2025. January 16.
Mondd, jó barát, és lépj be... az Ügyfélkapun!
Úgy döntöttem csak megigénylem az Ügyfélkapu+ szolgáltatást, ha már megszüntetik az eredetit. Cikkekből értesültem, hogy az átállás nem igazán úgy sült el, ahogy a fejesek elképzelték. Alant regélem el saját tapasztalatomat, plusz némi szemléltetést és magyarázatot is adok, hogyan működik ez az idő alapú két-faktoros azonosítás, és tippeket a használatához.
Röviden, ez az azonosítási módszer egy titkos kulcson alapszik, amelyet egy időbélyeggel kombinálva átfuttatnak egy hash-t generáló algoritmuson (a hash maga is egy karaktersor), majd az eredményből kinyernek egy számsort. Ezt a számsort kell beírni bejelentkezésnél. Az Ügyfélkapu+ igénylése arról szól, hogy ők biztosítanak egy ilyen kulcsot, amit betöltünk egy választott "autentikátor" programba, ami elintézi a fenti a folyamatot, és a kinyert szám megadásával bizonyítjuk az Ügyfélkapunak, hogy az igénylés sikeresen megtörtént.
A saját élményem és az átlagpolgáré bizonyosan eltérő. Az viszont fix, hogy sokaknak a piros színben tíz percől lefelé ketyegő óra tuti nem használt.
Alap helyzetben, csak az, hogy valami új technikai dolgot kell csinálni, sokakat stresszel. Vajon fog-e segíteni nekik, ha folyamatosan emlékeztetjük őket a rohamoson fogyó szűkös időre? Persze, nem nagy kunszt, csak kijelentkeztetik őket automatikusan, belépnek megint, próbálják mégegyszer, kit érdekel... De az emberek ezt nem így élik meg, amikor szembesülnek ezzel. Nekik, sokaknak, ez rohadt kellemetlen. Sietséghez vezet, nem olvasnak el mindent, hibákat ejtenek, felsülnek, frusztrálódnak. Még jó, hogy nem kell hivatalokba járkálni, az online ügyintézés egyszerű és kényelmes, igaz?!
Igen én tudom, hogy emberek csak úgy nyitva hagynak bejelentkezett fiókokat, és biztonságosabb, ha van egy automatikus kiléptetés. De talán azt a számlálót el lehett volna indítani, ha már befejezik az újraregisztrálást. Nem?
De térjünk rá az én személyes problémámra.
Elég okostelefon-centrikus mind a tájékoztató, mind a folyamat, előtérbe helyezve a QR-kódos Microsoft/Google Authenticator appokat, és csak amolyan "ha minden kötél szakad" formában ajánlják szöveges kulcs használatát a TOTP.APP webes szolgáltatással. Ez részben érthető, hisz bizonyosan a többségnek lesz okostelefonja, valószínűleg valamelyik app már telepítve is van rá, feltételezhető, hogy ez lesz ismerős. A probléma az, hogy azt a látszatot keltik, csak ezek működnek, és nékülözhetetlenek ahhoz, hogy az autentikáció működjön - azt sugallják, hogy ezek az állam által elfogadott, hivatalos eszközök: az okostelefon, és a Microsoft/Google programjai.
Korántsem van így.
Gyakorlatilag bármelyik fellelhető "totpé" alkalmazás működik, jó példa maga a TOTP.APP. De ha elkezdjük az Ü+ igénylését, ők maguk is felajánlanak még egy applikációt, a Verifyr-t, amiről a tájékoztatójukban hallgatnak. Sajnos akkor még nem tudtam, hogy békaemberekkel fogok találkozni erről írni fogok, így nem csináltam róla képernyőképet. Csak a Verifyr honlapján
Sok opció, de mégis hiányos.
Verifyr egy "kereszt-platform megoldás", telepíthető asztali gépekre, még Linux oprendszerekre is. Legalábbis azokra amelyek dpkg csomagkezelőt használnak. Illetve azokra sem feltétlenül, mert nálam a telepítés hibával félbeszakadt.
Nem volt idő bosszankodni a számláló sebesen közeledett a zéróhoz, megnyitottam a TOTP.APP-ot, az Ügyfélkapun ott a link hozzá. Böngészőben fut, és van magyar fordítás. Ezt tényleg mindenki tudja használni, készüléktől és oprendszertől függetlenül.
A kitöltetlen TOTP.APP.
Nálam probléma volt, hogy a böngészőm sötét témára van állítva, így a beviteli mezőkben a szöveg világos színű, és nem látszott mi kerül a két mezőbe.
A kitöltetlen TOTP.APP - a színtéma miatt "hiányzó" szöveggel.
A kitöltetlen TOTP.APP - valójában.
És mi kerül oda? Merthogy az ügyfélkapu igénylési procedúrája beteríti a képernyőt a QR-kóddal, az eredeti karaktersor, amiről a QR-kód generálódik, sehol.
Felnyitottam a fejlesztői konzolt, hogy a html-ből közvetlen kikeressem, gondoltam "ott!, biztos ott lesz". Ott volt, de közben észrevettem, hogy a QR-kód alatt van egy opció, amivel meg lehetett jeleníteni a betűk és számok kombinációjából álló titkos kulcsot, azt amiről a mesém elején írtam. Ezt szépen bemásolja az ember a TOTP.APP-ba, miután megnyitja az applikáció hozzáadása ablakot, értelem szerűen, plusz ad egy tetszőleges elnevezést amihez kötni tudja. Mentés, kész. A weboldal elkezd 30 másodpercenként új bejelentkező számsort generálni.
Innentől már csak be kell fejezni a regisztrálást. Érdemes megvárni, míg a számok "re-generálódnak", és aztán bemásolni őket a megfelelő mezőbe az Ügyfélkapu+ igénylő lapon.
Nagyjából ennyi.
Utólag, felvérteződve a tapasztalattal, újraolvasva a tájékoztatót, és visszagondolva az igénylés folyamatára, tulajdonképpen az adott utasítássor elégségesnek hat. Miközben az egészet intéztem viszont nem éreztem, hogy mekkora segítség, és rászorultam némi "próba-hiba" kísérletezésre. Talán jó lett volna, ha különféle tudással, és háttérrel rendelkező emberekből verbuválnak egy teszter csapatot, vagy készítenek valami korlátozott lakossági előzetest, kifejezetten kérve a visszajelzést, és ez alapján állították volna össze a folyamatot és a tájékoztatót.
Szerintem jó lett volna, ha az elején van egy választási lehetőség:
- "ha asztali számítógépet használ kattintson ide és kövesse ezeket utasításokat"
- ha "okostelfonon/tableten igényel, kattintson emide, kövesse amazokat utasításokat"
Sőt arra is van lehetőség, hogy automatikisan felismerje az oldal a használt hardvert (bár ez valamennyire az adathalászat kategória, de ha nem mentik el ezt az információt, nem kéne, hogy probléma legyen) és magától töltse be a megfelelő űrlapot.
Térjünk vissza kicsit a TOTP.APP-hoz. (Ez a blogbejegyzés nem egy "infomercial", esküszöm.)
Hátránya a telepített applikácókkal szemben az, hogy a kulcs amit megadunk az a böngészőnk tárhelyébe kerül. Mivel a böngészőnket sokmindenre használjuk, előforudlhat, hogy ürítjük a tárhelyet anélkül, hogy eszünkbe jutna, hogy ott fontos adatokat is tárolunk. A webapp fejlesztői figyelmeztetnek is erre.
Megszívlelendő.
És adnak is megoldást, biztonsági mentés formájában.
Komolyan. Csináljunk biztonsági másolatot. Megspórolhatunk egy utat a Kormányablakba.
Erre kattintva egy .json formátumú szövegfájlt menthetünk egy tetszőleges könyvtárba, és szükség szerint ezt fogjuk tudni használni az app visszaálltásra. Mit tartalmaz ez a .json file? Bármely szövegszerkesztővel megtekinthetjük, az áttekinthetőség kedvéért az alábbi képernyőképhez feltördeltem a minket érdeklő tételt.
Három adat látható: a név - amit megadtunk -, a titok - a kapott kulcs -, végül a színséma - amelyet választottunk az apphoz.
Mivel ez csak egy szimpla szövegfájl, ez azt jelenti, hogy bárki, akinek hozzáférése van a gépünkhöz megtekintheti, elolvashatja. Ha úgy döntünk, hogy tároljuk bárhol, akkor érdemes titkosítani, ajánlom a GPG-t ehhez, mint "bomba biztos" megoldást. Aztán erről a biztonsági mentésről érdemes legalább még egy biztonsági mentést csinálni. Mondjuk egy pendrivera.
Fontos átlátni, hogy az Ü+ igénylés két lépésből áll. Az első, hogy ők adnak egy kulcsot, a második, hogy az ügyfél/állampolgár bizonyítsa, hogy képes ezzel a kulcsal egy bejelentkezési számsort készíteni. A többi eleme, hogy ez szóveges vagy QR-kóddal történik, esetleg, hogy az interneten fellelhető melyik programot használja az ember, legyen telepíthető vagy böngészőben futó, az tulajdonképpen mindegy, tetszőleges. Ezt a kulcsot lehet programok között "mozgatni", a lényeg, hogy ne adjuk ki senkinek.
Ez a "senki" nem csak a környezetünkben lévő emberek, hanem programot is tudni kell választani, olyanra van szükség, amely helyileg, az eszözünkön fut, tehát nem küldi el a kulcsunkat egy szerverre, harmadik félnek, és úgy általában sehova. Olvastam olyan kormányzati kommunikációt, hogy informatikusok megvizsgálták a TOTP.APP-ot, és biztonságosnak találták. Ez nagyon jó, örülök neki. Mivel a böngészőben futó JavaScript programról van szó, a forráskód tulajdonképpen rendelkezésre áll. Volt-e lehetőségük vajon az MS és a Google appjainak a forráskódját tanulmányozni? Tudvalevő, hogy a Nagy Öt (Google, Microsoft, Apple, Amazon, Meta) nótorius adatgyűjtő, biztosak vagyuk benne, hogy az ő applikációik "vízállóak"? Persze, ha Androidon vagyunk, az összes adatunk a Googlenál landol, a kérdés teljesen hipotetikus...