PromNET

SÚGÓ Biztonság

2-faktoros hitelesítés (2FA) bekapcsolása

Hogyan védd meg a fiókodat egy authenticator-app TOTP-kódjával — 30 másodperces beállítás.

A 2-faktoros hitelesítés (2FA) a leghatékonyabb védelem elveszett vagy ellopott jelszó esetére. Ha bekapcsolod, a belépéshez a jelszó MELLETT egy 6 jegyű kódot is meg kell adnod, amit egy mobilon futó app generál 30 másodpercenként.

A PromNET a TOTP-szabványt használja (RFC 6238) — ugyanazt mint a Google, GitHub, Stripe. Bármilyen authenticator-app működik:

  • Google Authenticator (iOS / Android — ingyenes)
  • Authy (multi-eszközös, felhő-szinkron)
  • 1Password / Bitwarden (ha jelszó-kezelőt is használsz)
  • Microsoft Authenticator

Bekapcsolás (~30 másodperc)

  1. Lépj be a /app/profil oldalra
  2. Görgess le a 🔐 Két-lépcsős hitelesítés (2FA) szekcióhoz (a Biztonsági áttekintés blokkból is van quick-link)
  3. Kattints “2FA bekapcsolása”
  4. A megjelenő QR-kódot olvasd be az authenticator-app-pal (vagy másold ki a kód-stringet és illeszd be manuálisan)
  5. Az app azonnal generál egy 6 jegyű kódot — írd be a megerősítő-mezőbe
  6. Mentsd el biztonságos helyre a 10 backup-kódot (papíron, jelszó-kezelőben)
  7. Kész — a következő belépésnél a kód is kérve lesz

Backup-kódok használata

Ha elveszett a telefonod vagy nincs hozzáférésed az authenticator-hoz:

  1. A belépés-formon kattints a “backup-kód használata” linkre
  2. Adj meg EGYET a 10 mentett kódból (egyszer használhatók)
  3. Belépés után a profil-on azonnal cserélj 2FA-secret-et (új QR-kód + új 10 backup-kód)

Fontos: Backup-kódot CSAK EGYSZER használhatsz — utána már nem érvényes. 10 kódból 7 elhasználása után erősen ajánlott újragenerálni az egész készletet.

Kikapcsolás

Ha valamiért ki akarod kapcsolni a 2FA-t (pl. új eszközre vándorlás):

  1. Profil-oldal → 2FA szekció → “2FA kikapcsolása”
  2. Add meg a jelenlegi jelszavadat (megerősítés)
  3. A 2FA-secret és minden backup-kód törlődik

Hibaelhárítás

“Érvénytelen 2FA kód” belépéskor:

  • Ellenőrizd az óra-szinkront a telefonon (Beállítások → Dátum & idő → Auto) — a TOTP idő-alapú, 30 másodperces ablakkal dolgozik. ±60 másodperc ablakot tűrünk; ennél nagyobb eltérésnél a kód érvénytelen lesz
  • Régi kódot adsz meg? — a megjelenítés és a beírás között lejár a 30s
  • Több account van az app-ban? — biztos a “PromNET ([email protected])” sorhoz tartozó kódot adod be

Backup-kódot már elhasználtad és nincs telefonod:

  • Ne kérd a fiók-törlést — érdj el minket az [email protected] címen, megerősítjük a személyazonosságodat (számlázási adatok + utolsó fizetés azonosítója) és resetelünk

Mit véd a 2FA?

  • ✅ Login (email + jelszó + TOTP kell)
  • ✅ Jelszó-csere (ha 2FA on, a jelszó-csere is kéri)
  • ✅ Email-csere (mindig kéri a jelenlegi jelszót)
  • ❌ Stripe-fizetés — nem a mi fiókod, hanem a Stripe Customer Portal, ott külön 2FA-t lehet kérni a Stripe-on
  • ❌ Cloud-projekt API-token (BYOK) — ez egy másfajta titok, külön kell kezelni

Adminisztratív

  • A 2FA állapotot látod a /app dashboardon a stat-bar-ban (“2FA: on / off”) és a profil-on
  • A backup-kódok AES-GCM-titkosítva tárolódnak a D1-ben (BYOK_KEY_SECRET-tel)
  • Egyszer-használat: ha egy kódot beváltottál, a tárolt készletből kerül
  • A 2FA-secret decrypt-elése csak login-ban történik, a kódot soha nem látja senki, csak a hash-ellenőrzés fut le

Ajánlott workflow

  1. Most azonnal kapcsold be — 30 másodperc
  2. Ne csak a telefonon legyenek a backup-kódok — print + jelszó-kezelő
  3. Ha vándorolsz új telefonra, előbb állítsd be ott, és csak utána kapcsold le a régiről

A jelszó nélküled is kompromittálható, a 2FA-kód már a telefonodban van.

← Biztonság Frissítve: 2026. 05. 01.