn what you don't."

( fezo | 2024. 12. 28., szo – 11:34 )

Az F-Droidos sima QR és Barcode Scanner is tud ilyen one time passwordot/tokent generálni. Van egy oldal, ahonnan a céges fizetéscetliket töltöm le. Persze MS Authenticator ajánlott de én ilyesmit nem telepítek a telefonomra. Bescanneltem a QR kódot a fentebb említett app-al és lám, működik, időközönként generál egy újabb számot.

Telefon cserekor elég volt a régi telón megnyitni a QR kódot, az újjal meg bescanneltem és migrálva is volt. Ha ez a lehetőség nincs akkor az oldal által első belépés után generált valamelyik egyedi, egyszer használatos kódot kellett volna használni, amiket már el is felejtettem, hova mentettem el.

Minden hulla a Mount Everesten valamikor egy nagyon motivált ember volt.

( gemnon v | 2024. 12. 28., szo – 12:10 )

Szerkesztve: 2024. 12. 28., szo – 12:14

Váltson Ügyfélkapu+-ra!

A kétfaktoros azonosítás január második felében tovább egyszerűsödik: a hitelesítő alkalmazások mellett már e-mailes visszaigazoló kódot is használhat.

Hatalmas biztonsági előrelépés ez (ja nem), de legalább így a könyvelők megint nyertek akik a könyvelőiroda e-mail címével regisztráltatták be az ügyfeleket.

Ha már itt tartunk, valaki meg tudja mondani, hogy miért lett divat bankoknál és sok más helyen (mondjuk az ügyfélkapun pont nem) a user acc. helyett az email cím?

pl. az otp régi netbankja felhasználó név és jelszó volt, az új email cím + jelszó. Miért hiszik, hogy az ember nem változtat a default email címén. (mondjuk mert feltörték, kikerültek jelszavak, vagy egyszerűen csak a "fejlesztés" során kényelmetlenné változott.) Arról nem beszélve, hogy a email címet elég könnyű kitalálni (minimális kutakodással a neten), a account nevet meg nehezebb.

A gmail a válasz. 

Kezdetekben semmit nem kellett megadni, így ők kezdték el az email cím + jelszó alkalmazását a belépéshez. 

Az email cím ráadásul egyedi azonosító is kellett hogy legyen, mivel csak az azonosított egy felhasználót. 

Elterjedt, így jártunk. A usernév eltűnte gyengítette a rendszereket.

Amikor a gmail elindult, nem kellet semmi aznositas.

Csináltál egy e-mail címet, meg egy jelszót. Ennyi volt kötelező.

Ezért csak az email cím volt megadható a belépésnél, és kellett a jelszó, hogy te vagy.

Ez elterjedt, és kikoptak a bejelentkező nevek. Ez gyengítette a rendszerek biztonságát.

Mostmár ez van

Kettővel több karakter nagyjából, igen. Lehet hogy nem voltam elég egyértelmű: teljesen mindegy hogy adott komplexitású "titkot" egy vagy két mezőbe írsz bele összesen, az a lényeg hogy a szükséges komplexitás meglegyen.

zászló, zászló, szív

Ezt nem teljesen értem. A titokból az emailcím, mint írtam az esetek többségében nem titok. Szemben a user névvel ami viszont az. Így a 8 elemű user név meg a 8 elemű jelszó képez egy 16 elemű titkot. Míg emailcím esetén csak 8 elemű a titok. Igaz, ha az emailcímhez 16 elemű jelszót generálsz akkor .... egál. Persze a usernévben ritkán vannak spec karakterek.

Bocs elem helyett a pontosságra kényesek, értsenek karaktert.

Nem csak az otp, de ha kutyakaját, piát veszel, emagot, bármilyen netes boltot használsz. Mindenhol ez van. A gmailes kapcsolat, hát....kéne ide egy PR manager, hogy megértsem. :)

Az OTP azért gáz, mert

1 Azért az durvább ha azt törik fel, mint a zooplust.

2. Ott volt egy másik rendszer, és a fejlődés hozta email címet.

Ebben a szívatás inkább az, hogy a legtöbb olyan rendszerben, amely email címmel azonosít, nem módosítható az email cím. Így ha bármi okból a címet meg kell változtatni, sokszor nincs más mód, mint új userként regisztrálni, és a régit törölni. Ahol bármi okból fontos a history, ott így jártál. Nagy élmény volt, amikor a cégnél átszervezés (külön leánycég, stb) átmozgattak minket az anyacég domainjébe.

Még egyszer, mit csinálsz ha kapsz egy ilyen üzenetet?

Én csináltam egy jelszócserét, és azóta rá se nézek arra a fiókra. Nem azt mondtam, hogy a google sara*. A google-t más okból hanyagolom. S ha már így történt, akkor nem új gmail fiókot nyitottam, hanem máshol nyitottam új fiókot.

 

*Nagyjából sejtem mi volt a gond. De hosszú lenne. Több dolog is közrejátszott. És igen alapvetően usererrror. A lényeg: céges laptop, amit egy délelőttre (egy fejtágítás alatt), kölcsön adtam egy kollégának.

A kolléga meg a te usereddel sz@rakodott a laptopon? Vagy mindenki is local admin volt? A G-s fiókokhoz már igen-igen régóta beállítható 2FA, ami lehet akár push, sms vagy épp TOTP is.

Anno DJ-k mondása volt, hogy feleséget és lemezt nem adunk kölcsön. (Lemezt biztos, hogy nem.) Ugyanez igaz kellene legyen a notebook-ra meg az identitásra is.

Rég volt. Vagy 15 éve. Akkor még sok szempontból(kollégák, emberek, gépek) naiv voltam.

Tudod, ez az "Á, miért csinálna ilyet?"  Meg voltunk kb. egy tucatnyian. Pedig már akkor is tudtam, hogy a 12db apostol pont egyel több mint kéne.

Nyilván ma már ilyet nem tennék.

( uid_16591 | 2024. 12. 29., v – 07:23 )

Én is keepassxc-vel használom, minden TOTP kompatibilis szoftverrel működnie kell, legfeljebb plusz kör kinyerni a QR kódból a tokent.

( e704112 | 2025. 01. 14., k – 10:00 )

Én csak kérdezem - mert 10 perce kezdtem el foglalkozni kényszerből a témával -, akinek nincs okostelefonja, az 2-3 nap múlva nem fogja tudni magát azonosítani? Jól értem?

Rosszul érted. Van TOTP desktop-ra is, meg JME verzió is, úgyhogy de, fogja tudni, csak mindenképp kell neki egy második faktort adó szoftver. Azoknak a halmaza, akik aktív felhasználók a KAÜ-t használó rendszerekben ügyfélként, _és_ nincs okostelefonjuk, az nem gondolom, hogy olyan rettenetesen nagy számossággal rendelkezne...

Én ezeket rakom telefon problémás helyekre:

win  https://winauth.github.io/winauth/download.html
linux  https://flathub.org/apps/com.github.paolostivanin.OTPClient  (van mindenféle változata)

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( kallaics | 2025. 01. 14., k – 18:36 )

Egy új Auth alkalmazás az Ente.io-tól. Van pár érdekes feature. Gondoltam megosztom, hátha valaki ilyet keres. Sajnos F-Droidon nem elérhető.

Itt vannak további információk: https://ente.io/auth/