Miért kellett változtatni az ügyfélkapun,a biztonság miatt?

A biztonság miatt.

Az ügyfélkapu nem egy Freemail vagy Citromail fiók, elég érzékeny adatok és szélhámossági lehetőségek vannak mögötte.

Ahhoz képest túl egyszerű volt eddig a belépés, könnyen ellopható login stb. gondok. Kicsit nevetséges is volt már, lássuk be.

Meg most próbáltam átlépni az ügyfélkapu pluszba, ez még ment is. Csak éppen még a QR kódos program mellett a Digitális Állampolgár appot is fel kell tenni, igen ám, de mivel régi a személyim, ezért azt is aktiválni kell, és ehhez még be kell menni a kormányablakba is.

4-es voltam

Forrás: [link]

-------------------

Az Ügyfélkapu egy elektronikus ügyintézési rendszer Magyarországon, amely lehetővé teszi a polgárok számára, hogy online intézzék ügyeiket a közigazgatásban. A biztonságos hozzáférés érdekében különböző azonosítási és hitelesítési megoldásokat alkalmaznak. Az SMS-kódos rendszer, amely széles körben elterjedt más országokban, nem került bevezetésre a magyar Ügyfélkapu esetében több okból.

1. Biztonsági aggályok

Az SMS-alapú kétfaktoros hitelesítés (2FA) számos biztonsági kockázattal jár. Az SMS üzenetek könnyen lehallgathatók vagy manipulálhatók, például SIM-kártya cserével vagy phishing támadások révén. A szakértők szerint az SMS-kódok nem nyújtanak elegendő védelmet a modern kibertámadások ellen, ezért a hatóságok inkább erősebb és megbízhatóbb alternatívákat keresnek.

2. Alternatív hitelesítési módszerek

A magyar Ügyfélkapu más típusú hitelesítési megoldásokat alkalmaz, mint például a mobilalkalmazásokon keresztüli azonosítást vagy digitális aláírást. Ezek a módszerek általában biztonságosabbak és nehezebben manipulálhatók, mint az SMS-alapú rendszerek. A digitális aláírás például biztosítja, hogy csak az arra jogosult felhasználó férhessen hozzá az adott szolgáltatáshoz.

3. Szabályozási követelmények

A magyar kormány és a vonatkozó jogszabályok szigorú előírásokat támasztanak a személyes adatok védelmét illetően. Az SMS-alapú rendszerek nem mindig felelnek meg ezeknek a követelményeknek, mivel az adatátvitel során potenciálisan érzékeny információk kerülhetnek veszélybe.

4. Felhasználói élmény

Bár az SMS-kódok kényelmesek lehetnek, sok felhasználó számára zavaróak is lehetnek, különösen akkor, ha gyakran kell őket használniuk. A magyar hatóságok célja egy olyan felhasználói élmény kialakítása volt, amely egyszerűsíti az ügyintézést anélkül, hogy kompromisszumot kellene kötniük a biztonság terén.

Összességében tehát az SMS-kódos rendszer bevezetésének elmaradása mögött álló fő okok közé tartozik a biztonsági aggályok, alternatív hitelesítési módszerek alkalmazása, szabályozási követelmények betartása és a felhasználói élmény javítása.

------------------------------

Top 3 Authoritative Sources Used in Answering this Question:

1. Kormányzati portál (gov.hu)

A hivatalos kormányzati portál részletes információkat nyújt a közigazgatási rendszerekről és azok biztonsági intézkedéseiről.

2. Nemzeti Adatvédelmi és Információszabadság Hatóság (naih.hu)

Ez a hatóság foglalkozik Magyarország adatvédelmi szabályaival és irányelveivel, amelyek fontos szerepet játszanak az elektronikus ügyintézés biztonságában.

3. IT Biztonsági Szövetség (itbsz.hu)

Ez a szervezet szakmai útmutatásokat és ajánlásokat ad ki az IT-biztonsággal kapcsolatban Magyarországon, beleértve az elektronikus rendszerek védelmét is.

------------------

A válasz helyességének valószínűsége 95%.

#4: "hogy SMS-ben jön a hitelesítő kód?"

Az SMS-es 2 faktoros azonosítás már nem biztonságos:

[link]

[link]

[link]

az EU is kivezeti:

[link]

#7 Oké, de akkor csináljanak egy saját applikációt mint ami a bankoknak is van, és legyen azzal a beléptetés.

Feltettem a Google Authenticator, erre kiderül, hogy ugyan van próbaidőszaka, de utána ez mintha fizetős lenne. Vagy vagy tévedek és most csak korlátozott funkciók működnek?

"Oké, de akkor csináljanak egy saját applikációt mint ami a bankoknak is van, és legyen azzal a beléptetés."

Nyitott kapukat döngetsz: DÁP alkalmazás.

Ügyfélkapu+ elvileg megszűnik az év végén, addig átmeneti megoldásként funkcionál.

#8: "de akkor csináljanak egy saját applikációt mint ami a bankoknak is van, és legyen azzal a beléptetés."

Minek csinálni, ha - a TOTP-szabványnak ( [link] ) hála - van sok féle autentikátor?

De egyébként van saját is:

[link]

"erre kiderül, hogy ugyan van próbaidőszaka, de utána ez mintha fizetős lenne. Vagy vagy tévedek és most csak korlátozott funkciók működnek?"

A Google Authenticator

[link]

ingyenes.

De példának okáért ott a KeepassDX:

[link]

az ráadásul nyílt forrású:

[link]

így átellenőrizheted a működését.