- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Mikrotik routerek
- Mindenki AI-t akar, már 2025-re is eladták a HBM chipeket
- XPEnology
- Facebook és Messenger
- A legtöbb amerikai szerint a TikTok egy őket befolyásoló eszköz
- Az USA nem akarja visszafogni Kína növekedését
- Crypto Trade
- Adobe Illustrator kérdések
- A pápa egyre jobban tart a romlott AI veszélyeitől
Új hozzászólás Aktív témák
-
gazazegesz
csendes tag
Informatikai elemzésnek szegényes, leirták mit gondolnak, persze elfogadható mint a saját véleményük, de hogy biztonsági elemzésnek nevezhetjük és megoszthatjuk az érintettel. Ez a cikk nos... kmh ujságírás.. (gondolom ha az lett volna benne h az ügyfélkapuval minden oké akkor nem jelenik meg pedig a kijelentés értéke ugyanaz lenne)
Javaslat, talán be kellett volna linkelni a pdf-et, amit irtak..
Természetesen nem fikázásnak szántam de egy lukas huszfillérest nem adnék ezért az elemzésért, az egyetlen komoly megállapítás, hogy egylépcsős az authentikáció,
Ezt gondolom a rendszer üzemeltetői is tudják nem új információ és gondolom nem véletlen, hogy igy van.
Nekem hiányzik a rendszer egyébb elemeinek elemzése (pl. authorizáció).
Szomorú, hogy mostmár mindenhol feltűnik az identifikáció szó miközben virtuális megfeleltetés sohasem lehet teljes biztonságú azonosítás. Azaz ha valakit kispista loginnal tesz sohasem jelenthető ki azonosítás után egyértelműken, hogy az csak és kizárólag Kis Pista lehet, csak az mondható el hogy annak valószínűsége, hogy nem Kis Pista hogyan csökkenthető. Ebben az a legszomorúbb, hogy köznapi nyelvben értelmezhető szavak (identification) arra ösztönzik a törvényalkotókat, és a törvényalkalmazókat akiket csak jóindulattal nevezhetünk csupán laikusnak, hogy elhiggyék a virt. megfeleltetés biztonsága 100%. Ez igy befolyással van törvényeink későbbi alakulására illetve ezek alkalmazására. Virtuális megfeleltetés jelentse mindig azt, ami. Azaz ha kispista csinált valamit, és ne tegyük lehetővé azt hogy azt egyértelműen Kis Pista csinálta. A virtuális megfeleltetés sohasem lehet teljesen biztonságos ezért alkalmazzák a környezet mentését, hogy független állományokból visszaállítható legyen a valós személy. A digitális aláírás is lopható, ugyanúgy mint a jelszó.
Szörnyű lenne az a kijelentés, hogy az alapján elitélhetnek, hogy az otthoni gépem hibája miatt szervízbe vittem, valami szánalmas jelszóval védett privát kulcsomat elvitték és utána bejelentkeztek nevemben én meg leülöm a 10 évet mert biztosan én követtem el. Emellett az elemzés nem terjed ki arra, mennyivel csökkentené a felhasználók számát ha előirnánk az aláírás használatát. Ne feledjük el, hogy sokak számára kötelező a rendszer használata.
A legtöbb számítástechnikai rendszer egylépcsős authentikációval rendelkezik, és jól működik. Mivel ezen rendszer használata ténylegesen kulcsfontosságú lehet, vizsgálni kell, hogyan lehetséges biztonságosabbá tenni. Erre jóval egyszerűbb tudás alapú módszer is alkalmazható, ennek alapeleme a visszajelzéses rendszer lehetne (pl email), azaz az azonosító kizárólagosan tájékozódásra használható, bármilyen más művelet a rendszer részéről külön csatornán megerősítés egyszerűbb az ügyfél részére és a rendszer szempontjából is kevés fejlesztéssel elérhető.
Itt van a legnagyobb felelősége az analizis készítőinek akik kizárólag kritizálják a rendszert, de egyértelműen elsikkad az a rész, hogy mit javasolnak, hogy biztonságosabb legyen a rendszer, mert egyrészt a címe is az hogy '' kitől lehet tanulni '' másrészt felsorolás, és nem értékelés a megvalósithatóság szempontjából (pedig a mobil az egy jó javaslat, csak van technikai feltétele).
A második pozitívum a analizisben, hogy felhívják a figyelmet a social engieering problémájára és a phising-re, és talán ebben az anyagban láttam egyértelműen laikus számára is elmagyarázza hol van ennek veszélye. Ehhez viszont gratulálok, kár tényleg, hogy a pdf link kimaradt a cikkből.
A cikkről azonba semmilyen pozitívum nem mondható el, szakmaiságba bujtatott szenzációvadászat. -
csabika25
aktív tag
válasz gazazegesz #1 üzenetére
Ezt kikérem magamnak. Tessék elolvasni a teljes elemzést. Abban megoldási javaslatok, best practice-ek is vannak. Természetesen a szupertitkos dolgokról nem tudhatunk, ezért csak a látható dolgokat veséztük ki. És maga az előadás elég jó volt arra, hogy egy programbizottság is elfogadja egy tudományos konferenciára. Egyébként maga az analízis az ügyfélkapu egy korábbi állapotára vonatkozott, januárban csináltuk. Az újságíró kolléga most talált rá a neten. Ami azóta nem változott: az egész hitelesítési koncepció úgy szar, ahogy van. Támadható, és ezen nem látok semmi változást. Az e-mailes visszajelzést ebben az esetben nem tartom elfogadhatónak. Elfogadható bármilyen birtok alapú megoldás (mobiltelefon, intelligens kártya, bármi). Ebből még lesz balhé, az most borítékolható... De könyörgöm, ahol a népesség 95%-a el van látva mobiltelefonnal, miért nem lehet akár a hitelesítéshez, akár a tranzakcióindításhoz bevezetni ezt a megoldást???
''Isten fut Windows alatt''
-
csiga997
őstag
válasz gazazegesz #1 üzenetére
Egy elemzésnek nem kell feltétlen megoldási javaslatokat is tartalmaznia, elég, ha rámutat a hiányosságokra. Ez a ''csak az kritizáljon aki jobbat csinál'' mentalitás tipikusan a kritikát elfogadni nem tudók arroganciája. A problémák megoldása legyen a problémás terület gazdájának a dolga.
A témához: nem hiszem, hogy egy USB dongle + a jelszó ne lehetne már elég, és talán a költségeket se dobná meg túlzottan. (4-5e ft-ot meg csak kibír már az a ''vállalkozó'' ) -
Eperfa
tag
de miért évekkel az indulás után lesz belőle botrány?
tudtommal a következő adóbevallást már ezen keresztül kell leadjuk. (igen, az előzőnél is ez volt , de most talán meg is történik..)
és igenis elvárnám, h amikor egy ennyire hangsúlyos, személyes adatok kezelésére és változtatására alkalmas rendszer fejlesztenek, tegyenek meg mindent a biztonság érdekében.
nyilván az emailes visszaigazolás életképtelen minden szempontból, de a mobil már lehet jó, legalább választható lehetőségként. a bank meg tudja csinálni, az államnak se legyen már akkora probléma...
egyébként sztem a szerzők nem vagdalóztak (bár a pdfet én sem olvastam), működő, bejáratott példákra való hivatkozásokat látok a cikkben folyamatosan. -
csabika25
aktív tag
Ami fontos, a címtől elhatárolódunk. A cikk címe tényleg szerencsétlenül sikerült, nem tükrözi az eredeti tanulmány mondanivalóját.
''Isten fut Windows alatt''
-
mahatma
aktív tag
én mint nem csak informatikai szakember használom ezt az ügyfélkapus rendszert, hanem mint aki bevallásokat ad föl nap mint nap ezen keresztül. Én az emberi oldalát közelítem meg a dolognak, amit látok nap mint nap. Egyszerűen a felhasználók zöme (nem tudom hány %, de nagyon sok), nem tudja kezelni az interneten történő bevallást. Örülök ha a kollégák be tudnak egyáltalán lépni az egylépcsős azonosítás után, nem hogy még usb, dig. aláírás, mobiltelefon stb.. Ezért nem csodálom, hogy ezt az egyszerű módszert alkalmazzák az üzemeltetők. Sajnos ezt is figyelembe kell venni. A könyvelők nagy zöme, középkorú hölgy, akik ha már nem az a bejelentkező képernyő fogadja őket, lefagynak mint a windows. Így azért nehéz modern rendszereket építeni, márpedig ezek a hölgyek használják nap mint nap.
Két hirdetésre jelentkeztem, és mindkét helyen felvettek. Az elsőnek nagyon munkaszaga volt, így a második mellett döntöttem.
-
csabika25
aktív tag
Erastól is ezt kaptam meg... Ez egy áprilisi előadásunk volt, az akkori főszerkesztő nem tartotta annyira érdekesnek, hogy megírja. Ezért nem erőltettük. A Napis kolléga meg vette a fáradtságot, és összeollózta ezt a cikket. Csak az a cím ne lenne...
''Isten fut Windows alatt''
-
mahatma
aktív tag
-
L3zl13
nagyúr
Ez nem lehet elegendő indok szerintem. Mint ahogy nem lehet leegyszerűsíteni a KRESZ szabályzatot csak azért mert sokaknak túl bonyolult.
USB-dongle: Nálunk eddig volt kártyaolvasós cucc.
A könyvelő 70 éves, és a számítógéphez úgy hülye ahogy van, de tudta kezelni.
Az ük, meg tényleg egy sz@r. Rendszergazdaként eleinte be kellett párszor segítenem a könyvelő nénikének, de az milyen már, hogy ÜF-en keresztül feltöltöm a bevallást, de erről nyugtát nem tudok kérni, csak ha elmanőverezek az ebev oldalára... Zsír.Aki hülye, haljon meg!
-
Lehet, hogy baromságot kérdezek, de akkor is megkérdezem:
Vmilyen smartcardos beléptetési módszert nem lehetne kitalálni? Mondjuk XYZ az okmányirodában megkapja a szükséges eszközöket (kártyaolvasó, kártya), ott az eszközök igénylésekor igazolja a személyazonosságát, így biztosabbá téve az azonosítást. Vmilyen államigazgatási eljárás kezdeményezésekor meg jöhet az sms-megoldás...
Ilyen ügyben tényleg laikus vagyok, ezért kérdezem, hogy a fenti módszer múködhet-e...?https://www.coreinfinity.tech
-
mahatma
aktív tag
Persze, nem lehet indok, elfogadom. Csak ha meg nem tudna belépni egyszerűen, ordítana hogy milyen bonyolult és szar a rendszer, tudod, hogy fikázni sokkal könnyebb. Így is amikor bevezették, és alig használták, már mindenki mondta hogy mennyire trágya, meg nehéz. Aztán elcsitultak a hangok...
Nem minden cégnél van rendszergazda, vagy sajnálják rá a pénzt. Arról nem is beszélve, ha betanítod, de nem az a képernyő fogadja amit betanult, kapkod a telefon után, beveszi a szívgyógyszerét, és pocskondiázza a rendszert. Tapasztalat...Két hirdetésre jelentkeztem, és mindkét helyen felvettek. Az elsőnek nagyon munkaszaga volt, így a második mellett döntöttem.
-
KEndre
HÁZIGAZDA
Én is használom az ABEV-rendszert, már az elérése sem egyszerű az Ügyfélkapun keresztül. Körbe van bástyázva millió egyéb szolgáltatással, havonta mindig újra meg kell tanulni a használatot. A banki rendszerek is már használják a mobiltelefonos módszert, ami nem egy ördöngös valami, ezáltal a biztonsági szint vagy tíz emelettel feljebb kerülne.
Az IT.news már többször foglalkozott az ügyfélkapus biztonsági problémákkal, ezért vissza kell utasítanom azt a kritikát, hogy csak most került elő a téma. Nem fanyalogni kell, hanem tenni valamit, mert nyakunkon a minden vállalkozást érintő havi bevallási kötelezettség.
Egy fontos kérdés: ha egy nagyobb társaság elektronikus aláírással akarja beadni a bevallásait (a biztonsága érdekében), miért nem könnyítik meg e technológia fogadását az Ügyfélkapu fejlesztői. A MELASZ már régen készen áll, hogy megoldást nyújtsanak.Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
mahatma
aktív tag
Nem fanyalogni kell, hanem tenni valamit, mert nyakunkon a minden vállalkozást érintő havi bevallási kötelezettség.
2005. júniusa óta mindent elektronikusan adok be (könyvelőiroda), ismerem a rendszert. Tény, a mostani ÜK a legszarabb az eddigiek közül, 78 kattintás után jutok el oda, hogy egy nyomtatványt feltöltsek. Ha jó könyvelő iroda kell, jöhet a privi (ez a reklám helye) ha tilos, úgyis kimoderálják
Egyébként a régi rendszer szerint, a legnagyobb adózóknak, chipkártyás rendszer volt, amit most leépítettek
[Szerkesztve]Két hirdetésre jelentkeztem, és mindkét helyen felvettek. Az elsőnek nagyon munkaszaga volt, így a második mellett döntöttem.
-
csabika25
aktív tag
Annyit azért sikerült elérni, hogy a két illetékes helyen (Kopint és MEH-EKK) elolvassák a tanulmányt. Már csak azt szeretném tudni, hogy van-e az akarat/lehetőség/képesség bennük arra, hogy tényleg egy megfelelő biztonsági szintű rendszert rakjanak össze.
''Isten fut Windows alatt''
-
addikt
Egyébként a régi rendszer szerint, a legnagyobb adózóknak, chipkártyás rendszer volt, amit most leépítettek Ne is mond ép ma szereltem le nálunk a gépről, mert már nem kell. Az is érdekes, hogy nálunk be akar lépni az illető és van amikor csak harmadjára sikerül, van amikor elsőre, hogy ennek mi az értelme?.
-
dabadab
titán
''Ez nem lehet elegendő indok szerintem. Mint ahogy nem lehet leegyszerűsíteni a KRESZ szabályzatot csak azért mert sokaknak túl''
Dehogynem. Az emberi tenyezo nagyon is fontos, pl a tul gyakori jelszovaltas ezert kontraproduktiv: annak a jelszo1, jelszo2 ... jelszoN tipusu jelszavak meg a monitorok szelen fityego jelszavas post-it cetlik az eredmenyei. Itt is figyelembe kell venni, hogy nem vmi l'art pour l'art-rendszerrol van szo, hanem olyasmirol, amit nagyon laikus userek fognak hasznalni.
Egyebkent ugyanazt az autentikaciot lehet bonyolultan meg egyszeruen is csinalni: pl az OTP, Raiffeisen meg a Takarekszovetkezetek netes hozzaferese nagyjabol hasonlo azonositast hasznal, de ezek kozul - szamomra meglepo modon - az Takarekszovetkezetek rendszere sokkal jobban es egyszerubben hasznalhato, mint a masik ketto.DRM is theft
-
KEndre
HÁZIGAZDA
A Budapest Banknál a mobilom jelez, ha beléptem a rendszerbe, ezen kívül minden tranzakciót sms-ben visszaigazol. A tranzakcióhoz a hatjegyű NetPIN-ből véletlenszerűen kiválasztva bekér 3 számot, ez sem olyan bonyolult dolog.
Az OTP-nél kapok a mobilomra egy számsort, amit minden egyes műveletnél meg kell adnom.
Több megoldás is létezik, ami elfogadható lenne az ügyfélkapunál is.Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
mahatma
aktív tag
jó, csak ne egy emberben gondolkodjatok. egy irodában, ha megbetegszik valaki, akkor helyette is fel kell tudni tölteni a bevallásokat, mert különben áll a munka. nehéz ügy ez, és nem lehet kihagyni tényleg az emberi tényezőt.
Két hirdetésre jelentkeztem, és mindkét helyen felvettek. Az elsőnek nagyon munkaszaga volt, így a második mellett döntöttem.
-
KEndre
HÁZIGAZDA
Sok igazságod van, de most is úgy működik a rendszer, hogy személyhez kötött a belépés, tehát ha beteg az illető, jelenleg is ugyanaz a probléma.
Csak azt ne mondd, hogy addig kölcsönadja az ügyfélkapu-jelszavát..Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
Drótszamár
őstag
Sajna ilyen is van.
Egy haverom bt-jénél a könyvelő szólt a haveromnak, hogy regelje magát ügyfélkapun, aztán kérte volna el az acc felhasználóját, jelszavát. Szerencsére még időben felvilágosítottam, hogy nem kéne ilyet tenni. Adja fel a könyvelő a sajátjáról.
Nagyon sok ember nincsen tisztában az ügyfélkapus felhasználó, jelszó jelentőségével.
Majd ha már sok embernek eladták a házát a feje felől akkor esetleg észbekap a többi.( 2b || !2b ) az itt a kérdés...
-
gazazegesz
csendes tag
Birtokalapú megoldás sem okoz nagyobb biztonságot, mert vagy csökkenti a lehetőségeket (chipcard) vagy tulzott adattárolás (biometria) vagy nem elégséges birtokviszony (mobil).
A mobil csak a mobilcégnek jobb, mivel UK használatakor internet előtt ülsz regisztrálják az emailed, amit nem tudsz változtatni. Szóval kb eq mint a mobil.
Másrészt fogalmam sem volt, hogy ''házigazda'' irta és a neten ugye az iró bfsága miatt csak a http://www.ik.bme.hu/publication/nws2006_krasznay.pdf-et találtam.
Ez alapján irtam. Köszönd a kollégádnak v. ennek a verziónak amit irtam erről. Fenntartom: a cikk egy szenzációhajhász cikk. Amit irtál nincs időm elolvasni, illetve sejtem mit fejthettél ki amit hiányoltam eredetileg.
Kérdés(csak a tisztánlátás kedvéért): szerinted jó az, ha identification-nek hivjuk a felhasználó megfeleltetést? -
csabika25
aktív tag
válasz gazazegesz #28 üzenetére
Ezt a cikket nem az IT.News.os kollégák írták, hanem a Napi Gazdaság újságírója, amit több online portál átvett. Nem is gondoltam bele, hogy itt is meg fog jelenni a cikk. De itt van lehetőségem reagálni rá, máshol nincs. Egyébként a cikkben az azonosítást elfogadhatónak tartottam, ezt le is írtam. A hitelesítést kritizáltam és a beadványok hitelességének biztosítását.
A kérdésedre: minden körülmények között a magyar terminus technicus használata mellett vagyok. Amikor cikket írok vagy előadást tartok általában úgy használom a fogalmakat, hogy magyarul írom le, utána zárójelben, a tisztánlátás miatt angolul is leírom.
A mobiltelefont én ebben az esetben eléggé birtokalapúnak tartom. De az én véleményem szerint az igazi az lenne, ha egy tanúsítványalapú beléptetés lenne (TLS) és minden beadványt elektronikusan aláírnának. Ehhez kéne egy intelligens kártya, rajta két tanúsítvány. Ez tök jól működik Szlovéniában és Észtországban is. De Mo-on a mobilt tartom ésszerű kompromisszumnak.''Isten fut Windows alatt''
-
L3zl13
nagyúr
válasz csabika25 #29 üzenetére
Nekem a smartcard-dal az a bajom, hogy
1 eddig ez volt, pont ezt váltotta le az UK.
2 Könyvelőknek, és cégeknek jó, de magánembereknek nem éri meg a fáradtsaágot, és akkor ezen a ponton értelmetlenné válik az UK rendszere.
Köztes megoldásként a mobilos rendszer vagy hasonló elfogadhatónak tünik.Aki hülye, haljon meg!
-
KEndre
HÁZIGAZDA
Az ABEV/EBEV rendszert döntően könyvelők használják, így tőlük elvárható lenne a smartcard. Szerintem ők is örülnének, ha biztonságosabb lenne az autentikációjuk.
Magánszemélyeknél a mobil teljesen jó, ha belegondolok, az üzemeltetőknek is kedvező, mert a felelősség megoszlik. A júzer is komolyabban veszi a dolgokat, ha azt látja, minden belépéséhez egyedi azonosítás kell.
A nagy kérdés nem is ez. Mi lesz a januártól induló havi bevallásokkal? Készen áll a rendszer a fogadásra? Egy bukás több évre visszavetheti a hazai e-kormányzati folyamatokat.Légy óvatos, sokan pályáznak a nehezen megszerzett pénzedre! Tudd, hogy csak te vagy képes megvédeni magad!
-
mahatma
aktív tag
A nagy kérdés nem is ez. Mi lesz a januártól induló havi bevallásokkal? Készen áll a rendszer a fogadásra?
Én amikor APEH-os fejtágítón voltam, augusztus elején, akkor a nő bevallotta, hogy még mindig nem tudják feldolgozni, az áprilisban beküldött bevallásokat...na, azóta sikerült, de még a mai napig elég döcögve dolgozzák föl, de tény, hogy most már egyre gyorsabban jelenik meg a folyószámlán a bevallás, a befizetés meg már 2 nap múlva látszik. Szerintem fejlődik a rendszer, bár még mindig vannak érdekes dolgok.Két hirdetésre jelentkeztem, és mindkét helyen felvettek. Az elsőnek nagyon munkaszaga volt, így a második mellett döntöttem.
Új hozzászólás Aktív témák
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Gumi és felni topik
- Android alkalmazások - szoftver kibeszélő topik
- Episodes from Liberty city
- Azonnali notebookos kérdések órája
- PlayStation 1 / 2
- Nyaralás topik
- Víz- gáz- és fűtésszerelés
- Xbox tulajok OFF topicja
- További aktív témák...