Az Ügyfélkapu+ -ról

Nagyon röviden az Ügyfélkapu+ - ról.

Nem kell tőle félni!

Ennyi!

Na jó, kicsit részletesebben.

Hogyan kell használni a két faktoros belépést?

A működése nem túl rejtélyes: az eddigi név+jelszó páros megmarad, és mellé kell begépelni egy számot, amit egy program (jellemzően egy mobiltelefonos applikáció) kiír.

A számot kiíró applikáció általában mobiltelefonon van, de léteznek céleszközök illetve „desktop” számítógépes programok is, amik ezt tudják. Nem kell neki internet kapcsolat. Annyira van szüksége, hogy amikor beállítod az ÜK+ -t akkor kapsz egy QR kódot (ami belül tartalmaz egy azonosítót) és ezt az applikációval lepittyented. Az app ezt megjegyzi, ad neki egy nevet (jellemzően az email címedet, amivel belépsz, de a legtöbb app engedi, hogy nevet is adj neki, pl „Ügyfélkapu”), és ennyi. Innentől kezdve amikor kinyitod az appot mindig ki fog neked írni egy számot ami fél percenként frissül, és amikor épp be akarsz lépni, akkor az épp látható számot beírod. (Nem kell kétségbe esni, ha pont vált, még 20-30 másodpercig szokás a „régit” is elfogadni.)

Az két faktoros applikációk

Nagyon sok ilyen applikáció van. Vannak zárt forrásúak és vannak nyíltak. Praktikusan a nyílt forrást javaslom, mert azt bárki tudja ellenőrizni, hogy nem csinál semmi disznóságot a háttérben. Vannak appok amik millió dolgot is csinálnak, és vannak, amik csak ezt az egy funkciót, de azt jól. Van ami a hivatalos telefonos app shopból letölthető és van, ami az alternatívakból.

Én az Aegist (GooglePlay, FDroid) szoktam Androidra ajánlani, mert szép, biztonságos, könnyen kezelhető és nyílt forrású, de egy csomó ilyen létezik, ami jó (pl. FreeOTP, vagy Ente Auth iOS-re és Androidra is). Lehet használni a Google Authenticatort is, amit a pártállam ajánlgat, de az egy fapados dolog (működik, de pl. nem titkosítja a kódokat és a jelenlegi verzió már zárt forráskódú).

A lényeg, hogy bármilyen szabványos „TOTP” (ami az „Időalapú Egyszer Használatos Jelszó” angol kifejezés rövidítése) program megfelel a célnak, akárki is csinálta. Jellemzően ezeknek a programoknak semmiféle jogosultságra nincsen szükségük (ha a QR-kódot kamerával akarod leolvasni, akkor ideiglenesen kell neki kamera-engedély), így ha olyat találsz ami jogosultságokat kér, akkor keress másikat! Amúgy meg használd azt, ami tetszik.

Gondolatok a DÁP applikációról

AZ ÜK+ alternatívája az Orbán-kormány által, R. Antal felügyelete alatt készülő, telepíthető, zárt forrású applikáció, mely „Digitális Állampolgár” néven érhető el. Nevezzük ezt DÁP appnak!

Nem szeretném részletesen kifejteni, hogy miért hatalmas probléma az, hogy az authentikációs applikáció nem nyílt forrású, és azt, hogy ez miért nem lenne ekkora probléma egy „nyugati demokráciában”, mint mAgyarországon. A zárt forrású program működése rejtett és sajnos van egy csomó olyan jogosultság, amit nem lehet visszautasítani és egy rosszindulatú fejlesztő visszaélhet vele. Természetesen senki nem feltételezi a pártállamról és a titkosszolgálatokat is irányító, az Amerikai Egyesült Államok által is kiemelkedően korrupt politikusok listára feltett R. Antal még büntetlen előéletű budapesti lakosról, hogy az állami applikáció lehallgatna újságírókat, kémkedne politikai ellenfeleik vagy civil aktivisták ellen. Egy jogállamban, mint mAgyarország ez egyszerűen nem történhet meg.

A másik gond, hogy a fejlesztők túltolták: az applikációt lehetetlen feltelepíteni rootolt telefonra (miközben láthatóan fogalmuk nincsen, hogy ez mit jelent és mik a pro- és kontra érvek), sőt, nem lehetséges olyan telefonra sem telepíteni ahonnan a gazdája kivágta a gyári kínai kémprogramokat és lecserélte azokat biztonságos forrásból ékező ROM-ra. Mert basszátok meg, azért. A kínaiak meg az ruszkik amúgyis nagy barátai a Kis Vezérnek.

Szintén probléma, hogy az applikációhoz internet szükséges, de ez a vita messzire vezetne, így nem mennék bele, mert nem ez a legfőbb gond.

Gyakori kérdések, röviden

Tudom-e az ÜK+-t használni másnak a számítógépén? - Igen, tudod. Ugyanúgy, mint eddig használtad, beírod az emailt, a jelszót, és utána előveszed az appot (nem kell internet), és beírod a számot, amit kiírt. Ennyi.

A könyvelőm eddig az én nevemben lépett be, most hogy fog? - A könyvelőd eddig minimum 2-3 jogszabályt megsértett ezzel, így nem is baj, hogy nem fog menni. Ismerkedjen meg a NAV-os UJEGYKE (Egységes képviseleti adatlap a NAV-nál intézhető ügyekben az állandó képviselet bejelentéséhez) illetve az RNY (Rendelkezési Nyilvántartás) fogalmával, és lépjen be a saját belépésével.

Tudom-e mobiltelefon nélkül használni? - Elvileg tudod, de nem szerencsés, mert a 2 faktoros azonosítás egyik lényege az, hogy a jelszó mellett (amit valaki megtudhat vagy ha felírtad ellophat) legyen egy attól független eszköz, aminek nálad kell lennie, így ha a jelszavad ellopták is az eszközt IS el kell lopniuk, és oda külön be kell tudniuk lépni.
Ennek ellenére használhatod pl. a totp.app vagy hasonló weblapokat, de mivel ezek jellemzően szintén titkosítatlanul tárolják a kódot így ha valaki betör a gépedre akkor viszi a jelszót is meg a második faktort is, így adtál egy pofont a szaramatáknak. Inkább ne.

A jelszótárolóm tud TOTP-t, az jó? - Nem ideális jelszókezelőben (mint amilyen pl. a KeepassXC pw manager) tárolni a második faktort, mert ha bármilyen okból valaki ki tudja nyerni a jelszót (pl. keyloggerrel kinyerte a mesterjelszót) akkor viszi a második faktort is.

Ha összetöröm/elveszítem a telefonom, hogy tudok belépni? - általában a pártállami rendszer is biztosít lehetőséget a pótlásra, jellemzően be kell hozzá menni az ocsmányirodába.
Ha ezt meg akarod előzni, akkor ha van egy másik telefonod, akkor azzal is lepittyented a QR kódot, és akkor van „2 tokened”. Ha nincsen, de van nyomtatód, akkor ki tudod nyomtatni a QR-kódot papírra, az is egészen biztonságos, mert nem fogják tudni letölteni a polcról a gonosz hakkerök. Ha nincs más, akkor fogsz egy filctollat meg egy papírt és a QR-kódot lerajzo… nnnna jó, vicceltem. De a lényeg, hogy ha a QR-kódot elteszed azt ne tárold internetre kötött eszközön, és különösen ne küldd fel másvalakinek a gépére (népszerű álnevén „felhő”, mint a google drive, dropbox, akármi). Ha titkosítva tárolod, esetleg, de nem ideális.

Még van kérdésem, jöhet? - Ha nem végtelenül egyedi, akkor jöhet és ideírom. Kereshetsz a ketfaktor kukac drop pont grin pont hu email címen, vagy ha ismered más elérhetőségeimet, akkor ott. :-)

Utálni kell az ÜK+-t?

Nem. Információbiztonsági szempontból a 2-faktoros azonosítás jó dolog, és az ÜK+ (vagyis a TOTP azonosítás) biztonságos és univerzális. Mivel iparági szabványokat használ, nyílt forrású és a módszer egyszerű és jól átlátható, ez az egyik legfájdalommentesebb de mégis kellően biztonságos módja a második faktornak. Sokkal jobb, mint az email (az email jelszót lopják, mint autópálya-építésnél a sódert) vagy az SMS (SMS-t eltéríteni a bűnözői tanfolyamok első hetében tanítják meg a delikvenseket), nem kell hozzá semmi (internet vagy extrém jogosultságok, maximum egy engedély a kamerához, ha a QR kódot lepittyentve akarod) és egyszerűbb, mint a biztonságosabb módszerek.

Még nem tudjuk, hogy mi nem fog működni az ÜK+ -szal, hiszen az összetákolt törvény és a rohamtempóban átnyomott app jelenleg mankóval sem tud megállni a lábán. Ha álmodozunk, akkor minden ami ment eddig Ügyfélkapu belépéssel, ezután is menni fog. Ha realisták vagyunk, akkor a szolgáltatások nagy része menni fog, más részük semennyire és visszaugrunk egy évtizeddel és papíron kell intézni, és egy része hol megy hol nem és órákat kell elcseszni ahhoz, hogy működésre bírjuk, vagy szakemberek segítségét kell kérni. Mint most is, ugye.

Utálni kell a DÁP-ot?

Nem mondom, hogy nem, mert egy jó koncepció esztelen, szakmaiatlan, korlátolt szemléletű törvénybe húzása, elfogadhatatlan határidőkkel és általában az állampolgárok teljes mértékű leszarásával. Ideális esetben egy ilyen jogszabályt megelőz egy fél éves szakmai konzultáció jogászokkal, informatikusokkal, biztonsági szakértőkkel, majd készül egy megoldás, amit a legszélesebb körben lehet használni, tisztán a szükséges funkcionalitással és átláthatóan (ez a jelenlegi szovjet irányítású, a lakosság minden bizalmát évek óta elveszített kormány esetében sajnos alapvető feltétel lett volna).

(DÁP: Nemzethy Digitális Állampolgárság Magyar Kormány Módra.)