Az előző írásaimat olvasva megismerhettétek az Ügyfélkapu+ szolgáltatásra váltás (2FA, azaz kétfaktoros azonosítás bekapcsolása) és a DÁP mobilalkalmazás regisztrációja kapcsán felmerülő lehetőségeket, problémákat és azok megoldásait. Azonban van amire én sem gondoltam, noha mostanra több százas nagyságrendben segédkeztem többek között Ügyfélkapu+ regisztráció, DÁP regisztráció, eAzonosítás szolgáltatás bekapcsolása, eAzonosítás PIN kód helyreállítása és CVCA referencia-tanúsítvány frissítése kapcsán.
A mai felgyorsult, digitalizálódó társadalmunkban hajlamosak vagyunk elfeledkezni azokról akik nem tartják a lépést a digitalizációval. Ennek számos oka lehet. Van aki az orwelli világ 1984-as disztópikus vízióját megragadva törekszik a megfigyelést elkerülni – jelzem: mindhiába -, vannak akik pénzügyi okokból nem tudnak haladni a technológiával, és vannak, akik életkorukból fakadóan már nem ezt a szemléletet követik.
Az állam digitális szolgáltatásai, így az Ügyfélkapu+ és a Digitális Állampolgárság program is csupán egy (fő)tétel a lehetőségek étlapján, de végül mégiscsak opcionális lehetőség. A többségnek! A lakosság túlnyomó része szabadon választhat a hagyományos ügyintézési módok – így a postai levelezés és a személyes ügyintézés -, valamint a digitalizáció adta kényelem és hatékonyság között. Ez azonban nem igaz arra a mintegy 300.000 közszférában dolgozóra (így különösen rendőrökre, kormánytisztviselőkre, rendvédelmi alkalmazottakra, pedagógusokra, különleges jogállású tisztségviselőkre…), akik a jogállási törvényükből fakadóan kötelezettek a DÁP törvény szerinti azonosításra.
Minden közszférában dolgozó kötelezett erre, de el is várható tőlük, hogy rendelkezzenek valamilyen okoseszközzel, hogy legalább az Ügyfélkapu+ átállással teljesítésék január 15-ig az ezirányú kötelezettségüket?! Eddig felhasználónév és jelszó birtokában ügyfélkapus azonosítással akár a munkahelyi számítógépeiken is megtekinthették az elektronikus küldeményeiket – okoseszközök nélkül is -, de most az átállás gyakorlati problémájával szembesültek csakúgy mint azok az idős szüleink, nagyszüleink, szomszédaink, akik törekedve haladni a korral használják az ügyfélkapu azonosított szolgáltatásokat (pl. EESZT-t az egészségügyi irataik miatt), de okoseszközök (okostelefon) nélkül a kétfaktoros Ügyfélkapu+ szolgáltatásra átállás számukra is ellehetetlenülni látszik.
Számos munkatársam fordult hozzám ezzel a problémával az e tárgyban tartott oktatások során saját, vagy rokoni érintettségben, így az október 23-át némi kutatómunkával, kísérletezéssel töltöttem, és ennek eredményeképpen engedjétek meg hogy néhány megoldási javaslattal, lehetőséggel éljek felétek!
Az első a hivatalos lehetőség, amellyel személy szerint számos aggályom keletkezett. Azt írja az Ügyfélkapu+ igénylés folyamatában a tájékoztató – és kérdésemre a 1818 „eközig” ügyfélszolgálata is, hogy ha nincs okostelefonunk vagy tabletünk, akkor webes hitelesítő alkalmazást is használhatunk helyettük, így máris ajánl egy lehetőséget, amely a TOTP.APP.
Noha a kétfaktoros azonosítás az Ügyfélkapu+ igénylése során beállítható, az angol nyelvű tájékoztatás alapján, és a webes alkalmazás működéséből fakadó nyilvánvaló korlátozottság eredményeképpen a 2FA hitelesítéshez szükséges összes adat a böngésző memóriájában tárolódik, így a gyorsítótár (sütik) ürítése, a böngésző újratelepítése, esetleges frissítése a hitelesítő adatok elvesztéséhez vezet, ráadásul a helyes működés az eszköz rendszeridejéhez kötődik. Elfogadva a kulcsokról készült biztonsági másolattal törtérnő helyreállítás lehetőségét, nem gondolom biztonságos, stabil és hosszútávú működésnek a sütik és böngészők általi lokális authentikációt egy a KAÜ azonosításhoz kötődő összetett szolgáltatáscsomag érintettségében. Megjegyzem, vannak olyan böngészőbe telepíthető bővítmények, amelyek hasonló elven, de kiforrottabban működnek, mégsem ezt az irányt látom járhatónak. Kísérletezzünk bátran, próbáljuk ki a TOTP.APP webalkalmazást, vagy éppen böngészőnk bővítmény webáruházában a 2FA keresőszóra adott találatokat, de legyünk figyelemmel az alkalmazások származására és a biztonságra, és ne felejtsük el megőrizni az Ügyfélkapu+ törlőkódot hogy végül jobb megoldásra válthassunk!
Ennél egy fokkal kiforrottabb megoldás, ha számítógépünkre programként telepítünk egy 2FA authentikációt biztosító programot. Mivel a biztonság az elsődleges, látogassunk el az operációs rendszerünk – jelen esetben egy Windows – hivatalos alkalmazásáruházába, és keressünk megoldást a problémánkra. Számos találat leírását elolvasva, én az alábbi programot telepítettem és próbáltam ki:
Az alkalmazás letöltése után megkérdezi, hogy hová helyezze a *.2FA kiterjesztésű adatfájlt amiben az azonosításhoz szükséges adatokat tárolja, majd annak védelméhez jelszó megadását kéri. Az Ügyfélkapu+ regisztráció során a kapott QR kódot – mintegy képernyőképként – felismerve, vagy a kódot manuálisan rögzítve a mobileszközeinkhez hasonló lépésekkel befejezhető a kétlépcsős azonosítás folyamata. A szoftverről nem készíthető képernyőkép, így az alábbi képek az alkalmazásáruházból származnak:
Ezzel a megoldással részben kiváltottuk az okoseszköz-függőségünket, mégsem értük el a teljes funkcionalitást. Azon a számítógépen, amelyen a 2FA authentikációval megerősített bejelentkezéseket végezzük, és rendelkezésre áll a lokálisan telepített 2FA authentikátor, még nem érezzük ennek hátrányát. Azonban amint a számítógépünk, laptopunk otthon maradt (esetleg meghibásodott), és idegen-, munkahelyi környezetben nem tudjuk a bejelentkezést elvégezni a második faktor hiányában, máris újabb problémába ütközünk. Megvan ennek az alkalmazásnak is a létjogosultsága, azonban vele együtt annak korlátai is.
Keressünk tovább az ideális megoldást kutatva! Az ideális megoldás – feltételezve hogy továbbra sem gondolkodhatunk okoseszközök használatában – az volna, ha bármilyen platformon, hely-, és eszközfüggetlenül hozzáférnénk nemcsak jelszavainkhoz, hanem egyben a kétfaktoros azonosításhoz szükséges 30 másodpercenként változó 2FA azonosítónkhoz is. A jelszószéfek ideális megoldást jelenthetnek.
Napjainkban számos jelszószéf érhető el ingyenes, vagy fizetős szolgáltatásként magyarul, és angol nyelven egyaránt, változékony tartalommal. Ki-ki szabadon válogathat igényei szerint a jelszókezelők széles kínálatából. A mai témánk fényében vizsgáljuk meg, hogy rendelkeznek-e 2FA azonosítási képességgel, azaz OTP (TOTP) szolgáltatással, amely a mobileszközünk helyett elvégzi a második faktor, az azonosító generálását.
Kézenfekvő megoldás lehet a közismert Bitwarden használata, hiszen jelszószéfként ingyenes, és meglehetően széles körben biztosít szolgáltatásokat – magyar nyelven. Az egyszeri, idő alapú kulcs kezelése a prémium csomag része, amely jelenleg „mindössze 10,00 $/év áron”, vagy családi csomagban, akár 6 felhasználónak, korlátlan családi megosztással elérhető a számos egyéb szolgáltatás mellett.
Nem kifejezetten a jelszószéf a fő profilja a svájci, biztonságos e-mail szolgáltatásáról ismert Proton-nak, azonban a jelszószéfként rendelkezésre álló ProtonPASS szolgáltatásuk biztosít 2FA kulcskezelést „€9.99/hó” áron az Unlimited csomag részeként vagy családi csomagban, azonban kipróbáltam, jelenleg elérhető az ingyenes csomagban is a nemrég bevezetett ProtonPass.
Mint az alábbi képen látható, a felhasználónév és jelszó mellett a 30 másofpercenként változó 2FA azonosító a ProtonPass webes környezetében elérhető, és megjegyzésként hozzá a törlőkód is eltárolható.
A jelszókezelés, a jelszószéfek, és a 2FA / MFA authentikátorok evolúcióján végigtekintve kijelenthető, hogy amit ma leírtam, holnap már nem biztos hogy a legjobb megoldásként értékelhető, de jó szívvel ajánlom, hogy életkori, meggyőződéses okokból, vagy forráshiány miatt ne engedjük el a biztonság igényét, és legfőképpen ne kockáztassuk a munkaviszonyunkat.
Mindenre van jó és jobb megoldás, csupán igényeink, lehetőségeink, és nyitottságunk szab határt azok felfedezésében. Arra biztatok mindenkit, hogy felkészültsége szerint segítse, támogassa korban idős, vagy digitálisan gyermekkorát élő ismerőseit, hogy ne mondjanak le a kibertér kényelméről csupán azért mert a szolgáltatások evolúciója magasabb biztonsági szintet követel meg.
A jelszó már elavult, a kétfaktoros azonosítás biztonsága is csupán átmeneti! Hamarosan a fizikai kulcsok és a jelszómentesség világa következik! Bízom benne, hogy választ adhattam néhány problémára a fentiekben. Kérlek iratkozz fel hírlevelemre, kövess a facebookon, de ami fontosabb, add közre az érintettek körében a tudást – ha igény merül fel rá!
Ha hasznosnak találtad, ide kattintva megoszthatod ismerőseiddel a Facebookon!