Ügyfélkapu+ használata okostelefon nélkül

Fórum: 

Bizonyára olvastátok, hogy januárban megszűnik az Ügyfélkapus belépés, helyette az Ügyfélkapu+ lesz.

Eredetileg egy hírhez írtam a kérdésemet, de valószínűleg senki nem olvasta:

https://linuxmint.hu/hir/2022/06/megerkezett-a-ketfaktoros-azonositast-is-nyujto-ugyfelkapu

A lényeg, hogy okostelefon nélkül hogyan fogom tudni elérni az Ügyfélkaput+-t?

Időközben annyit kiokosodtam, hogy a Secret key-hez mindig ugyanazt a 16 jegyű egyedi azonosítót kell majd beírni:

https://szarnyseged.hu/ugyfelkapu-plusz-beallitas-reszletes-utmutato/

Továbbra is az a kérdésem, hogy több asztali gépről a továbbiakban elérhetem-e az Ügyfélkapu+-t (legyen az Linux vagy Windows) illetve egy gépről be tudok-e jelentkezni különböző profilokba? (szüleim bejelentkezéseit is én kezelem)

Ha jól értem, a megoldás nincs hardverhez kötve.

Próbálkozott már valaki a 16 jegyű kódjával a https://totp.app/ vagy hasonló segédek segítségével belépni?

Egyelőre még nem mertem semmit kipróbálni, nehogy kizárjam magamat.

Hát izé

Értékelés: 

0
Még nincs értékelve

1. Valószínűleg tudsz majd több profilt használni, bejelentkezési név és jelszó ezután is kell, de kiegészül egy további azonosítóval is.

2. Okostelefon nélkül: Egyelőre Windows alatt lehet a szárnysegédet használni, ez mindenképpen érdekes abból a szempontból, hogy ugyanazt az algoritmust használja mint az ügyfélkapú+, biztonsági szempontból tényleg érdekes. No de, bármikor megváltoztathatják az algoritmust, ami után a szárnysegéd sem  fog működni. A 16 jegyű kód is változhat idővel.

3. hardvertől függetlenül -ez is korlátos lehet. Én jelenleg nem ezt, hanem melóban NAV bejelentkezést használok néha, na ott össze kell párosítani egyszer a telefont, csak azután működik a kód megadása (ami 30 mp. él, és az app folyamatosan változtatja), de lehet több telefont is regisztrálni.

webes hitelesítő programok

Értékelés: 

0
Még nincs értékelve

A Szárnysegédet nem akartam használni, csak a hivatalosan ajánlott TOTP.APP webes hitelesítő alkalmazást.

Akkor ez önmagában jó lesz Linux alatt is.

Sőt, azt hiszem, igazából internetkapcsolat sem kell hozzá, vannak offline hitelesítő programok Linuxra és Windowsra?

Ha sem internet nem kell, sem a hardvertől nem függ, akkor miben több ez, mint egy második jelszó, amit az elsővel együtt ellophatnak?

webes hitelesítő programok

Értékelés: 

0
Még nincs értékelve

#2 Ha hardverfüggő is lenne, és ellopják a laptopodat, akkor mitől lenne jobb, mint egy mezei jelszó, szóval lehet még fokozni -és nyilván ha u.a gépen generálod a kulcsot, akkor milyen kétfaktoros hitelesítés már.

Az, hogy offline, vagy online nem számít az algoritmus szempontjából, annyi a kockázat, hogy ha az offline gép órája nem jár jól, nem szinkronizál időszerverrel, akkor a generált kulcs is helytelen lesz. Amúgy meg offline gépen hogy akarod az ügyfélkaput használni?

 

16 jegyű azonosító

Értékelés: 

0
Még nincs értékelve

Én eredetileg azt hittem, hogy az egyedi azonosító úgy készül, hogy a hardver (okostelefon) alapján állítja elő és az csak az adott gépen használható. Ha észreveszed, hogy kiraboltak (akár telefon, akár pc), akkor letiltod a belépést.

Az rendben van, hogy az okostelefon tárolja a 16 jegyű azonosítót, de ha ugyanezt a kódot feljegyzik vagy felírják a jelszó mellé (azt ajánlják, hogy jegyezzük fel valahova, mert később jól jöhet), akkor nem kell ellopni az okostelefont, csak ezt az azonosítót és bárhonnan generálható belőle belépési kód.

Persze nem akarom offline gépen használni, csak arra céloztam, hogy vannak olyan programok, amik nem böngészőből futnak és nem kell nekik internetkapcsolat sem, elvileg ilyet is lehet használni.

Beállítottam az Ügyfélkapu+-t

Értékelés: 

5
Átlag: 5 (1 szavazat)

Beállítottam az Ügyfélkapu+-t, hogy megírhassam a tapasztalatokat. :-) Úgyis beállítom mindenhol a TOTP-t ahol csak lehet.

A TOTP (Timed One Time Password - Idő Alapú Egyszer Kód) egyáltalán nem "okostelefon" függő. Az akár J2ME-s telefonra is van "program", csatolt képen az én telefonom, ahogy ezt használom vagy 20-25 bejelentkezéshez. 2 app-ot találtam:

https://github.com/baumschubser/hotpants/ <- ezt használom, sok okból
https://sourceforge.net/projects/totpme/

Másik lehetőség pedig a jelszókezelők! Ma már szinte az összes jelszókezelő tartalmaz TOTP funkciót, KeePassXC-t használom erre (offline, szabad szoftver), 1password is tudja (online, fizetős), a Proton Pass a ProtonMail jelszókezelője szintén (online, fizetős). Biztosan ezek közül választanék, de biztos van még 1-2 megbízható. (Aki nem jelszókezelőt használ, az már eleve elrontott valamit! :-( ) (Nyilván nincs benne a jelszót tartalmazó KeePassXC adatbázisomban a TOTP hozzá, de kényelmi szempontból az is lehet amíg belemelegszik az ember és szétválasztja.)

A TOTP, egyszerűen egy olyan rendszer, ami egy titkos "kulcsot" beletöltve, az órához igazítva létrehoz egy 6 számjegyű és ezt ismételgeti 30 másodpercenként. Általában a rendszerek az előző-következő kódot is elfogadják - nem kell idegeskedni a beíráskor.

A "titkos kulcsot" (TOTP TITOK) gyakran QR kód formájában adják oda, de szokott ott lenni a kód szöveges megjelenítése link is. A kódban számok csak 2-7-ig vannak, így nem keveredik az 1-I, 0-O, 8-B szám-betű! Ahol nem jelenítik meg szövegesen, ott kénytelen vagyok én is elővenni egy okostelefont a fiókból, bekapcsolni, leolvasni a QR-t, majd kiírni a TITKOT. :-) Erre AndOTP-t használok Androidon, de sajnos nemrég törölte az F-Droid, még nem kerestem alternatívát, mivel megvan.

Az Ügyfélkapu+ bekapcsolásakor a "Nem tudom leolvasni a kódot" link adta ki a TITKOT. Kénytelen is voltam, mert az AndOTP azt mondta: "Hibás QR kód." Sose volt még ilyenem! :-) És sose láttam még ennyire rövid TITKOT (a fentebb említett 16 karakter)! Mindenesetre begépelve már jó volt, a J2ME-n is, AndOTP Androidon is és a KeePassXC backupomban is.

Jó esetben a TITOK ezután soha nem kell, csak ha backupból akarom előszedni.

Az ügyfélkapu adott egy "törlőkódot is", ezzel kikapcsolható átmenetileg a kétlépcsős, ha elveszne az eszköz amire töltötted. (De legyen backup!)

Tehát:

1. Választasz egy TOTP alkalmazást, akár Linux (pl KeePassXC), akár J2ME (hotpants), akár Android, Windows (KeePassXC), vagy akár egy webes jelszókezelő (1password.stb.)
2. Javaslom előbb megtanulni használni valami kevésbé kritikus fiókon, ne kelljen bemenni az ügyfélkapuhoz. Bár pl a GitHub-ot rondod el, nem is tudom mit lehet tenni. :-) Figyelni kell, mert ez meg a jelszó csak együtt használható ezután!
3. A cikkben lévő linken nagynehezen találtam egy "Ügyfélkapu+ igénylése" gombot, azon a belépő képernyőn, ahol vagy 20 kék gomb van egymás alatt és semmi más.
4. Ekkor be kell lépni a szokásos módon.
5. Ekkor kiadja a QR kódot, amit vagy leolvasol, vagy kéred a szöveges kódot és beírod a TOTP programba
6. Ekkor bekéri a ügyfélkapu jelszavadat (a QR alatt) és a TOTP aktuális 6 számjegyű kódját - ezzel ellenőrzik, hogy jól konfiguráltad be.
7. Ekkor ad egy törlőkódot, amit le kell menteni biztonságosan. (VeraCrypt titkosított fájlokat használok ilyesmire, jelszóval és kulcsfájllal védve - a KeePassXC-m is jelszóval és kulcsfájllal védett - a gombos telefonom PIN kóddal - az Android PIN kóddal és 5 hibás kód után megsemmisít mindent - az Android AndOTP maga is kér egy hosszú kódot, ha fel van oldva a telefon akkor is .- erről ennyit :) )

Ezután ha kilépsz, akkor már a z Ügyfélkapu+ bejelentkezéskor a jelszavad és az aktuális fél perces TOTP kód is kell.

Ha több fiók kell, vigyázni kell, hogy a TOTP App a QR leolvasásakor nehogy felülírja a korábbit, szóval ha van NEVE (a képen is látható, hogy van nevük) akkor a második fiók beállítása előtt az első elkészült TOTP elemet kicsit nevezd át, pl hogy mi az pontosan). (Nem hiszem, hogy lazán felülírná, de nem tudom.)

És maximálisan egyetértek a kétlépcsős hitelesítéssel, a jelszó maga BÉNA mert sokan sok helyre megismétlik ugyanazt, pedig naponta kerülnek ki milliószámra a regisztrált fiókok jelszavai a darkwebre. (lásd https://haveibeenpwned.com/ ) Én mindenhol automatikusan generált nagyon hosszú és bonyolult jelszót használok. Csak a gépre tudom a jelszót, a jelszókezelőbe és a backupokra! (5-6 dologra összesen, pedig mindenhol más.)

Kép: 

Tartalék kódok

Értékelés: 

0
Még nincs értékelve

Elfelejtettem egy dolgot: A legtöbb rendszer nem törlőkódot ad (nem is láttam még ilyet), hanem 10 db tartalék kódot. Ezek is 6 jegyűek, el kell menteni őket biztonságos helyre (VeraCrypt :) ), és csakis a lista sorrendjében, mindegyik kód egyszer használható fel. Ez helyettesíteni tudja a TOTP eszközt ha elveszne. Facebook, GitLab, GitHub, Tuta, Proton mind ilyet ad.

Ez nekem is magas,

Értékelés: 

0
Még nincs értékelve

mit fog ezzel a megoldással kezdeni több 10-100ezer favágó, ács, pék, butatelefon tulajdonos? Akiknek eddig is komoly problémát okozott belépni, hát még ezután.

Asszem nekem se lesz akkor januártól ügyfélkapum.

Ez nekem is magas,

Értékelés: 

5
Átlag: 5 (1 szavazat)

#7 Bocs Tibi,:) nem a számítógéphez nem értők végett írtam, hanem csak arra, hogy kell-e Windows, vagy kell-e okostelefon, vagy az a "fura" TOTP weboldal amit a cikk javasolt. Szerencsére egyik sem. yes

Hogy kinek ki segít megoldani, az is egy jó kérdés. Ha kérdés van, megpróbálom megválaszolni.

Jelszókezelőknél elfelejtettem, hogy a böngésző is tud jelszavakat megjegyezni. (Mivel ezt sose használom, eszembe se jut, de akinek megfelel, ez is jó megoldás!) Rettenetes, hogy ott tartunk, hogy regisztrál valahova egy ember (webshop, fórum, akármi), feljön egy Név/Jelszó mező, és beírja a Gmail címét meg a hozzá tartozó belépő jelszót! crying

Okostelefonon Google Play-jel biztos egyszerűbb

Értékelés: 

0
Még nincs értékelve

Illetve, azt se tartottam szem előtt a válaszban, hogy akinek nincs igénye szabad szoftveres megoldásra, és van okostelefonja, annak egyszerűbb. Pl Google Authenticator vagy Microsoft Authenticator okostelefonon 5 perc alatt beállítható az Ügyfélkapu+-ra, Google Play-ből telepíthető, mindent Google felhőbe szinkronizál stb. 

"A papának" gondolom ilyesmit telepítenék. Böngésző saját jelszókezelője, meg a Google saját TOTP alkalmazása, minden feltöltve a felhőbe - csupa olyan dolog amit egyáltalán nem használok. smiley

kami911 képe

Talán...

Értékelés: 

0
Még nincs értékelve

#7 J2ME biztos, hogy nem megy azokon a telefonokon?

kiszúrás?

Értékelés: 

0
Még nincs értékelve

Igen, ez tényleg érdekes, hogy van nagyságrendileg 100 000 ember, akinek butatelefonja van, és van ügyfékapus bejelentkezése is, ez óriási kiszúrás velük. Én meg fogom tudni oldani, de a többség nem.

Közben rájöttem, hogy ha a qr kódhoz nem adna ki kódot egy rendszer, akkor van egy csomó olyan weboldal, ami a vonalkódot, vagy qr kódot feloldja, ilyenek mint https://qrcoderaptor.com/, ahol képet is fel lehet tölteni vagy vágólapról beolvasni. Tehát ehhez sem kell feltétlenül okostelefon.

Az SMS nekem most is biztonságosabbnak tűnik, mert egy butatelefont nem tudnak úgy támadni, mint egy okost.

A felhasználónév, jelszó és a 16 jegyű azonosító megszerzésével már be tudnak lépni, mert nem hardverhez kötött. Ha SMS-t küldenének, akkor nem. Persze semmi sem lehetetlen, de SMS-t elkapni eggyel nehezebb feladatnak tűnik.

Majd megírom én is a tapasztalataimat.

Köszönöm az érdekes és tanulságos beszámolót!

kami911 képe

kiszúrás?

Értékelés: 

0
Még nincs értékelve

#11 Ezt honnan lehet tudni? "nagyságrendileg 100 000 ember, akinek butatelefonja van," van erre valami felmérés, vagy szolgáltatói statisztika. Százezer ember nagyon soknak tűnik. Ha már S40-es platform akkor ott már van J2ME.

kiszúrás?

Értékelés: 

0
Még nincs értékelve

#12

Sehonnan, csak tippeltem. Igen, lehet, hogy a nagyságrend csak 10 000-es. Már akiknek emellett még van ügyfélkapuja is.

Azért olyan is vannak, akik speciális esetekre fenntartnak okostelefont (van ilyen a családban), de alapesetben a butatelefont használják (például telefonálásra, mert arra kényelmesebb, banki belépéshez, mert azt biztonságosabbnak tartják) és csak "vész" esetén nyúlnak az okos eszközhöz.

 

Eszközpárosítás?

Értékelés: 

0
Még nincs értékelve

A regisztráció menetéről egy videó:

A regisztráció során azt írják, ki, hogy az eszközpárosítás sikeres volt. Ez nekem nagyon zavaró. Ebből arra következtettem, hogy itt egy konkrét hardver alapján előálló kulcsgenerálás történik, hasonlóan, mint amikor SMS-t kapunk egy adott készülékre (SIM kártyára) és csak az okostelefon birtokában volna lehetséges a belépés.

Most már tudjuk, hogy nem történik hardveres eszközpárosítás, a QR kód vagy a mögötte levő 16 jegyű "titkos" egyedi azonosítóval bárki, bárhonnan készíthet belépési kulcsot. A mobilalkalmazás csak valamilyen formában elmenti ezt a titkos kulcsot magának.

kiszúrás?

Értékelés: 

0
Még nincs értékelve

Akinek nincs okostelefon azok asztali gépről lépnek be az Ügyfélkapura. Gépre felsoroltam egy pár lehetőséget amiben megoldhatja a TOTP kódok létrehozását. (Van egyébként több Firefox bővítmény is, tegnap rákerestem. Nem próbáltam ki, de ez a legtöbbször telepített: https://addons.mozilla.org/en-US/firefox/addon/roboform/ )

Nekem a J2ME telefonos megoldás csak "vagánykodás", talán ne is vegyétek komolyan mint megoldás. Annyi előnye van, hogy nem ugyanazon a gépen és nem ugyanabban a rendszerben van a jelszó meg a TOTP kód. Nekem ez volt az egyetlen szükségletem ahhoz, hogy letehessem az okostelefont és visszavehessem a 2007-2014 közt használt Sony-Ericsson P1i telefonomat. Minden mást tudok mellőzni!

A TOTP TITOK átmásolásával akárhány gépen is létre tudod hozni ugyanazt az időzített kódot. (pl eredeti kérdésben szerepelt, hogy munkahelyi + otthoni gép). Biztonsági mentésként jó is, ha több eszközben megvan.

SMS kényelmetlen is, meg felesleges telefonforgalom (költség valakinek). Ezt a TOTP-t meg csak szüntelenül generálgatja az órából egy akár teljesen offline eszköz, senkinek semmibe se kerül, nem kell várni az érkező SMS-t. Bárcsak a net-bankomban is lenne, nem SMS-sel szórakoznának....

A "16 jegyű azonosítót" (TOTP TITOK) azért is nehéz lenyúlni, mert csakis TOTP app-okba másolom be, még biztonsági mentésnek is ilyenben van, nincs sehol meg maga a 16 jegyű kód magában lementve! Átmásoláskor megnézem, hogy a második program is ugyanazokat a számokat dobja-e mint az első: ha igen, jól írtam át.

Én a legbiztonságosabb módokat próbáltam javasolni, amitől kicsit itt-ott túlzásba eshetek és "a papának" tényleg nem a legjobb megoldás. Bocsánat. smiley Egyszerű megoldásként akár az említett TOTP.APP is jó lehet, de engem kiráz a hideg attól, hogy egy idegen webes alkalmazás kezelje ezt.

Csatolok egy képet a netről egy TOTP okostelefonos app-ról, annyi, hogy a név és jelszó után egy ilyenből kell az aktuális kód. És ha kiszivárog a név és a jelszó, akkor se tudnak belépni vele. A kétlépcsős védelem egy óriási védelem, megéri ezt a kis kényelmetlenséget.

Főként ha azzal is megerősíti az ember, hogy mindenből kijelentkezik használat tuán.

Kép: 

KeePassXC

Értékelés: 

0
Még nincs értékelve

Sikerült felraknom a KeePassXC nevű jelszószéfet, egyelőre Windowsra. Valóban meg lehet adni neki TOTP titkos kulcsot is, amiből időalapú kódot generál, így nem kell online szolgáltatót igénybe venni, megadni a titkos kulcsot. Ez szimpatikus nekem, köszönöm az ötletet. Majd kipróbálom Linux Mint alatt is. Windows alatt volt vele probléma, nem indult el, de szerencsére ott volt, hogy töltsük le a Microsoft Visual C++-t és telepítsük újra, ezzel megoldódott a hiba.

kami911 képe

Nem írunk erről egy cikket,

Értékelés: 

0
Még nincs értékelve

Nem írunk erről egy cikket, közösen? Ami info van csak összeszedjük. J2ME-től az ofline megoldásokig, a több user egy belépés problémájáig.

kiszúrás?

Értékelés: 

0
Még nincs értékelve

#11 Környezeti / ismeretségi körömből kiindulva a 100 000 még kevés is, mármint akinek nincs okostelefonja. Akivel találkozom, több mint a felének nincs okostelefonja. És nem mind szegény vagy agg ember, egyszerűen nincs rá igénye.

Hasonlít a dologra, hogy pl. ma már az iskolai rendszerben nincs ellenőrző könyvecske, a szülőknek ott a Kréta, amihez csak nekik van a hozzáférésük, a gyereknek nincs. Magyarul, ha gyereked van, kell lenni okostelefonodnak és /vagy internetnek.
(ezt nem tudom, hogy kétfaktoros-e a bejelentkezés)

Na most a környéken van olyan, hogy a házban áram sincs, a vizet az utcai köztéri csapból viszik vödörrel haza, és több kisgyerek van. Ha lenne is okostelefon, hogyan, mivel töltik fel?

De visszatérve a nem okostelefonokra, ez hatalmas piac, mai napig többféle típus közül lehet válogatni, csak rá kell keresni, ha nem lenne aki ezeket megvásárolja, akkor ezek sem lennének.

https://www.mediamarkt.hu/hu/category/_nyom%C3%B3gombos-telefonok-504800.html?srsltid=AfmBOoq6n_PLXpdIWbPgsrA3yJR3VSCCAwil05HLalYwOHZRoRa5b-HZ

https://euronics.hu/telefon-tablet-okosora/telefonok/nyomogombos-mobiltelefonok-c1594320?srsltid=AfmBOopcsAx9CykvMsG9UsGI5SRc_w23FMboKAUaWeuqd1Ug5VEy_7nz

https://www.alza.hu/mobiltelefonok-idosebbeknek/18851246.htmi

csuhas32 képe

Re: Nincs igénye az okostelefonra

Értékelés: 

0
Még nincs értékelve

#19 Nem is csak nincs igénye rá, határozottan visszautasítja. Odaadtam az okostelefont, hogy használja és így sem kellett, visszaadta. A telefon legyen nyomógombos és kész! Így aztán egy Nokia Flip lett, az tudja a mobilnetet, hotspotként meg lehet osztani ezt a laptoppal olyan helyen, ahol nincs vezetékes internet (WiFi). A telefonnal lehet telefonálni és SMS-t küldeni/fogadni, a laptopon lehet netezni (emailezni, facebookozni,...) és jól van ez így.

Mai új nyomógkombos telefonok

Értékelés: 

0
Még nincs értékelve

#19 Ezek a mai új nyomógombos telefonok szerintem nem JAVA/J2ME kompatibilisek, nem is szerepel a Java szó a Media Markt leírásaiban, meg elég nehéz lenne ma már app-okat keresni hozzá. Ráadásul sajnos a J2ME app-ok digitális aláírással voltak ellátva, amik már lejártak és telepíteni se engedi (én is az órát szoktam 15 évet visszaáálítani amíg aláírt app-ot telepítek!).

A leírásomban a saját, 2007 óta (kis szünettel) használt telefonom szerepelt, szóval jó, hogy felhívtad a figyelmem ezekre az "újakra"! Köszi! Én valahogy le voltam ott ragadva, hogy nyomógombos = régi.

De magához a TOTP kódokhoz egyáltalán nem kell telefon, a kérdező is PC-n oldotta meg, Mint-en akár.

2FAS AUTH

Értékelés: 

0
Még nincs értékelve

#21 Hát, leszámítva, hogy egy csomó zárt és Google technológiára 100%-ban rá van drótozva. Szóval az "Open source" nem mindig olyan fényes mint amilyennek látszik. Ha F-Droid beengedte volna, az jó jel lenne, de az még fényév távolság így...

https://forum.f-droid.org/t/2fas-app-in-f-droid/25766

Szabad szofverek kedvelőinek szabad techonlógiákra alapuló megoldásokat preferálnék. Így pl valami olyat, ami F-Droid-ból is telepíthető. (Nem ismerem ezeket, sajnos amit én használtam az megszűnt, de mivel még megvan, nem kerestem másikat.)

https://search.f-droid.org/?q=totp&lang=en