A lényeg: Nem kell tőle tartani! A két faktorból az első faktor a már meglévő felhasználó és jelszó páros, ami továbbra is ugyanaz marad. A második faktor pedig egy egyszer használatos jelszó, amelyet valamilyen módon elő kell tudni állítani. A kód előállítása nem igényel internet-kapcsolatot, de a regisztrációs folyamathoz szükség van internet elérésre. Ezt a kibővített biztonságot nyújtó változatot nevezik Ügyfélkapu+-nak. A kétlépcsős azonosítás célja, hogy emelje az elektronikus azonosítás biztonsági szintjét és támogassa a biztonságtudatos felhasználókat. Ezeket a második faktorként szolgáló kódgeneráló eszközöket használhatja a Google, a Facebook és számos más eszköz biztonságosabb használatához. De készítse el a szükséges biztonsági mentéseket is. Könyvelők és adótanácsadók számára érdekes lehet, hogy a második faktor több eszközön is létezhet, így ők is be tudhatnak az Ügyfélkapu+-szal lépni, de a legjobb megoldás, ha meghatalmazással dolgozik a könyvelő vagy adótanácsadó a magánszemély, az egyéni vállalkozó vagy a cég ügyvezetője, mint megbízó által.
Van egy ettől teljesen különböző másik belépési megoldás is, a Digitális Állampolgár (DÁP) mobilalkalmazás – amit innen tölthet le. Ez utóbbi alkalmazást azonban a kormányablakban kell regisztrálni, így egyelőre próbálja ki az Ügyfélkapu+ megoldást.
Fontos, hogy ezt legkésőbb 2025. január 15-ig el kell végeznie, de talán az a legjobb ha még ma, vagy a napokban megcsinálja az átállást.
Nulladik lépés: döntse el milyen eszköz áll rendelkezésére, melyiket akarja használni
Mielőtt belevágna, döntse el, hogy milyen módon szeretné előállítani a második faktor kódját:
- Modern mobiltelefonon, vagy táblagép egy app segítségével – ez a legjobb megoldás;
- Számítógépen, notebookon egy program segítségével – ez egy megfelelő megoldás;
- Weboldalon – ez a legkevésbé jó megoldás;
- Régi mobiltelefonon – ez egy jó megoldás, ha J2ME kompatibilis mobiltelefonja van.
Mint látható, többféle alkalmazást, weboldalt is használhat a szükséges kód előállításához. A kód eszközök között is átadható, így a kód generálása több eszközön is megtörténhet. Ebben az első részben a modern mobiltelefonos, vagy táblagépes megoldást ismertetjük
Első lépés: a megfelelő alkalmazás használata
Amennyiben modern Android vagy iOS rendszerű telefonja van, egy hitelesítő alkalmazást kell letöltenie. Így a kód generálási lehetősége bárhol önnél lehet. Ugyanezt a rugalmasságot és kínálhatja a weboldal vagy a notebookra telepített megoldás, amennyiben ilyen mobil eszközöket hordoz magával. Ez a művelet két lépésből áll az alkalmazás telepítéséből és
A kódgenerálás során egy titkos kulcs jön létre, akár karaktersorozat, akár QR-kód formában. Ez az a titkos kulcs, amit biztos helyen el kell tárolnia, akár több számítógépen, jelszóval védve, vagy akár le is írhatja, vagy ki is nyomtathatja és beteheti a páncélszekrénybe, hogy vész esetén meglegyen.
Az Ügyfélkapu+ szolgáltatás igénybevételéhez egy mobil eszközre (telefon, táblagép) és Ügyfélkapu azonosításra van szüksége.
A szolgáltatás használatához olyan – ha kényelmi szempontok is fontosak, akkor kamerával is rendelkező – mobil eszköz szükséges, amely képes futtatni független Hitelesítő alkalmazásokat. A Hitelesítő alkalmazásnak képesnek kell lennie időalapú egyszer használatos jelszót (TOTP - Time-based One-Time Password, az RFC 6238 ajánlás alapján) generálnia az Ügyfélkapu emelt szintű azonosítási szolgáltatásának kulcsa alapján. Ilyen alkalmazás például az Android és az iOS platformra is díjmentesen elérhető:
- 2FAS (Android és iOS), [nyílt forráskódú megoldás] – én ezt ajánlom: saját offline mentési eljárással, Google felhőbe is menteni tudó eszköz, QR-kódos leolvasással, titkos kód megtekintéssel, így más eszközre történő átvitellel, export-importtal, böngésző kiegészítővel, az asztali és laptop gépen az egyszerű beilleszthető kóddal,
- NISZ Hitelesítő – egyszerű minimalista eszköz,
- Google Hitelesítő (Android) – Google felhőbe is menteni tudó eszköz, QR-kódos leolvasással, export-importtal,
- Microsoft Authenticator (Android és iOS),
- FreeOTP (Android és iOS), [nyílt forráskódú megoldás] – minimalista esztköz.
De számtalan más ingyenes alkalmazás megfelel a célnak. A mobil eszközre telepített hitelesítő alkalmazás a kulcs alapján folyamatosan - internet kapcsolat nélkül - szolgáltatja azt az egyszer használatos kódot, amely az adott 30 másodperces idősávban érvényesen használható a kulcshoz tartozó felhasználói fiókhoz. Telepítse a kiválasztott alkalmazást és indítsa el azt.
Második lépés: az eszközpárosítás, azaz a titkos kulcs beszerzése
- Keresse fel az interneten az Ügyfélkapu azonosítási szolgáltatást: http://ugyfelkapu.gov.hu/
- Kattintson a „Bejelentkezés” gombra:
- Az „Ügyfélkapu” gombra kattintva, annak az adminisztrációs felületére belépve kezdheti el:
- Az Ügyfélkapu-ra lépjen be a „Felhasználónév” és „Jelszó” megadásával:
- Az emelt szintű azonosítás szolgáltatáshoz tartozó kulcsot az „Ügyfélkapu+ igénylése” funkcióra kattintva igényelheti:
- Majd kattintson a „Tovább az Ügyfélkapu+ igényléshez” gombra:
- Ezek után következik az eszközpárosítás, amely során töltheti le a titkos kulcsot telefonra a QR-kód kamerás beolvasásával, vagy a „Nem tudom beolvasni a kódot” hivatkozásra kattintva a titkos kulcs karaktersorozat begépelésével. Érdemes a „Nem tudom beolvasni a kódot” lehetőségnél kapott titkos kulcsot felírni és biztonságos helyre elrakni. A két titkos kód megjelenítési forma között oda-vissza válthat.
- Ehhez az alkalmazásban válassza koppintson a jobb alul található „+” jelű gombra, majd a koppintson „Kód hozzáadása” lehetőségre, majd pedig a „QR-kód beolvasása” menüpontra.
- Ezután olvassa be a számítógép képernyőjén megjelenő QR-kódot a mobiltelefon segítségével.
- Adja meg az ügyfélkapus jelszavát és mobiltelefon által generált hat számjegyből álló kódot az „Azonosító megadása” mezőbe.
- Kattintson a „Tovább” gombra.
- Jegyezze fel, és mentse el a vész törlőkódot. Fontos, hogy ezután jelölje be (pipálja ki, pitykézze be) a „Fenti törlőkód mentéséről gondoskodtam” jelölőnégyzetet.
- Kattintson a „Befejezés” gombra.
Ezzel elkészült az Ügyfélkapu+ beállítással. Ha nem sikerülne a most ismertetésre kerülő módszerrel az Ügyfélkapu+ segítségével bejelentkezni, akkor ismételje meg a fentebb leírt műveleteket.
Videós bemutató a fentiekről:
A bejelentkezés menete az Ügyfélkapu+ (plusz) szolgáltatással
- A kétfaktoros belépés után az Ügyfélkapu+ (plusz) bejelentkezési képernyője:
- Ezek után a bejelentkezés ugyanúgy a „Felhasználónév” és „Jelszó” megadásával történik, bár egy újabb fajta azonosítási ablakban:
- A „Bejelentkezés” gombra kattintva egy újabb ablak jelenik meg, amelyben felül az előbb megadott Felhasználónév van, alul pedig a hat számjegyű „Azonosítót” kell megadni, majd a „Bejelentkezés” gombra kattintani. Itt kell megadni a mobiltelefonon 30 másodpercenként automatikusan újra és újra készülő 6 számjegyből álló kódot. Amennyiben a kód már lejáróban van, akkor érdemes azt a pár másodpercet megvárni, és az újonnan megjelenő kódot megadni.
- Sikeres bejelentkezés után elérhető az adott szolgáltatás, illetve az Ügyfélkapu plusz kezelőfelülete:
Kódok átvitele eszközök között
Könyvelők és adótanácsadók számára, továbbra is a meghatalmazás megoldás javasolt, amennyiben ez nem elkerülhető, vagy több eszközön használná a belépési kódokat, átviheti a kódot, vagy kódokat több más eszközre is. A Google Authenticator is képes eszközök között átvinni a kódot, ehhez mindkét mobiltelefonon a megnyitott Google Authenticator alkalmazásnál koppintson a hamburger (≡) menüre (három vízszintes vonal) és válassza ki a „Kódok átvitele lehetőséget”. Ezután a következőleg megjelenő képernyőn válassza a belépést tartalmazó elsődleges eszközön válassza a „Kódok exportálása” lehetőséget, a másik készüléken pedig a „Kódok importálása” lehetőséget. Az elsődleges eszközön törölje a kijelöléseket (ha több belépés van már tárolva a készüléken), és csak az átvinni kíván egy belépési kódgenerálást jelölje ki. Az elsődleges eszközön megjelenik a QR-kód, amelyet a második eszközön kell beolvasni.
Így a kód megjelenik a második eszközön is.
Mit jelent a kétlépcsős (kétfaktoros) azonosítás?
Az emelt szintű kétlépcsős azonosítás célja, hogy emelje az elektronikus azonosítás biztonsági szintjét és támogassa a biztonságtudatos felhasználók, illetve szolgáltatók igényeit. Az azonosítási mód lényege, hogy a széles körben elterjedt és általánosan használt jelszó alapú, egyfaktoros azonosítási módot kiegészítse egy következő faktorral. Ezt a második faktort több eszköz és módszer is biztosíthatja. Jellemző példa ilyen eszközre egy laptopon található ujjlenyomat olvasó vagy egy, csak az adott felhasználó birtokában lévő eszközhöz köthető és rövid ideig érvényes, egyszer használatos jelszó.
Ön tehát a kétfaktoros azonosítás használatával a meglévő felhasználónév és jelszó mellett egy harmadik adat segítségével azonosíthatja magát. Ez utóbbi az ügyfélkapus azonosítás esetében egy mobil eszközre telepíthető hitelesítő alkalmazás által generált kód.
Miért jó a kétlépcsős azonosítás?
Az emelt szintű kétfaktoros azonosítási móddal elérhetőek lehetnek olyan szolgáltatások, rendszerek is, ahol a szolgáltató megköveteli a magasabb azonosítási szintet.
Az Ügyfélkapus azonosításnál Ön egyéni igénye alapján élhet a magasabb azonosítási szint, az Ügyfélkapu+ használatával. Ennek egyik előnye, hogy abban az esetben, ha illetéktelen személy hozzájut az ügyfélkapus felhasználónevéhez és jelszavához, a második faktornak köszönhetően ezek birtokában sem fog tudni bejelentkezni az adott szolgáltatásba.
Hogyan működik az Ügyfélkapu+ emelt szintű, kétfaktoros azonosítása?
A szolgáltatásban a második faktort egy, a felhasználó birtokában lévő mobil eszköz (telefon, táblagép) által biztosított egyszer használatos jelszó biztosítja.
Az Ügyfélkapu esetében ez azt jelenti, hogy a felhasználónak bejelentkezéskor az ügyfélkapus felhasználói nevén és jelszaván kívül egy, a mobiltelefonra telepített Hitelesítő (Authenticator) alkalmazással generált egyszer használatos és 30 másodpercenként frissülő kódot is meg kell adnia. Az autentikátor használatához nincs szükség internetre: az alkalmazás az ideiglenes kódot a saját belső ideje alapján számolja ki.
Mobil eszköz, illetve okostelefon hiányában lehetőség van webes felületről elérhető hitelesítő alkalmazást használni (TOTP.APP - https://totp.app/?tpl=std). Ezt kizárólag abban az esetben ajánlják, amennyiben más személy nem férhet hozzá az Ön által használt Laptophoz vagy asztali számítógéphez.
Hozzászólások
A Google Authenticator alkalmazással
Beküldte csuhas32 -
Értékelés:
Megcsináltam a Google Authenticator alkalmazással.
Lyukas a suszter cipője
Nekem két bejegyzést is sikerült létrehoznom a kétfaktoros hitelesítő alkalmazásban egyetlen ügyfélkapu fiókhoz tartozó bejelentkezéshez, így van két törlőkódom is. :-D
A második biztosan működik, az elsőt nem bolygatom.
Visszagondolva a hibát talán az okozta, hogy szerintem, amúgy rendesen végigvittem az Ügyfélkapu+ igénylését, és mikor végeztem vele, vissza szerettem volna ellenőrizni, hogy jól működik-e. Azonban a bejelentkezési kísérletnél csak a hagyományos felhasználónév-jelszó párossal történő bejelentkezést ajánlotta fel, azzal viszont nem engedett be, rossz felhasználónévre vagy jelszóra utaló hibaüzenetet kaptam és máris volt egy hibás bejelentkezési kíséreltem a lehetséges ötből.
Bár biztos voltam benne, hogy jó adatokat adtam meg, azért még egyszer megpróbáltam, de sajnos ismét a várt, előző eredményt kaptam.
Nem szerettem volna magam kizárni a fiókomból, gondoltam teszek még egy próbát Privát böngészési ablakban, ha ott sem enged be, akkor kénytelen leszek telefonon vagy személyesen intézkedni az ügyben, na szép! :-(
A privát ablakban beengedett a hagyományos felhasználónév-jelszó párossal és itt újra végigvittem az Ügyfélkapu+ igénylésének folyamatát. Most már lett két bejegyzésem is a felhasznalonevem@ügyfélkapu.gov.hu-hoz a mobilon a hitelesítő alkalmazásban.
Utána a számítógépen visszalépetem a normál Firefox ablakába és a címsorban a lakat ikonra kattintva kezdeményeztem az ehhez az oldalhoz (idp.gov.hu) tartozó sütik törlését. Ezután már szépen itt is beengedett a felhasználónevet, jelszót és a mobilalkalmazásban szereplő, harminc másodpercenkét változó kódot megadva.
Tapasztalataim alapján
A számítógépen mindig frissen indított privát böngészési ablakban keresd fel az Ügyfélkapu oldalát, így soha nem lesz gondod a beragadt sütik miatt. Már az Ügyfélkapu+ igénylését is így intézd.
A Google Authenticator az okoseszközön történő első indításakor megkérdezi, hogy szeretnéd-e a dolgokat a gmail-es fiókodba menteni. Szerintem ezt érdemes választani. Ha bármi történik az eszközöddel, egy másik eszközre felteszed a Google Authenticator-t és szintén ebbe a gmail fiókodba jelentkezel be és máris szinkronizálódik az ide elmentett összes kétfaktoros bejelentkezésed, ha ugyanezt csak az adott eszközön tárolod és az mondjuk valamiért megsérül (beesik a vödörbe), akkor az összes kétfaktoros bejelentkezésből kizárva találod magad.
Ha elsőkét a csak eszközre történő mentést állítottad be, és meggondolod magad, semmi gond, bármikor át tudod állítani, hogy szeretnéd az alkalmazást a gmail fiókodba szinkronizálni.
Többször láttam felmerülni a kérdést, hogy egyetlen eszközön lehet-e több Ügyfélkapu+ bejelentkezést tárolni?
Szerintem igen. Ha egy családnak csak egy okoseszköze van, akkor akár ebben a Google Authenticator-ban is fel lehet venni több Ügyfélkapu+ bejelentkezést.
_
ügyfélkapus-felhasználónév1@ügyfélkapu.gov.hu
ABC DDE (harminc másodpercenkét változó, hatjegyű számkombináció)
_
ügyfélkapus-felhasználónév2@ügyfélkapu.gov.hu
FAB BCE (harminc másodpercenkét változó, hatjegyű számkombináció)
_
formájában lesznek láthatóak a Authenticator-ban. Szerintem elég könnyű követni, melyik számsor melyik fiókhoz tartozik.
Ha ezen a tételek valamelyikére rákoppintasz és hosszan nyomod őket, akkor kimásol valamit a vágólapra (talán a kódot, nem próbáltam, mert számomra nem ez volt az érdekes, úgy is telefon képernyőjét nézve, a számítógép billentyűzetén kézzel ütöm be a kódot). Ha jobbra húzod a bejegyzést, akkor tudod szerkeszteni, ha balra húzod, akkor az adott bejegyzés törlését tudod kezdeményezni. Ez most még nem érdekes, ha neked csak egyetlen helyes bejegyzésed van, ami ráadásul az Ügyfélkapu+-hoz tartozik, akkor eszedbe ne jusson innen törölni, de nekem például ugyebár máris van kettő, melyek közül, az egyik vélhetően fals, illetve az is előfordulhat az idők folyamán neked is lesz olyan akár máshová tartozó bejegyzésed, ami aztán feleslegessé válik, szóval talán jó ezt tudni.
Át lehet-e vinni kódot egyik eszközről a másikra?
Igen. Alapesetben csak saját eszközünkre viszünk át kódot, illetve hát lehet olyan bizalmas közeli rokoni kapcsolat, amikor az ember kezeli az idős szülei fiókát vagy a házastársak kölcsönösen belépést biztosítanak egymásnak, esetleg valaki a könyvelőjét engedni garázdálkodni... Arra is érdemes odafigyelni, hogy ne feltétlen az összes kódot vidd át, csak azt, amelyiket valóban szeretnéd is!
Mint ahogyan az a fenti leírásban is szerepel, mindkét eszközön eszközön elindítod az Authenticator-t.
A bal felső sarokban található egymás alatt elhelyezkedő három vízszintes vonalra kattintva megjelenik a Kódok átvitele menüpont:
Kódok exportálása
Kódok importálása
Innen szerintem már mindenki maga is meg tudja oldani.