Beállítottam az Ügyfélkapu+-t, hogy megírhassam a tapasztalatokat. :-) Úgyis beállítom mindenhol a TOTP-t ahol csak lehet.

A TOTP (Timed One Time Password - Idő Alapú Egyszer Kód) egyáltalán nem "okostelefon" függő. Az akár J2ME-s telefonra is van "program", csatolt képen az én telefonom, ahogy ezt használom vagy 20-25 bejelentkezéshez. 2 app-ot találtam:

https://github.com/baumschubser/hotpants/ <- ezt használom, sok okból
https://sourceforge.net/projects/totpme/

Másik lehetőség pedig a jelszókezelők! Ma már szinte az összes jelszókezelő tartalmaz TOTP funkciót, KeePassXC-t használom erre (offline, szabad szoftver), 1password is tudja (online, fizetős), a Proton Pass a ProtonMail jelszókezelője szintén (online, fizetős). Biztosan ezek közül választanék, de biztos van még 1-2 megbízható. (Aki nem jelszókezelőt használ, az már eleve elrontott valamit! :-( ) (Nyilván nincs benne a jelszót tartalmazó KeePassXC adatbázisomban a TOTP hozzá, de kényelmi szempontból az is lehet amíg belemelegszik az ember és szétválasztja.)

A TOTP, egyszerűen egy olyan rendszer, ami egy titkos "kulcsot" beletöltve, az órához igazítva létrehoz egy 6 számjegyű és ezt ismételgeti 30 másodpercenként. Általában a rendszerek az előző-következő kódot is elfogadják - nem kell idegeskedni a beíráskor.

A "titkos kulcsot" (TOTP TITOK) gyakran QR kód formájában adják oda, de szokott ott lenni a kód szöveges megjelenítése link is. A kódban számok csak 2-7-ig vannak, így nem keveredik az 1-I, 0-O, 8-B szám-betű! Ahol nem jelenítik meg szövegesen, ott kénytelen vagyok én is elővenni egy okostelefont a fiókból, bekapcsolni, leolvasni a QR-t, majd kiírni a TITKOT. :-) Erre AndOTP-t használok Androidon, de sajnos nemrég törölte az F-Droid, még nem kerestem alternatívát, mivel megvan.

Az Ügyfélkapu+ bekapcsolásakor a "Nem tudom leolvasni a kódot" link adta ki a TITKOT. Kénytelen is voltam, mert az AndOTP azt mondta: "Hibás QR kód." Sose volt még ilyenem! :-) És sose láttam még ennyire rövid TITKOT (a fentebb említett 16 karakter)! Mindenesetre begépelve már jó volt, a J2ME-n is, AndOTP Androidon is és a KeePassXC backupomban is.

Jó esetben a TITOK ezután soha nem kell, csak ha backupból akarom előszedni.

Az ügyfélkapu adott egy "törlőkódot is", ezzel kikapcsolható átmenetileg a kétlépcsős, ha elveszne az eszköz amire töltötted. (De legyen backup!)

Tehát:

1. Választasz egy TOTP alkalmazást, akár Linux (pl KeePassXC), akár J2ME (hotpants), akár Android, Windows (KeePassXC), vagy akár egy webes jelszókezelő (1password.stb.)
2. Javaslom előbb megtanulni használni valami kevésbé kritikus fiókon, ne kelljen bemenni az ügyfélkapuhoz. Bár pl a GitHub-ot rondod el, nem is tudom mit lehet tenni. :-) Figyelni kell, mert ez meg a jelszó csak együtt használható ezután!
3. A cikkben lévő linken nagynehezen találtam egy "Ügyfélkapu+ igénylése" gombot, azon a belépő képernyőn, ahol vagy 20 kék gomb van egymás alatt és semmi más.
4. Ekkor be kell lépni a szokásos módon.
5. Ekkor kiadja a QR kódot, amit vagy leolvasol, vagy kéred a szöveges kódot és beírod a TOTP programba
6. Ekkor bekéri a ügyfélkapu jelszavadat (a QR alatt) és a TOTP aktuális 6 számjegyű kódját - ezzel ellenőrzik, hogy jól konfiguráltad be.
7. Ekkor ad egy törlőkódot, amit le kell menteni biztonságosan. (VeraCrypt titkosított fájlokat használok ilyesmire, jelszóval és kulcsfájllal védve - a KeePassXC-m is jelszóval és kulcsfájllal védett - a gombos telefonom PIN kóddal - az Android PIN kóddal és 5 hibás kód után megsemmisít mindent - az Android AndOTP maga is kér egy hosszú kódot, ha fel van oldva a telefon akkor is .- erről ennyit :) )

Ezután ha kilépsz, akkor már a z Ügyfélkapu+ bejelentkezéskor a jelszavad és az aktuális fél perces TOTP kód is kell.

Ha több fiók kell, vigyázni kell, hogy a TOTP App a QR leolvasásakor nehogy felülírja a korábbit, szóval ha van NEVE (a képen is látható, hogy van nevük) akkor a második fiók beállítása előtt az első elkészült TOTP elemet kicsit nevezd át, pl hogy mi az pontosan). (Nem hiszem, hogy lazán felülírná, de nem tudom.)

És maximálisan egyetértek a kétlépcsős hitelesítéssel, a jelszó maga BÉNA mert sokan sok helyre megismétlik ugyanazt, pedig naponta kerülnek ki milliószámra a regisztrált fiókok jelszavai a darkwebre. (lásd https://haveibeenpwned.com/ ) Én mindenhol automatikusan generált nagyon hosszú és bonyolult jelszót használok. Csak a gépre tudom a jelszót, a jelszókezelőbe és a backupokra! (5-6 dologra összesen, pedig mindenhol más.)

Illetve, azt se tartottam szem előtt a válaszban, hogy akinek nincs igénye szabad szoftveres megoldásra, és van okostelefonja, annak egyszerűbb. Pl Google Authenticator vagy Microsoft Authenticator okostelefonon 5 perc alatt beállítható az Ügyfélkapu+-ra, Google Play-ből telepíthető, mindent Google felhőbe szinkronizál stb. 

"A papának" gondolom ilyesmit telepítenék. Böngésző saját jelszókezelője, meg a Google saját TOTP alkalmazása, minden feltöltve a felhőbe - csupa olyan dolog amit egyáltalán nem használok.

Akinek nincs okostelefon azok asztali gépről lépnek be az Ügyfélkapura. Gépre felsoroltam egy pár lehetőséget amiben megoldhatja a TOTP kódok létrehozását. (Van egyébként több Firefox bővítmény is, tegnap rákerestem. Nem próbáltam ki, de ez a legtöbbször telepített: https://addons.mozilla.org/en-US/firefox/addon/roboform/ )

Nekem a J2ME telefonos megoldás csak "vagánykodás", talán ne is vegyétek komolyan mint megoldás. Annyi előnye van, hogy nem ugyanazon a gépen és nem ugyanabban a rendszerben van a jelszó meg a TOTP kód. Nekem ez volt az egyetlen szükségletem ahhoz, hogy letehessem az okostelefont és visszavehessem a 2007-2014 közt használt Sony-Ericsson P1i telefonomat. Minden mást tudok mellőzni!

A TOTP TITOK átmásolásával akárhány gépen is létre tudod hozni ugyanazt az időzített kódot. (pl eredeti kérdésben szerepelt, hogy munkahelyi + otthoni gép). Biztonsági mentésként jó is, ha több eszközben megvan.

SMS kényelmetlen is, meg felesleges telefonforgalom (költség valakinek). Ezt a TOTP-t meg csak szüntelenül generálgatja az órából egy akár teljesen offline eszköz, senkinek semmibe se kerül, nem kell várni az érkező SMS-t. Bárcsak a net-bankomban is lenne, nem SMS-sel szórakoznának....

A "16 jegyű azonosítót" (TOTP TITOK) azért is nehéz lenyúlni, mert csakis TOTP app-okba másolom be, még biztonsági mentésnek is ilyenben van, nincs sehol meg maga a 16 jegyű kód magában lementve! Átmásoláskor megnézem, hogy a második program is ugyanazokat a számokat dobja-e mint az első: ha igen, jól írtam át.

Én a legbiztonságosabb módokat próbáltam javasolni, amitől kicsit itt-ott túlzásba eshetek és "a papának" tényleg nem a legjobb megoldás. Bocsánat. Egyszerű megoldásként akár az említett TOTP.APP is jó lehet, de engem kiráz a hideg attól, hogy egy idegen webes alkalmazás kezelje ezt.

Csatolok egy képet a netről egy TOTP okostelefonos app-ról, annyi, hogy a név és jelszó után egy ilyenből kell az aktuális kód. És ha kiszivárog a név és a jelszó, akkor se tudnak belépni vele. A kétlépcsős védelem egy óriási védelem, megéri ezt a kis kényelmetlenséget.

Főként ha azzal is megerősíti az ember, hogy mindenből kijelentkezik használat tuán.