Reaktor

Óriási adatszivárgás az Ügyfélkapu rendszerben?

Mindenki használja, de senki nem tudja, hogyan hívják. Te hogy hívod a Központi Ügyfél Izé rendszert? Ügyfélkapu?  Központi Rendszer? Központi Azonosítási Ügynök (KAÜ)? E-Magyarország? SZÜF? A Tárhely?  A NAV? Nemzeti SSO?

Rossz a branding, de maga az élmény 4/5, többségében elégedett vele mindenki, mert sokkal kevésbé borzasztó, mint ami előtte volt. Van mit csiszolni rajta, az elsődleges böngészőmmel például nem tudok bejelentkezni, mert valami süti beakadt neki, és közli a megoldást, az ágyút a verébre, hogy töröljem az összes sütit, előzményt (nem fogom). Persze törölhetném csak a KAÜ-höz köthető sütiket, de nem érdekel annyira, hogy utánajárjak, milyen domainek alá szemetelt mit.

Bejelentkezek inkább egy másik böngészőben vagy inkognitóban, ahogy kell. Az emberek többsége nem lesz ennyire rafinált, töröl minden sütit, előzményt, belép a Központi Rendszerbe, elintézi a dolgait, majd meglepődve tapasztalja, hogy a Facebooktól a Tevefarmig mindenhonnan ki lett léptetve. 

A Központi Rendszer fejlesztői valamit elrontottak a süti kezelésben, oldd meg te, tisztelt állampolgár, okozzon neked kellemetlenséget.

Ez egy hiba, pestiesen "bug". Nem a világvége. Csak az nem hibázik, aki, ugye. Van azonban az a kellemetlenség, amit szándékosan, óriási pénzekért, lángelmék hadával fejlesztenek bele a termékbe: a jelszó elavulás. Ez képesség, jampecül "feature".

Ön már régóta nem

Értesítjük Önt, hogy ’noreply@zombo.com’ mail címéhez tartozó Ügyfélkapujának bejelentkezési jelszava 2024.05.07 napon lejár.

Kérjük, hogy Ügyfélkapujának zavartalan használata érdekében keresse fel a https://ugyfelkapu.gov.hu/ weboldalt, majd a sikeres bejelentkezés után kattintson a Jelszóváltoztatás menüpontra, ahol az űrlap kitöltésével megadhatja új bejelentkezési jelszavát és annak érvényességi idejét.

A jelszavam nem romlott meg. Tőlem nem tudódott ki, nem kotyogtam ki, vagy használtam újra egy kínai webshopban, mert nem is tudom fejből, helyettem őrzi a keychain és Tim Apple. Csak pöttyöket látok belőle, amikor kitölti a rubrikát a böngésző, mint 1998-ban a Freemail bejelentkező képernyőn.

1998-cal ellentétben már https-en zajlik a kommunikáció, titkosítva köztem és az Ügyfélkapu között, ezért, ha gonosz hackerek látják is a forgalmat, nem tudnak vele mit kezdeni.

Az Ügyfélkapu jelszavam pontosan annyira biztonságos ma, mint 2 éve, amikor legutoljára frissítettem.

Tőlem nem tudódott ki: itt van a kattintásvadász cím elásva, mert ha nálam nem volt hiba, és meg kell változtatni, akkor a KAÜ rendszerében lehet valami óriási probléma, valami adatszivárgás.  

Nincs azonban ilyen, minden rendben, a jelszavam biztonságban itt is és az Ügyfélkapu rendszerében. Akkor miért kell frissítenem?

Mert ez egy avittas, logikátlan, babonás, bürokratikus baromság, amiben nincs ráció, a paraszt meg megszokta, elfogadta, hogy a bürokrácia fáj.

Nem ez a paraszt.

fiatalosmeme.png

meme, a fiatalok nyelvén

Hogy csinálják a nagyok?

Nem csinálják.

Még ha változtatnak a jelszó tárolási módján, ami eleve valami hash (konzervatívul: hasítófüggvény), megoldják házon belül, legfeljebb azzal zargatnak hogy lépj be, ezzel megadva a teljes jelszavad az új rendszernek, de nem kell változtatni, egy klikk, auto complete, oszt viszont látásra. Nem kell nekik zargatni a felhasználót indokolatlan jelszóváltoztatással. Még ez a lépés is kihagyható, régi hashre is rá lehet hashelni, a régi tábláját eldobni, a megadott jelszót mindkét függvényen keresztülnyomni, és kész is az azonosítás. (Gondold végig, házi feladat!)

A nagy szolgáltatók sokkal zsírosabb célpontjai a világ gonosztevőinek, mint a NAÜ, így feltételezhetjük, hogy az általuk alkalmazott azonosítási módszerek megfelelőek, mert egyelőre csak akkor jön hír arról, hogy sikeresen hackeltek meg egy fiókot, amikor egy celeb valami faszságot posztol, majd másnap meggondolja magát.

Végeztem a saját jelszavaim esetében némi archeológiát.

Facebook: már csak a célcsoportja miatt sem teheti meg, hogy kétévente jelszóváltoztatással zaklassa őket, mert abból legfeljebb új regisztráció lenne, vagy elvesztett user (figyeljünk az idősekre!). 

A jelszavam 2010 telén lett utoljára frissítve. 

Heló Márk, há old iz jor paszvörd?

Google: itt csak becsülni tudok, de van a jelszóban egy hely, ahol 2009-ben tartózkodtam, és egy szám, ami alapján még 2-szer lett frissítve. 2010-es évek eleje.

Yahoo: egy igazi vintage fiók még az előző évezredből. Egy elő generációs iPad húzta be innen a leveleket 2011-től kezdve, nagyjából 2020-ig, amikor végleg megadta magát (rip Steve). Nem lett soha megváltoztatva.

Indapass (blog.hu): 2012 óta biztosan nincs jelszó elavulás.

Ezt a jelszóváltoztatósdit 15 évvel ezelőtt kezdtük elengedni, mint az iWiW-et és az SZDSZ-t. Miért kell még 2024-ben is ezt csinálni?

Bürokrata babonából.

Tudni akarják, hogy még létezem

Azt láthatják máshonnan is. Néha bejelentkezem. Azt is lehet látni, ha valaki megnyit egy emailt, tessék tanulni a hackerektől vagy a Substacktől.

És ha már rég nem vagyok, akkor mi van? Elférnek a bitek.

Amerikában a halottak is szavazhatnak.

Ön már régóta nem

A bankom is szokott zargatni az appban, időről időre, de csak emlékeztet, hogy régi a jelszó.

Kösz, bátya, tudom. És minden megy tovább. Úgy tűnik, hogy a régi jelszóval baszakodás nem valami EU-s szabvány, amit be kell tartani, mert csak, nincs mit tenni, max megállítani Brüsszelt. Az OTP tud annyira rugalmas lenni, hogy csak szóvá tegye, de ne hepciáskodjon, oktrojáljon.

Nagyvonalú, mert nem hogy a jelszavam régi, de a login e-mail címem két éve nem is létezik. Megváltoztatnám, de ahhoz a bankfiókba kell személyesen bemennem. Van jobb dolgom is, köszönöm.

Persze, felmerül a kérdés: ha már azonosított a bankom weboldala, vagy alkalmazása, annyira hitelesen, hogy a pénzem fölött rendelkezhetek, elküldhessem az összeset egy nigériai csalónak, miért ne változtathatnám meg a login e-mail címem ugyanazon a felületen? Miért kell ehhez személyesen megjelennem, hivatalos okmányokkal, Arankánál?

Egy óra várakozás, most jött az összes nyugdíjas nem-tudom-mit-csinálni, az ügyintézők fele ebédszüneten - az én pénzemből! -, szorongatom a hőpapírt a sorszámommal, közben nőnek a melleim a BPA-tól, na végre sorra kerülök, csókolom, két példány, itt írja alá, saját példányt is? Na még az igazgató úrnak is láttamoznia kell, kis türelmet, meg is vagyunk, önnek ez az új az e-mail címe a rendszerünkben, mutat rá arra, amit tudok. Várjon azért 24 órát, mire átfut, addig nem biztos, hogy működik a régi vagy az új, de hát így jár, aki ugrándozik.

Miért kell ezt végigcsinálnom? Bürokrata babonából.

Elég.

Ezt a cikket, amennyiben nem változik az Ügyfélkapu jelszókezelése, kétévente változatlanul újra posztoljuk.

Reaktor

Facebook

süti beállítások módosítása