Az ügyfélkapu plusz technológiája és biztonsága

Balsai, Péter; Pfeiffer, Szilárd

doi:10.5281/zenodo.15615310

Published June 7, 2025 | Version 1.3.1

Other Open

Az ügyfélkapu plusz technológiája és biztonsága

A tanulmány az Ügyfélkapu+ szolgáltatás kétfaktoros azonosítási (2FA) technológiáját és biztonsági megvalósítását elemzi. A szolgáltatás 2022-ben indult, és időalapú egyszer használatos jelszó (TOTP) generálást használ a biztonságos bejelentkezéshez. A cikk részletesen tárgyalja a TOTP működését, a használt kriptográfiai algoritmusokat, valamint azonosítja a jelenlegi megvalósítás biztonsági hiányosságait. Különös figyelmet szentel a megosztott titok méretének (80 bit) és az SHA-1 hash függvény használatának elemzésére, amelyek az aktuális szabványok ajánlásainak fényében megkérdőjelezhetőek. A tanulmány megvizsgálja a kompatibilitási kérdéseket és a különböző TOTP alkalmazások támogatottságát, valamint javaslatokat tesz a biztonság növelésére. A szerzők arra a következtetésre jutnak, hogy bár a jelenlegi megvalósítás működőképes, modernizálásra szorul a biztonság növelése érdekében.

Abstract (En)

The study analyzes the two-factor authentication (2FA) technology and security implementation of the Ügyfélkapu+ service. Launched in 2022, the service uses time-based one-time password (TOTP) generation for secure login. The article provides a detailed discussion of how TOTP works, the cryptographic algorithms used, and identifies security weaknesses in the current implementation. Special attention is given to the analysis of the shared secret's size (80 bits) and the use of the SHA-1 hash function, both of which are questionable in light of current standards and recommendations. The study also examines compatibility issues and the support provided by various TOTP applications, offering suggestions for enhancing security. The authors conclude that although the current implementation is functional, it requires modernization to enhance security.

Files