Ügyfélkapu+ telefon nélkül, nyílt forráskódú alkalmazással! [WIN] [MAC] [LINUX]

Technikai háttér-információk – mi is ez az egész? IntróEzek az információk hasznosak lehetnek annak is, akik korábban...

Technikai háttér-információk – mi is ez az egész?

Intró

Ezek az információk hasznosak lehetnek annak is, akik korábban már próbálkoztak Ügyfélkapu+ regisztrációval, akár telefonnal, akár anélkül, és nem jártak sikerrel, ezért ezzel kezdem, hogy aki már szétfrusztrálta magát, hogy használná akár a NISZ vagy a Google autentikátorát, de úgy sem megy – nos, ő is képbe kerüljön.

Emiatt, továbbá abból kifolyólag, hogy ezen információ idősebb polgártársaink számára is hasznos próbál lenni, akik esetleg nem liddeltek még processzort, előfordulhat, hogy slendriánul vagy kevésbé szabatosan fogok fogalmazni.
Kérlek, hogy nyugodtan javítsatok ki kommentben, de zokon senki ne vegye.

Akit viszont nem érdekel a filozófia, meg a technológia se, csak megoldást keres, de azt sürgősen, ugorjon eleve a 3. oldalra.
Majd visszatér a műszaki áttekintésre, ha megold(hat)atlan problémába ütközik. :)

Technológiai be-ki-tekintés

Szóval a rendszer magját a HMAC-SHA1 algoritmus adja. Ebből a MAC-nak semmi köze nincsen az Ethernet kártyákhoz, a message authentication code rövidítése. Itt most nem vágnék bele egy kriptográfiai gyorstalpalóba – lehetséges, hogy erre más formában, itt vagy máshol sort kerítek, de ez most nem az a darab.

Az SHA-1 azonban biztosan többeknek ismerős.

Ez volt az az algoritmus, amit anno a Nokia használt az "újabb generációs" színes nyomógombos készülékein, és huszon-éve már, hogy – ma körülbelül leginkább 1080p-ben történő terep2-zésre alkalmas – videokártyákkal fejtették ki a kellően elvetemültek a telefonnak az úgynevezett NCK kódját a hálózatfüggetlenítéshez.

És szintén ez volt az, amelyet – a Google kezdeményezésére – 2014 vége után kivontak a TLS (SSL) tanúsítványok használatából is.

Ennek oka, hogy ez az algoritmus gyenge.

Ezt használja jelen témánk, az OATH TOTP is, ami a legtöbb mai kétfaktoros autentikáció gerincét adja (az SMS és az e-mail mellett).

A legtöbb probléma oka

Azért, hogy a gyengeségeit ellensúlyozzák, illetőleg megakadályozzák, hogy a generált kódokat valaki visszaélésszerűen letárolja, később felhasználja, úgy lett a módszer megalkotva, hogy minden egyes ilyen kód 30 másodpercig érvényes.

30 másodpercig.

Az ugye világos, hogy ha nálad 13:39 van, a szerveren meg 13:41, akkor a kódod már akkor 90 másodpece elavult volt, amikor legeneráltad.

Ha te már próbálkoztál "hiába" az Ügyfélkapu+ aktiválással, nagy valószínűséggel ez lesz a problémád – főleg az utolsó előtti lépésnél, amikor az autentikátor által adott kódot kellene elfogadja (rögtön azelőtt, hogy kiírná, hogy eszköz párosítás sikeres, és kiadná a törlőkódot), és nem teszi.

Erre van egy kiváló oldal, amely a https://time.is címen érhető el.

Ide látogatva (ha telefonnal akarnád használni az Ügyfélkapu+-t ill. az autentikációt, akkor a telefont kell ellenőrizni akkor is, ha belépni asztali gépről vagy laptopról akarsz) rendkívül hasznos információkkal gazdagodhatunk:

A kép tetején látható, hogy az én órám 9 perc 37 másodpercet sietett.
Emiatt nem is tudtam elsőre aktiválni a szolgáltatást.

Ha ez az érték +- 15 másodpercnél magasabb, akkor gondban leszünk.

Az Ügyfélkapu+ (vagy bármely más hasonló kétfaktoros azonosítás) beállításához és működéséhez is nélkülözhetetlen, hogy az óránk pontosan járjon.

Érdemes tehát elmenteni ezt az oldalt akár a kedvencekbe, és ha nem tudunk egy idő után egyszercsak belépni, először ellenőrizni az órát, és csak utána latolgatni, hogy esetleg "meghackeltek", vagy bármi hasonló.

Eddig tartott az alap hibakeresési bevezető.

Ha érdekel, hogy hogyan lehet megoldani a címben jelzett módon ezt a problémát, ne habozz, olvass tovább.

Ha pedig érdekel, hogy hogyhogy siet/késik a telefonod / géped órája, amikor.. – kérdések és válaszok az utolsó oldalon! :D

A cikk még nem ért véget, kérlek, lapozz!