2. Fórumok
  3. LOGOUT reakciók
  4. PSti: Digitális Állampolgárság Program
  5. (téma lezárva)
Keresés

Aktív témák

  • #829 hajbazer újonc ledgeri #786
    #829
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    hajbazer

    újonc

    válasz ledgeri #786 üzenetére

    Nem csak ez számít, de ez is számít.

    A #745-es hsz-ed picit aláássa az egészet egyébként...

    Semmit nem ás alá. Az egész digitális állampolgárságos intézményrendszert azokra az alappillérekre kellett volna a kezdetektől felépíteni, amire a bankok már felépítették az internetbankolás intézményét 10-15 éve. Aminek van egy olyan alapelve, hogy a számítógépes és az okostelefonos ügyintézés megfér egymás mellett, átjárható, egymással helyettesítő és nem függ egyik eszköz a másiktól.

    A működő gyakorlat ellenére az IdomSoft-nak sikerült egy csak okostelefonról működő alkalmazást összehoznia, amire elkezdték kiszervezni az olyan alapvető funkciókat, mint a dokumentumhitelesítés. Közben úgy vezették ki az AVDH-t, hogy senkinek sem működik. Közben bevezettek egy TOTP-t, amiről az autentikátorokat nem használó Ügyfélkapusok azt se tudták, hogy eszik-e vagy isszák. Aztán, mikor rájöttek, bevezették az e-mail-es második faktort. Kapkodás, bénázás, bétaminőségű szoftver, igazságtalan döntések.

    És igen, továbbra is fenntartom azt az állításomat, hogy egy felhasználónév+jelszó párossal és egy 2G butatelefonra érkezett SMS-sel való belépés netbankba, Ügyfélkapura, akárhova, ha jól van használva, biztonságosabb, mint bármilyen okostelefonos alkalmazás, ahol igazából csak egy faktorod van (az az egy eszköz, ami a kezedben van) és elég azt az egy faktort kompromittálni. A TOTP pedig messze nem garantálja azt, hogy mindenki megfelelően fogja használni és nem osztja meg a BASE32 secretet (illetve a lefényképezett QR-kódot) fűvel-fával.

Aktív témák