Az ügyfélkapu jelszó időnként (1-2 évente) lejár és ezért meg kell változtatni. Egyetértesz ezzel?

Internet, Közösségi média

Igen
65% (248 szavazat)
Nem
35% (136 szavazat)
Összes szavazat: 384

( trey | 2015. 01. 24., szo – 08:37 )

(x) Egyéb, leírom

Igen, és ha már a regisztrációhoz személyesen be kellett mennem, hogy igazoljam magam (ami helyes, mert egy rakás privát adat érhető el rajta keresztül), akkor további biztonsági intézkedéseket is szívesen látnék a belépéskor (pl. 2 faktoros azonosítás).

--
trey @ gépház

De gondolom az ügyfélkapuhoz egyébként is egy külön, máshol nem használt, megfelelően erős jelszót használsz, amelyet a lehető legjobban próbálsz biztonságban tartani és csak megbízható helyről használni. Vajon ilyen esetekben az időnként lejáró jelszó kötelező megváltoztatása milyen plusz előnyökkel jár?

(Csak teoretikus kérdés, engem nem érint. Sok évvel ezelőtt töröltem magam az ügyfélkapu rendszeréből.)

APG-vel generált jelszót használok, amit KeePassX-ben tárolok. A KeePassX adatbázis egy EncFS-en van, amit csak akkor csatolok fel (jelszóval), amikor éppen kell.

Előnye max. abból lehet, hogy ha megtörik az Ügyfélkaput, viszik az adatbázist. Főleg ha cleartext tárolják a jelszavakat :D Persze nem egy-két évente lejáró jelszónak lenne értelme.

Arra szavaztam, hogy a semminél több, egy lépés a megfelelő irányba, de bőven lenne itt még mint csinálnia az üzemeltetőknek.

Én inkább arra gondolok, hogy talán az az elsődleges cél, az elhalálozottak adataihoz ne lehessen X idő után hozzáférni.

--
trey @ gépház

Ezt értem, de ettől még igaz amit írtam. Szerinted nincs értelme a jelszó időnkénti változtatásának? Egyszer beállítod és vele temetnek el? Láthatóan ilyennel foglalkozol, érdekel a véleményed.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

( BlinTux v | 2015. 01. 24., szo – 09:42 )

(x) Mindegy...

Ám hülye a rendszer, simán elfogadja a régi jelszót újnak. Bíztam benne, hogy legalább figyelmeztet. De nem.
Nem baj, legalább nem kell új jelszót megjegyeznem!

( rpsoft v | 2015. 01. 24., szo – 11:44 )

Baromira nem hiszem, hogy e jelszavak kötelező cserélgetése javítja a biztonságot. 1-2 erős jelszót még csak megjegyez az ember, de ha cserélgetni kell folyton, akkor már fontosabbá válik a könnyű megjegyezhetőség, mint az, hogy a jelszó erős legyen. Valami modernebb megoldás: SMS-kód vagy egy TAN-generátor program/app/kulcstartó sokkal többet érne, és nem ilyen kellemetlen.

+1

Ha olyan platformon vagyok, ahonnan hozzá akarok férni a weblaphoz, akkor arról a platformról a szuperbonyolult jelszót is meg tudom nézni.

Kivéve, ha mondjuk internet kávéház gépén vagyok, ahová nem telepíthetek fel egy keepasst.
Persze egy ilyen helyen ha lehetne, akkor se biztos, hogy jó ötlet lenne megnézni a jelszavaimat és belépni.

Bár egyszer volt már, hogy reptéri fizetős internetes gépről beléptem a netbankomba. Szükséghelyzet előfordul.
Mondjuk utána, amikor visszatértem a civilizációba, megváltoztattam a jelszót, addig meg szerencsére nem lopták el az összes pénzem :-)

> Bár egyszer volt már, hogy reptéri fizetős internetes gépről beléptem a netbankomba. Szükséghelyzet előfordul.

Ezzel egyébként nincs is baj. Az egy hatalmas urban legend, hogy zárt wifi = öröm és bódottá, és nyílt wifi == ellopott adatok. Az, hogy maga az átviteli csatorna adott esetben titkosított, csak egy dolog. Feltehetőleg a netbank is minimum egy HTTPS-kapcsolattal védi az adatokat, az meg ugye akkor is elfogadhatóan biztonságos, ha adott esetben az átviteli közeg lehallgatható is.

(Tökéletes biztonság meg úgysincs, csak *elfogadható*)

tovabba legtobben nem tudjak, hogy mi a legalapvetobb szabaly egy passzfrezzel kapcsolatban, ezert azt hiszik, hogy attol, hogy passzfrezt hasznalnak, vedettebbek a jelszot hasznaloknal.

Trejnek meg semmi koze nincs a biztonsagos jelszotarolashoz; vivel letarolja.

Az megvan mindenkinek, hogy uldozesi maniasan kell lenni?
NINCS, de ez igy termeszetes, es mar megint en vagyo a helikopter.

( _Franko_ v | 2015. 01. 24., szo – 12:25 )

Egyébként a jelszóban nem lehetnek magyar ékezetek... minden más lehet, csak magyar ékezet nem... :)

A szintén extrafogyatékos Raiffeisen-nél meg nincs 2faktoros hitelesítés a netbankbban. Kiderül a felhnév+jelszó és simán be lehet lépni. Kolléga (új ügyfelük) fel is hívta az ügyfélszolgálatot, hogy nagyon gyorsan kapcsolják be neki a 2faktoros hitelesítést ha már alapból nem aktív. Erre a telefon végén elkezdett okoskodni az ember, hogy dehát van 2faktoros hitelesítés, mert azonnal megy az SMS a sikeres belépés tényéről.

Mondtam kollégának, h. küldje át a Raiffeisen (kiírom a nevüket még1x a biztonság kedvéért) IT kontakt emailcímére a wikipedia 2-factor authentication szócikk URL-jét. Ha már trollkodunk, műveljük magas szinten.

Ui. még szerencse, h. utalni azt már nem engednek Raiffeisen-nél sem SMS nélkül, így csak a pénzügyi állapotodat és historydat lehet így megszerezni. Sebaj, ha jól tudom pár hónap és ők is kivonulnak az országból...

( lyken | 2015. 01. 25., v – 12:29 )

Öröm volt, amikor külföldön voltam tartósan és lejárt a login. Megírtam nekik a problémát, erre visszaírtak, hogy semmi gond, menjek be egy okmányirodába újraregisztrálni. Mondom félreértett, 2000 km-re vagyok, nem tudok bemenni. Ok-ok, akkor ebben az esetben menjek be egy okmányirodába. WTF?

( szomi | 2015. 01. 25., v – 18:55 )

Az is valami? Én a login nevemet felejtettem el... :-)

( 6030999 | 2015. 01. 26., h – 15:34 )

Nem.
- az ügyfélkapu úgysem jó sok mindenre, az email accom nagyságrendekkel értékesebb
- nem érzem sokkal nagyobb biztonságban magamat attól, hogy ha valaki illetéktelenül hozzájutott a jelszavamhoz, akkor kb. ciklus/2 idő múlva már nem tudja tovább használni
- a jelszóváltoztatgatásra kötelezés amolyan iskolai rendszergazdák "ősi román szokása (TM)", amitől az illető úgy érzi, hogy ő most olyan szuperbiztonságos rendszert üzemeltet, mint az FBI a tévében, miközben ugyanott a félrekonfigurált, évtizedes phps cms nyugat és kelet találkozási pontja, ahol a behatolók már egymás kizárása végett keményítik a rendszert ráérősebb perceikben

Okmányirodai időpontfoglalás, ilyen-olyan bejelentések nav felé. Nem állítom, hogy kárt ne lehetne okozni, de más hasznára visszafordíthatatlanul visszaélni szerintem elég nehezen, ráadásul jönnek e-mailben az értesítések, így az ember nyomban tudomást szerez róla, ha történik valami rendellenes. Persze lehet, hogy tévedek, mert nem használtam sokat az ügyfélkaput, mert nem sok mindenre találtam használhatónak...

Még annyit, hogy ha már van egy ilyen centralizált rendszer, ami engem a neten személyesen tud azonosítani az adóhivatal felé, akkor abban véleményem szerint sokkal több potenciál rejlik, mint amennyit láttam belőle:
- MÁV, Volán, stb. bérletigazolványok elektronikus igénylése
- mindenféle pénzügyi számlák nyitása-zárása, ügyintézése történhetne elektronikusan, személyes megjelenés nélkül
- gépjármű vagy akár ingatlan adásvétel mehetne elektronikusan
- tetszőleges polgári jogi szerződést köthetnének egymással ügyfélkapus felek

Lényegében minden, ami miatt az embert ide-oda rángatják, hogy mutasson egy személyit és karcoljon hat aláírást. És akkor már csúnyán vissza is lehetne vele élni, kellene a többfaktoros autentikáció.

Tömegközlekedés: semmi köze az államigazgatáshoz. Mozijegyet korhatáros filmre ne árusítsanak?!
Pénzügyi számlák - gondolom banki ügyintézés/azonosítás: szintén nem államigazgatási terület, nekik sincs semmi közük a rendszerhez.
Gépjármű és ingatlan adás-vétel, egyéb szerződések elektronikusan: alá kell írni (pontosabban mindkét félnek, ingatlannál az ügyvédnek is) az elektronikus dokumentumot, ahhoz meg megfelelő tanúsítványra van szükség, egy usernév/jelszó páros nem elégséges.

Az Észtek megcsinálták: chipkártya mindenkinek, két cert a kártyán, és tényleg minden megy elektronikusan.

Nekem sincs semmi közöm az államigazgatáshoz, mindössze elszenvedő alanya vagyok. Pont azt magyarázom, hogy szeretnék hasznos szolgáltatásokat kapni, ha már az infrastruktúra ott van és alkalmas lenne rá. Ha Gipsz Jakab aláírhat az adóhivatal felé, akkor nyugodtan engedhetnék aláírni általánosan is. Pont nem akarok a technikai részletekbe belemenni a prímszámokig, meg a chipkártya anyagfelhasználásáig, mert az mindegy. Ismétlem: ha az a usernév/jelszó páros elégséges arra, hogy az államigazgatás gépezete engem ismerjen el mögötte, akkor elégséges kellene legyen sok egyéb dologhoz. Valahogy úgy vizionálnám, hogy feltöltöm a portálon a kis albérleti/számlanyitási/adásvételi szerződés dokumentumát txt vagy pdf formátumban, kapok róla egy linket, amit a másik félnek elküldök, ő a portálon a saját regisztrációjával eléri, s ha megfelelő, akkor megjelöli, hogy igen, aláírja, és csiribú, csiribá, kész a polgári jogi szerződés, amit aztán a bíróság olyanként is kezelhetne.

Nagyon nem lenne jó. Egy usernév/jelszó párossal eladhatná bárki az ingatlanodat? Vagy csak kiadhatná bérbe? (A bérbeadott ingatlan esetén a törvény a bérlő jogait védi, ergo ha egy bérleti szerződés életbe lép, be sem mehetsz a saját tulajdonú ingatlanodba, csak akkor, ha a bérlő ott van és beenged)

A bérleti megállapodást is minimum teljes bizonyító erejű magánokiratba kell foglalni, hogy jogi eljárásban védhető legyen - ahhoz meg legalább két plusz aláíróra van szükség, akik kijelentik, hogy a megállapodás aláírói tényleg azok, akiknek ott szerepel a neve.
Az okirathamisításért ők is felelnek, ez az egyik. A papíron szereplő aláírás valódiságát lehet vitatni, de egy ellopott usernév/jelszó párossal történt tevékenységnél jóval kisebb (gyakorlatilag nulla) az esélye annak (technikai/technológiai korlátok miatt), hogy teljes mértékben bizonyítható legyen, hogy nem te jelentkeztél be, és indítottál el egy szerződést.

Ügyfélkapun keresztül hasonlót? Tehát másik két embernek is, mint tanúk, el kell fogadni/alá kell írni a szerződést. Négy jelszó ellopása is persze lehetséges, de kisebb az esélye, valamint ha utána mindenki kap egy email-t a történésről, ha más csinálta, tudják jelezni.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Usernév és személy kapcsolódása a regisztrációnál megvolt. Az adóbevallásomra és még pár dologra elég ennyi, erre nem? Igen, nem feltétlen érkezik meg a levél, de négy emailről beszélek, akár lehet ügyvéd is mellé, akkor öt és persze tárhelyre is megy. Levélben előtte jóváhagyás, stb. Szóval ha nagyon akarnák, szerintem megoldható lenne.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Az adóbevallásodat vagy a postára bízod, aláírva (csak az adózó aláírása, tehát nem tbmo), vagy pedig - szintén nem teljes bizonyító erejű magánokiratként elektronikusan küldöd be.
Ha a posta, illetve a nav rendszere átvette/fogadta a bevallásodat az adott bevallásra megadott határidő előtt, akkor te jogilag rendezted a dolgot. Teljesen más jogkövetkezményei vannak egy adóbevallásnak, mint egy adás-vételi, vagy akár egy bérleti szerződésnek. (Szerződés esetén a szerződésből fakadóan keletkezik jog, illetve kötelezettség, az adóbevallás során viszont meglévő jogoddal élsz, illetve kötelezettségednek teszel eleget. Nagyon nem mindegy.)

Attól, hogy egyszer valamikor kaptál egy usernevet és ahhoz hozzárendeltél egy jelszót, azzal még nem garantált, hogy az minden esetben téged és csak téged azonosít. Nem véletlen, hogy bizonyos szerződéstipusok esetén törvény írja elő az írásbeliséget, ami lehet hagyományos okiratba foglalt, vagy elektronikus, ha minden érintett fél rendelkezik aláíró tanúsítvánnyal, és azt használja az elkészült dokumentum aláírására.

Ha valaki a szerződő aláírását odahamisítja, az a tanúk aláírásán sem fog sokat vacillálni: vagy ír oda is hamisítottat, vagy talál tanúkat, akik az életükre is megesküsznek, hogy az ott tényleg a szerződő aláírása. De ez pont simán leképezhető az általam vázolt rendszerbe is, invite-olsz még néhány aláírót facebookon =)
Érdekes különben, hogy az aláírás valódiságának elvitathatóságát pozitívumként hozod fel - én naivan azt gondolnám, hogy a hagyományos aláírásosdinak ez komoly hiányossága.

Két dolog közül melyiket lehet nagyobb biztonsággal bizonyítani:
-A userneved/jelszavad felhasználásával elvégzett tevékenységet NEM te csináltad, vagy
-A neked tulajdonított aláírás nem tőled származik?

Az, hogy leírják valamilyen szabályzatban, hogy az usernév/jelszó páros használatáért kizárólag te felelsz, az nem elég - bizonyítani nem lehet, hogy tényleg te voltál.
A neked tulajdonított aláírás valódiságát vitatni egyébként -ha jól tudom- csak neked van jogod (a saját aláírásod az, amit sajátodnak fogadsz el)

A másodikat. De nyitott kapukon dörömbölsz, nem kell meggyőzni engem arról, hogy a usernév+jelszó páros nagyon kevés.
Azt viszont még továbbra sem látom, hogy miért hasznos feature az, hogy valaki visszatáncholhat egy szerződésből ha a tanúkkal egyetemben letagadja az aláírását.

Ez azért nem elég hozzá (az állítás, hogy nem ő írta alá), bizonyítani is kell. Nem véletlen, hogy bizonyos szerződéseket ügyvédi ellenjegyzéssel, vagy közjegyzői okiratba foglaltan kell elkészíteni - ezeknél ugyanis független harmadik fél tanusítja, hogy az aláíró felek azok, akik a szerződésben szerepelnek.

Sőt, pár éve egy tévéműsorban meséltek egy esetről, ahol valaki nevében talán hitelt vettek fel. Ott volt az igazolvány fénymásolata is. Minden maximálisan szabályosnak látszott és úgy tűnt a hitelfelvevő akarja letagadni csak. Az volt a szerencséje, hogy akkoriban változtatták meg a személyit (sorszám -> okmányazonosító vagy fordítva) és az övé még régebbi fajta kártyára készült. Valaki megfelelő kapcsolattal újragyártatta a kártyát, csak az üres kártyán gyárilag rajta lévő új szöveg volt a különbség.

Tegyünk hozzá egy tokent vagy SMS aláírást, amiért a szavazás hozzászólásainak jelentős hányada amúgy is joggal kiált. De fontos, hogy ez az irány, amerre itt elkalandoztam (keveset használom, mert kevésre használható, holott ...), csak áttételesen kapcsolódik a security kérdéskörhöz - a két téma nagyrészt egymástól függetlenül tárgyalható.

Konkrétan az ingatlan adásvételhez ugyanúgy kellene az ügyvéd, ahogy jelenleg is, aki ugyanúgy felelősséggel tartozna azért, hogy szabályos legyen az adásvétel, ahogy jelenleg is, ezért valószínűleg az a szokás alakulna ki, hogy a felek személyesen is felkeresik az ügyvédet, amennyiben lehetséges, mielőtt ő utolsóként aláírja, de megmaradna annak a lehetősége, hogy például egy Angliába szakadt értelmiségi szándékának valódiságáról csak skype-on győződjön meg.

Van valami érdekeltséged chipkártya vonalon, vagy miért ragaszkodsz pont ehhez? ;) Félre ne érts, felőlem akár az is lehetne, ha csak ebben a technikai részletben tér el a véleményünk, csak tényleg nem világos számomra, hogy miben adna az többet, mint a tokennel vagy az SMS-sel megerősített autentikáció?

( battila | 2015. 01. 26., h – 16:25 )

Nem-mel szavaztam, szerintem surubben kellene lejaratni. Vagy pedig valami tobb lepcsos beleptetest hasznalni.

( xclusiv v | 2015. 01. 26., h – 17:51 )

Igenre szavaztam, de szerintem nem sokat jelent, a 2 faktor sokkal jobb lenne.

Viszont az felháborít, hogy ezen az üszkön keresztül küldenek minden vackot államék. Mármint minden olyat is, amiben semmi személyes adat nincs, nem hogy érzékeny vagy kihasználható.
Jön egy levél, hogy az ügyfélkapumon keresztül kaptam a zállamtól üzenetet. Bejutok, letöltöm, megnyitom, aztán úgy kezdődik, hogy "tisztelt adózó..."
A folytatása meg olyan csuda dolgokból áll, hogy sikeresen elküldték az 1%-ot (nincs ott hogy kiét, kinek és mennyit), meg hogy X adóhivatal Y időszakban zárva lesz. Vagy a legújabb, hogy milyen határidővel kell adót bevallani. Mindezt muszáj ennyire überbiztonságosan küldeni, nem férne el egy sima email-ben a 2 oldalas pdf szövege, vagy mondjuk egy link rá. Muszáj ezt ennyire túlbonyolítani, ehh...

Figyi Te Győrben laksz én meg rossz helyen - Faluvége :D

Az 1% felajánlása előtt gondosan nézd meg, hogy akinek szeretnéd adni annak adható e nincs e véletlenül valami "központi" eltiltása stb, ami miatt nem válik jogosulttá az elfogadáshoz.

http://hup.hu/node/99539
http://hup.hu/node/128597

( horbeni | 2015. 02. 27., p – 22:53 )

biztonsági szempontból igen, egyébként utálom