Fórum:
Bizonyára olvastátok, hogy januárban megszűnik az Ügyfélkapus belépés, helyette az Ügyfélkapu+ lesz.
Eredetileg egy hírhez írtam a kérdésemet, de valószínűleg senki nem olvasta:
https://linuxmint.hu/hir/2022/06/megerkezett-a-ketfaktoros-azonositast-is-nyujto-ugyfelkapu
A lényeg, hogy okostelefon nélkül hogyan fogom tudni elérni az Ügyfélkaput+-t?
Időközben annyit kiokosodtam, hogy a Secret key-hez mindig ugyanazt a 16 jegyű egyedi azonosítót kell majd beírni:
https://szarnyseged.hu/ugyfelkapu-plusz-beallitas-reszletes-utmutato/
Továbbra is az a kérdésem, hogy több asztali gépről a továbbiakban elérhetem-e az Ügyfélkapu+-t (legyen az Linux vagy Windows) illetve egy gépről be tudok-e jelentkezni különböző profilokba? (szüleim bejelentkezéseit is én kezelem)
Ha jól értem, a megoldás nincs hardverhez kötve.
Próbálkozott már valaki a 16 jegyű kódjával a https://totp.app/ vagy hasonló segédek segítségével belépni?
Egyelőre még nem mertem semmit kipróbálni, nehogy kizárjam magamat.
Hát izé
Beküldte T.István -
Értékelés:
1. Valószínűleg tudsz majd több profilt használni, bejelentkezési név és jelszó ezután is kell, de kiegészül egy további azonosítóval is.
2. Okostelefon nélkül: Egyelőre Windows alatt lehet a szárnysegédet használni, ez mindenképpen érdekes abból a szempontból, hogy ugyanazt az algoritmust használja mint az ügyfélkapú+, biztonsági szempontból tényleg érdekes. No de, bármikor megváltoztathatják az algoritmust, ami után a szárnysegéd sem fog működni. A 16 jegyű kód is változhat idővel.
3. hardvertől függetlenül -ez is korlátos lehet. Én jelenleg nem ezt, hanem melóban NAV bejelentkezést használok néha, na ott össze kell párosítani egyszer a telefont, csak azután működik a kód megadása (ami 30 mp. él, és az app folyamatosan változtatja), de lehet több telefont is regisztrálni.
webes hitelesítő programok
Beküldte Olsen -
Értékelés:
A Szárnysegédet nem akartam használni, csak a hivatalosan ajánlott TOTP.APP webes hitelesítő alkalmazást.
Akkor ez önmagában jó lesz Linux alatt is.
Sőt, azt hiszem, igazából internetkapcsolat sem kell hozzá, vannak offline hitelesítő programok Linuxra és Windowsra?
Ha sem internet nem kell, sem a hardvertől nem függ, akkor miben több ez, mint egy második jelszó, amit az elsővel együtt ellophatnak?
webes hitelesítő programok
Beküldte T.István -
Értékelés:
Az, hogy offline, vagy online nem számít az algoritmus szempontjából, annyi a kockázat, hogy ha az offline gép órája nem jár jól, nem szinkronizál időszerverrel, akkor a generált kulcs is helytelen lesz. Amúgy meg offline gépen hogy akarod az ügyfélkaput használni?
16 jegyű azonosító
Beküldte Olsen -
Értékelés:
Én eredetileg azt hittem, hogy az egyedi azonosító úgy készül, hogy a hardver (okostelefon) alapján állítja elő és az csak az adott gépen használható. Ha észreveszed, hogy kiraboltak (akár telefon, akár pc), akkor letiltod a belépést.
Az rendben van, hogy az okostelefon tárolja a 16 jegyű azonosítót, de ha ugyanezt a kódot feljegyzik vagy felírják a jelszó mellé (azt ajánlják, hogy jegyezzük fel valahova, mert később jól jöhet), akkor nem kell ellopni az okostelefont, csak ezt az azonosítót és bárhonnan generálható belőle belépési kód.
Persze nem akarom offline gépen használni, csak arra céloztam, hogy vannak olyan programok, amik nem böngészőből futnak és nem kell nekik internetkapcsolat sem, elvileg ilyet is lehet használni.
Beállítottam az Ügyfélkapu+-t
Beküldte Kempelen -
Értékelés:
Beállítottam az Ügyfélkapu+-t, hogy megírhassam a tapasztalatokat. :-) Úgyis beállítom mindenhol a TOTP-t ahol csak lehet.
A TOTP (Timed One Time Password - Idő Alapú Egyszer Kód) egyáltalán nem "okostelefon" függő. Az akár J2ME-s telefonra is van "program", csatolt képen az én telefonom, ahogy ezt használom vagy 20-25 bejelentkezéshez. 2 app-ot találtam:
https://github.com/baumschubser/hotpants/ <- ezt használom, sok okból
https://sourceforge.net/projects/totpme/
Másik lehetőség pedig a jelszókezelők! Ma már szinte az összes jelszókezelő tartalmaz TOTP funkciót, KeePassXC-t használom erre (offline, szabad szoftver), 1password is tudja (online, fizetős), a Proton Pass a ProtonMail jelszókezelője szintén (online, fizetős). Biztosan ezek közül választanék, de biztos van még 1-2 megbízható. (Aki nem jelszókezelőt használ, az már eleve elrontott valamit! :-( ) (Nyilván nincs benne a jelszót tartalmazó KeePassXC adatbázisomban a TOTP hozzá, de kényelmi szempontból az is lehet amíg belemelegszik az ember és szétválasztja.)
A TOTP, egyszerűen egy olyan rendszer, ami egy titkos "kulcsot" beletöltve, az órához igazítva létrehoz egy 6 számjegyű és ezt ismételgeti 30 másodpercenként. Általában a rendszerek az előző-következő kódot is elfogadják - nem kell idegeskedni a beíráskor.
A "titkos kulcsot" (TOTP TITOK) gyakran QR kód formájában adják oda, de szokott ott lenni a kód szöveges megjelenítése link is. A kódban számok csak 2-7-ig vannak, így nem keveredik az 1-I, 0-O, 8-B szám-betű! Ahol nem jelenítik meg szövegesen, ott kénytelen vagyok én is elővenni egy okostelefont a fiókból, bekapcsolni, leolvasni a QR-t, majd kiírni a TITKOT. :-) Erre AndOTP-t használok Androidon, de sajnos nemrég törölte az F-Droid, még nem kerestem alternatívát, mivel megvan.
Az Ügyfélkapu+ bekapcsolásakor a "Nem tudom leolvasni a kódot" link adta ki a TITKOT. Kénytelen is voltam, mert az AndOTP azt mondta: "Hibás QR kód." Sose volt még ilyenem! :-) És sose láttam még ennyire rövid TITKOT (a fentebb említett 16 karakter)! Mindenesetre begépelve már jó volt, a J2ME-n is, AndOTP Androidon is és a KeePassXC backupomban is.
Jó esetben a TITOK ezután soha nem kell, csak ha backupból akarom előszedni.
Az ügyfélkapu adott egy "törlőkódot is", ezzel kikapcsolható átmenetileg a kétlépcsős, ha elveszne az eszköz amire töltötted. (De legyen backup!)
Tehát:
1. Választasz egy TOTP alkalmazást, akár Linux (pl KeePassXC), akár J2ME (hotpants), akár Android, Windows (KeePassXC), vagy akár egy webes jelszókezelő (1password.stb.)
2. Javaslom előbb megtanulni használni valami kevésbé kritikus fiókon, ne kelljen bemenni az ügyfélkapuhoz. Bár pl a GitHub-ot rondod el, nem is tudom mit lehet tenni. :-) Figyelni kell, mert ez meg a jelszó csak együtt használható ezután!
3. A cikkben lévő linken nagynehezen találtam egy "Ügyfélkapu+ igénylése" gombot, azon a belépő képernyőn, ahol vagy 20 kék gomb van egymás alatt és semmi más.
4. Ekkor be kell lépni a szokásos módon.
5. Ekkor kiadja a QR kódot, amit vagy leolvasol, vagy kéred a szöveges kódot és beírod a TOTP programba
6. Ekkor bekéri a ügyfélkapu jelszavadat (a QR alatt) és a TOTP aktuális 6 számjegyű kódját - ezzel ellenőrzik, hogy jól konfiguráltad be.
7. Ekkor ad egy törlőkódot, amit le kell menteni biztonságosan. (VeraCrypt titkosított fájlokat használok ilyesmire, jelszóval és kulcsfájllal védve - a KeePassXC-m is jelszóval és kulcsfájllal védett - a gombos telefonom PIN kóddal - az Android PIN kóddal és 5 hibás kód után megsemmisít mindent - az Android AndOTP maga is kér egy hosszú kódot, ha fel van oldva a telefon akkor is .- erről ennyit :) )
Ezután ha kilépsz, akkor már a z Ügyfélkapu+ bejelentkezéskor a jelszavad és az aktuális fél perces TOTP kód is kell.
Ha több fiók kell, vigyázni kell, hogy a TOTP App a QR leolvasásakor nehogy felülírja a korábbit, szóval ha van NEVE (a képen is látható, hogy van nevük) akkor a második fiók beállítása előtt az első elkészült TOTP elemet kicsit nevezd át, pl hogy mi az pontosan). (Nem hiszem, hogy lazán felülírná, de nem tudom.)
És maximálisan egyetértek a kétlépcsős hitelesítéssel, a jelszó maga BÉNA mert sokan sok helyre megismétlik ugyanazt, pedig naponta kerülnek ki milliószámra a regisztrált fiókok jelszavai a darkwebre. (lásd https://haveibeenpwned.com/ ) Én mindenhol automatikusan generált nagyon hosszú és bonyolult jelszót használok. Csak a gépre tudom a jelszót, a jelszókezelőbe és a backupokra! (5-6 dologra összesen, pedig mindenhol más.)
Kép:
Tartalék kódok
Beküldte Kempelen -
Értékelés:
Elfelejtettem egy dolgot: A legtöbb rendszer nem törlőkódot ad (nem is láttam még ilyet), hanem 10 db tartalék kódot. Ezek is 6 jegyűek, el kell menteni őket biztonságos helyre (VeraCrypt :) ), és csakis a lista sorrendjében, mindegyik kód egyszer használható fel. Ez helyettesíteni tudja a TOTP eszközt ha elveszne. Facebook, GitLab, GitHub, Tuta, Proton mind ilyet ad.
Ez nekem is magas,
Beküldte 444tibi -
Értékelés:
mit fog ezzel a megoldással kezdeni több 10-100ezer favágó, ács, pék, butatelefon tulajdonos? Akiknek eddig is komoly problémát okozott belépni, hát még ezután.
Asszem nekem se lesz akkor januártól ügyfélkapum.
Ez nekem is magas,
Beküldte Kempelen -
Értékelés:
Hogy kinek ki segít megoldani, az is egy jó kérdés. Ha kérdés van, megpróbálom megválaszolni.
Jelszókezelőknél elfelejtettem, hogy a böngésző is tud jelszavakat megjegyezni. (Mivel ezt sose használom, eszembe se jut, de akinek megfelel, ez is jó megoldás!) Rettenetes, hogy ott tartunk, hogy regisztrál valahova egy ember (webshop, fórum, akármi), feljön egy Név/Jelszó mező, és beírja a Gmail címét meg a hozzá tartozó belépő jelszót!
Okostelefonon Google Play-jel biztos egyszerűbb
Beküldte Kempelen -
Értékelés:
Illetve, azt se tartottam szem előtt a válaszban, hogy akinek nincs igénye szabad szoftveres megoldásra, és van okostelefonja, annak egyszerűbb. Pl Google Authenticator vagy Microsoft Authenticator okostelefonon 5 perc alatt beállítható az Ügyfélkapu+-ra, Google Play-ből telepíthető, mindent Google felhőbe szinkronizál stb.
"A papának" gondolom ilyesmit telepítenék. Böngésző saját jelszókezelője, meg a Google saját TOTP alkalmazása, minden feltöltve a felhőbe - csupa olyan dolog amit egyáltalán nem használok.
Talán...
Beküldte kami911 -
Értékelés:
kiszúrás?
Beküldte Olsen -
Értékelés:
Igen, ez tényleg érdekes, hogy van nagyságrendileg 100 000 ember, akinek butatelefonja van, és van ügyfékapus bejelentkezése is, ez óriási kiszúrás velük. Én meg fogom tudni oldani, de a többség nem.
Közben rájöttem, hogy ha a qr kódhoz nem adna ki kódot egy rendszer, akkor van egy csomó olyan weboldal, ami a vonalkódot, vagy qr kódot feloldja, ilyenek mint https://qrcoderaptor.com/, ahol képet is fel lehet tölteni vagy vágólapról beolvasni. Tehát ehhez sem kell feltétlenül okostelefon.
Az SMS nekem most is biztonságosabbnak tűnik, mert egy butatelefont nem tudnak úgy támadni, mint egy okost.
A felhasználónév, jelszó és a 16 jegyű azonosító megszerzésével már be tudnak lépni, mert nem hardverhez kötött. Ha SMS-t küldenének, akkor nem. Persze semmi sem lehetetlen, de SMS-t elkapni eggyel nehezebb feladatnak tűnik.
Majd megírom én is a tapasztalataimat.
Köszönöm az érdekes és tanulságos beszámolót!
kiszúrás?
Beküldte kami911 -
Értékelés:
kiszúrás?
Beküldte Olsen -
Értékelés:
Sehonnan, csak tippeltem. Igen, lehet, hogy a nagyságrend csak 10 000-es. Már akiknek emellett még van ügyfélkapuja is.
Azért olyan is vannak, akik speciális esetekre fenntartnak okostelefont (van ilyen a családban), de alapesetben a butatelefont használják (például telefonálásra, mert arra kényelmesebb, banki belépéshez, mert azt biztonságosabbnak tartják) és csak "vész" esetén nyúlnak az okos eszközhöz.
Eszközpárosítás?
Beküldte Olsen -
Értékelés:
A regisztráció menetéről egy videó:
A regisztráció során azt írják, ki, hogy az eszközpárosítás sikeres volt. Ez nekem nagyon zavaró. Ebből arra következtettem, hogy itt egy konkrét hardver alapján előálló kulcsgenerálás történik, hasonlóan, mint amikor SMS-t kapunk egy adott készülékre (SIM kártyára) és csak az okostelefon birtokában volna lehetséges a belépés.
Most már tudjuk, hogy nem történik hardveres eszközpárosítás, a QR kód vagy a mögötte levő 16 jegyű "titkos" egyedi azonosítóval bárki, bárhonnan készíthet belépési kulcsot. A mobilalkalmazás csak valamilyen formában elmenti ezt a titkos kulcsot magának.
kiszúrás?
Beküldte Kempelen -
Értékelés:
Akinek nincs okostelefon azok asztali gépről lépnek be az Ügyfélkapura. Gépre felsoroltam egy pár lehetőséget amiben megoldhatja a TOTP kódok létrehozását. (Van egyébként több Firefox bővítmény is, tegnap rákerestem. Nem próbáltam ki, de ez a legtöbbször telepített: https://addons.mozilla.org/en-US/firefox/addon/roboform/ )
Nekem a J2ME telefonos megoldás csak "vagánykodás", talán ne is vegyétek komolyan mint megoldás. Annyi előnye van, hogy nem ugyanazon a gépen és nem ugyanabban a rendszerben van a jelszó meg a TOTP kód. Nekem ez volt az egyetlen szükségletem ahhoz, hogy letehessem az okostelefont és visszavehessem a 2007-2014 közt használt Sony-Ericsson P1i telefonomat. Minden mást tudok mellőzni!
A TOTP TITOK átmásolásával akárhány gépen is létre tudod hozni ugyanazt az időzített kódot. (pl eredeti kérdésben szerepelt, hogy munkahelyi + otthoni gép). Biztonsági mentésként jó is, ha több eszközben megvan.
SMS kényelmetlen is, meg felesleges telefonforgalom (költség valakinek). Ezt a TOTP-t meg csak szüntelenül generálgatja az órából egy akár teljesen offline eszköz, senkinek semmibe se kerül, nem kell várni az érkező SMS-t. Bárcsak a net-bankomban is lenne, nem SMS-sel szórakoznának....
A "16 jegyű azonosítót" (TOTP TITOK) azért is nehéz lenyúlni, mert csakis TOTP app-okba másolom be, még biztonsági mentésnek is ilyenben van, nincs sehol meg maga a 16 jegyű kód magában lementve! Átmásoláskor megnézem, hogy a második program is ugyanazokat a számokat dobja-e mint az első: ha igen, jól írtam át.
Én a legbiztonságosabb módokat próbáltam javasolni, amitől kicsit itt-ott túlzásba eshetek és "a papának" tényleg nem a legjobb megoldás. Bocsánat. Egyszerű megoldásként akár az említett TOTP.APP is jó lehet, de engem kiráz a hideg attól, hogy egy idegen webes alkalmazás kezelje ezt.
Csatolok egy képet a netről egy TOTP okostelefonos app-ról, annyi, hogy a név és jelszó után egy ilyenből kell az aktuális kód. És ha kiszivárog a név és a jelszó, akkor se tudnak belépni vele. A kétlépcsős védelem egy óriási védelem, megéri ezt a kis kényelmetlenséget.
Főként ha azzal is megerősíti az ember, hogy mindenből kijelentkezik használat tuán.
Kép:
KeePassXC
Beküldte Olsen -
Értékelés:
Sikerült felraknom a KeePassXC nevű jelszószéfet, egyelőre Windowsra. Valóban meg lehet adni neki TOTP titkos kulcsot is, amiből időalapú kódot generál, így nem kell online szolgáltatót igénybe venni, megadni a titkos kulcsot. Ez szimpatikus nekem, köszönöm az ötletet. Majd kipróbálom Linux Mint alatt is. Windows alatt volt vele probléma, nem indult el, de szerencsére ott volt, hogy töltsük le a Microsoft Visual C++-t és telepítsük újra, ezzel megoldódott a hiba.
Nem írunk erről egy cikket,
Beküldte kami911 -
Értékelés:
Nem írunk erről egy cikket, közösen? Ami info van csak összeszedjük. J2ME-től az ofline megoldásokig, a több user egy belépés problémájáig.
KeePassXC Linux Minten
Beküldte Olsen -
Értékelés:
A KeePassXC Linux Minten is remekül működik!
kiszúrás?
Beküldte T.István -
Értékelés:
Hasonlít a dologra, hogy pl. ma már az iskolai rendszerben nincs ellenőrző könyvecske, a szülőknek ott a Kréta, amihez csak nekik van a hozzáférésük, a gyereknek nincs. Magyarul, ha gyereked van, kell lenni okostelefonodnak és /vagy internetnek.
(ezt nem tudom, hogy kétfaktoros-e a bejelentkezés)
Na most a környéken van olyan, hogy a házban áram sincs, a vizet az utcai köztéri csapból viszik vödörrel haza, és több kisgyerek van. Ha lenne is okostelefon, hogyan, mivel töltik fel?
De visszatérve a nem okostelefonokra, ez hatalmas piac, mai napig többféle típus közül lehet válogatni, csak rá kell keresni, ha nem lenne aki ezeket megvásárolja, akkor ezek sem lennének.
https://www.mediamarkt.hu/hu/category/_nyom%C3%B3gombos-telefonok-504800.html?srsltid=AfmBOoq6n_PLXpdIWbPgsrA3yJR3VSCCAwil05HLalYwOHZRoRa5b-HZ
https://euronics.hu/telefon-tablet-okosora/telefonok/nyomogombos-mobiltelefonok-c1594320?srsltid=AfmBOopcsAx9CykvMsG9UsGI5SRc_w23FMboKAUaWeuqd1Ug5VEy_7nz
https://www.alza.hu/mobiltelefonok-idosebbeknek/18851246.htmi
Re: Nincs igénye az okostelefonra
Beküldte csuhas32 -
Értékelés:
2FAS AUTH
Beküldte IG -
Értékelés:
Sziasztok!
OFF
A 2FAS AUTH-tal is működik, most állítottam be. Ez ugye open source.
https://2fas.com/
ON
Mai új nyomógkombos telefonok
Beküldte Kempelen -
Értékelés:
A leírásomban a saját, 2007 óta (kis szünettel) használt telefonom szerepelt, szóval jó, hogy felhívtad a figyelmem ezekre az "újakra"! Köszi! Én valahogy le voltam ott ragadva, hogy nyomógombos = régi.
De magához a TOTP kódokhoz egyáltalán nem kell telefon, a kérdező is PC-n oldotta meg, Mint-en akár.
2FAS AUTH
Beküldte Kempelen -
Értékelés:
https://forum.f-droid.org/t/2fas-app-in-f-droid/25766
Szabad szofverek kedvelőinek szabad techonlógiákra alapuló megoldásokat preferálnék. Így pl valami olyat, ami F-Droid-ból is telepíthető. (Nem ismerem ezeket, sajnos amit én használtam az megszűnt, de mivel még megvan, nem kerestem másikat.)
https://search.f-droid.org/?q=totp&lang=en