Áttérés az Ügyfélkapuról az Ügyfélkapu+-ra

Bizonyára minden könyvelő hallott már róla, hogy jelen állás szerint 2025. január 16-án megszűnik az Ügyfélkapu, így eddig az időpontig mindenkinek át kell térnie az Ügyfélkapu+ vagy a DÁP (Digitális Állampolgárság Program) használatára. A különbség a „hagyományos” Ügyfélkapuhoz képest az, hogy az Ügyfélkapu+ ill. a DÁP használatával megvalósul a jóval biztonságosabb kétfaktoros bejelentkezés.

A kétfaktoros bejelentkezés lényege, hogy a felhasználónév/jelszó pároson kívül még egy azonosítási fokozat kerül beiktatásra, ami a DÁP esetében egy mobilalkalmazás használatát, míg az Ügyfélkapu+ esetében egy hitelesítő (un. authenticator) alkalmazás segítségével generált biztonsági kód megadását jelenti. (A leírás további része az Ügyfélkapu+-ról szól, mivel ennek a használatához tudunk segítséget nyújtani a programjainkban.)

Hogyan működik a kétfaktoros azonosítás hitelesítő alkalmazás segítségével?

A kétfaktoros azonosítás sok esetben a felhasználónév és jelszó megadását követően egy e-mailben vagy SMS-ben elküldött másodlagos kód megküldésével, és egy viszonylag rövid időablakban történő megadásával valósul meg. Sokáig ez a módszer jelentett egyet a kétfaktoros hitelesítéssel, ennek azonban vannak hátrányai: a bármilyen technikai hiba miatt (ami lehet a használni kívánt szolgáltatásnál, az infrastruktúránál, az e-mail vagy telekommunikációs szolgáltatónál stb.) nem, vagy nem időben érkezik meg a kód, nem fogunk tudni bejutni a használni kívánt rendszerbe. Az hitelesítő alkalmazások segítségével (annak működési elvéből fakadóan) ez a hátrány teljes egészében kiküszöbölhető.

A hitelesítő alkalmazással történő azonosítás úgy működik, hogy a használni kívánt rendszer (esetünkben az Ügyfélkapu+) generál egy 16 karakteres egyedi titkos kódot, ami alapján a hitelesítő alkalmazás egy nyilvánosan elérhető algoritmus segítségével kiszámolja az ideiglenesen érvényes 6 számjegyű kódot az azonosításhoz. Az algoritmusnak a 16 karakteres titkos kódon kívül kizárólag a pontos idő ismeretére van szüksége. Az algoritmussal így előállított kódok 30 másodpercenként változnak, minden egész és fél perckor. Ebből a módszerből látszik, hogy a 6 jegyű ellenőrző kód rendelkezésre állása mentes mindenféle informatikai alapú hibától, az egy offline eszközön is azonnal előállítható, feltéve, hogy viszonylag pontosan jár az eszköz órája (ami mobiltelefonok, számítógépek esetén nem probléma, hiszen sűrűn szinkronizálják a saját rendszeridejüket). A használni kívánt rendszer, mivel ismeri a titkos kulcsot (hiszen ő állította elő), és a pontos időt is, az algoritmus alapján tudja ellenőrizni, hogy megfelelő ellenőrző kódot adtak-e meg.

Hogyan kapcsolható össze a hitelesítő alkalmazás a rendszerrel?

A két legismertebb hitelesítő alkalmazás a Google és a Microsoft authenticatora, melyek minden okostelefonra letölthetőek. Az összekapcsolás úgy történik, hogy a használni kívánt rendszerbe történő belépést követően tudjuk aktiválni a kétfaktoros hitelesítést, ami generál egy 16 karakteres titkos kulcsot, melyet első körben QR kód formájában mutat meg, ami leolvasható a választott mobilalkalmazással. Ezt követően az alkalmazás rögtön el is kezdi előállítani a 30 másodpercenként változó kódot, amivel a használt weboldalon véglegesíthetjük a kétfaktoros hitelesítés beállítását. Ezt követően belépéskor a felhasználónév és jelszó megadása mellett meg kell adni az alkalmazásunkkal előállítható 6 számjegyű azonosító kódot is.

Ezzel kapcsolatban két fontos tudnivalót emelnénk ki:

• A maximális biztonság érdekében a 16 karakteres titkos kódot kizárólag egyszer mutatják meg a rendszerek, így próbálva biztosítani, hogy csak egyetlen eszközzel lehessen előállítani az ellenőrző kódot. Maguk a hitelesítő alkalmazások sem tudják megmutatni az általuk elmentett kódot, így ha másik eszközt szeretnénk használni az azonosításhoz, új kódot kell kérni (részletesen kitérünk később arra, milyen lehetőséget kínál ehhez az Ügyfélkapu+).
• A másik fontos tudnivaló, hogy a 16 jegyű kód, amit ugye csak egy alkalommal, és először QR kód formátumban mutat meg a rendszer, megjeleníthető karakteresen is, ami kézzel is beírható vagy beilleszthető a hitelesítő alkalmazásokba. Ha ezt a karaktersorozatot (vagy akár magát a QR kódot) eltároljuk, lehetőségünk lesz több hitelesítő alkalmazás párhuzamos használatára, hiszen ugyanazzal a titkos kóddal, ugyanabban az időpillanatban, ugyanazzal az algoritmussal minden eszköz ugyanazt az ellenőrzőkódot fogja előállítani.

Itt szeretnénk felhívni a figyelmet, hogy a fokozott biztonsághoz az is hozzá tartozik, hogy a titkos kódot (QR kódot) csak egyszer mutatja meg a rendszer, annak tárolása és több eszközön történő felhasználása csökkenti a kétfaktoros azonosítás által nyújtott biztonságot (ami azért így is magasabb lesz, mint az egyszerű Ügyfélkapu). Ugyanakkor könyvelőknél az Ügyfélkapu+ használata esetén előtérbe kerülnek más speciális szempontok, amik szükségessé tehetik a több eszközön történő párhuzamos használatot. Kérjük, mindenki ennek figyelembevételével hozza meg a döntést, hogy él-e a párhuzamosan használt hitelesítő alkalmazások lehetőségével!

Hogyan tudjuk programjainkkal egyszerűbbé tenni az Ügyfélkapu+-ra történő áttérést?

Az Ügyfélkapu+ használata a könyvelőprogram szempontjából elsősorban a bevallások benyújtásánál jelent változást. Míg a könyvelőprogram a korábban megszokott módon tudja átadni a nyomtatványokat, a bevallások benyújtásánál lesznek változások: az ügyfélkapu felhasználónév és jelszón kívül a fent említett 6 számjegyű azonosító kódot is meg kell adni.

Itt érdemes megjegyezni, hogy idén októbertől már élesben is használható a NAV új fejlesztése, az un. M2M bevallásbeküldés, aminek segítségével a könyvelőprogram az ÁNYK használata nélkül képes bevallást beküldeni Ügyfélkapu használata nélkül is. A szükséges fejlesztési dokumentáció már rendelkezésre áll, így mi is elkezdtük az ezirányú fejlesztéseket, de mivel a technológia még nem teljesen kiforrott, és a fejlesztés is nagyobb átalakításokat igényel, első körben csak az egyszerűbb bevallásokra lesz a programjainkban használható (ahogy látjuk, más fejlesztők is ezt a stratégiát követik), tehát a bevallások benyújtásával kapcsolatban még egy jó ideig az ÁNYK-ra leszünk utalva.

Úgy gondoltuk, hogy az ÁNYK Ügyfélkapu+-szal történő használatában úgy tudunk segíteni a leghatékonyabban, ha a könyvelő és bérszámfejtő programjainkba mi is beépítjük a hitelesítő algoritmust, aminek segítségével bármikor megjeleníthető a programokban az aktuális azonosító kód, illetve beállítástól függően automatikusan megjelenik minden esetben, amikor a programból egy nyomtatványt exportálunk az ÁNYK-ba. Sőt, az aktuális kódot képes automatikusan kimásolni a vágólapra, így egy ÁNYK nyomtatvány, bevallás benyújtása lényegében egy Ctrl+V (beillesztés) művelettel lesz bonyolultabb, ahogyan a beküldés előtt megadjuk az ellenőrző kódot.

Fontos információ, hogy a „sima” Ügyfélkapu megszűnésével két lehetőségünk marad a bevallások beküldésére és a hivatalos ügyéntézésre: az Ügyfélkapu+ és a DÁP, de az előzetes tájékoztatás szerint a kettő együtt nem lesz használható (aki rendelkezi DÁP-pal, már nem fogja tudni használni az Ügyfélkapu+-t)! Ez azért problémás, mert míg a DÁP valóban csak egyetlen eszközzel használható, addig az Ügyfélkapu+-hoz szükséges hitelesítő alkalmazás párhuzamosan több eszközön is elérhető, így ha úgy döntöttünk, hogy szükségünk van több párhuzamosan működő authenticatorra (vagy az általunk a programjainkban nyújtott lehetőséget szeretnék kihasználni), egyelőre ne éljünk a DÁP lehetőségével!

Regisztrálás az Ügyfélkapu+-ra

Az alábbiakban végig vesszük, hogyan kell regisztrálni úgy az Ügyfélkapu+-ra, hogy az ellenőrző kódot elő tudják állítani a könyvelőprogramok és a bérszámfejtő program is, amik mellett további mobiltelefonos authenticatorokat is használatba vehetünk.

Első lépésként nyissuk meg a böngészőben az https://ugyfelkapu.gov.hu/ oldalt, és jelentkezzünk be, majd válasszuk az „Ügyfélkapu+ igénylése” menüpontot.

A következő képernyőn tájékoztatást kapunk a javasolt hitelesítő alkalmazásokról, amihez szükségünk lesz a kétfaktoros hitelesítés beállításához. Amennyiben még nem telepítettünk ilyet az okoseszközeinkre, célszerű választani egyet, és telepíteni, így egy lépésben tudjuk aktiválni a kétlépcsős hitelesítést, beállítani a hitelesítő alkalmazást a mobiltelefonunkon és a könyvelőprogramban. A következő lépésként kattintsunk a „Tovább az Ügyfélkapu+ igényléshez” gombra.

A következő képernyőn már megkapjuk a beállításhoz szükséges kódot, első lépésben QR kód formátumban, amit le tudunk olvasni a mobileszközünk hitelesítő alkalmazásával a beállításhoz. A könyvelőprogramokban viszont nekünk nem jó a QR-kód, a 16 karakteres kódra lesz szükségünk. Hogy ezt megkapjuk, kattintsunk a „Nem tudom beolvasni a kódot” linkre.

Ezt a kódot kell elmentenünk annak érdekében, hogy az Ügyfélkapu+ belépéshez történő hitelesítőkód előállítását több eszközön is be tudjuk állítani. A mobiltelefonunk segítségével, miután beolvastuk a QR kódot, vagy manuálisan megadtuk a 16 karakteres kulcsot, már láthatóvá is válik az aktuális 6 számjegyű azonosító, ami szükséges a kétlépcsős azonosításhoz. Adjuk meg az ügyfélkapus jelszavunkat, majd ezt az azonosítót, és kattintsunk a „Tovább” gombra, lehetőleg még azelőtt, hogy lejárna az aktuális azonosító érvényessége.

Az utolsó feladatunk, hogy a megjelenő törlőkódot elmentsük, felírjuk valahova, majd nyilatkozzunk ennek megtörténtéről. Ezt követően befejezhetjük az igénylési folyamatot. A törlőkódra akkor van szükségünk, hogyha a hitelesítésre használt eszközünkkel nem tudunk többé bejelentkezni (elromlott, megsemmisült, elveszett stb.), ebben az esetben a https://ugyfelkapu.gov.hu/ oldalon az „Ügyfélkapu+ megszüntetése” funkcióval törölhetjük az Ügyfélkapu+ bejelentkezésünket, majd új kóddal újat hozhatunk létre. Valóban fontos a törlőkód mentése, mert fenti esetben annak hiányában egyetlen módon állíthatjuk helyre az Ügyfélkapunkat: be kell mennünk egy Okmányirodába.