Dvoufaktorová autentizace na web

Nikdo nemůže vyhovět všem, ale můžeme mít alespoň přehled a mít tak možnost se zaměřit na to nejpodstatnější.

Dvoufaktorová autentizace na web

Příspěvekod martv » úte 21. kvě 2019 17:36:32

Dobrý den,

neuvažujete o přidání možnosti dvoufaktorové autentizace při přihlášení na web? Ideálně třeba ve formě Google Authenticator nebo SMS.

V současné podobě může útočník napáchat poměrně velkou škodu (a teď nemluvím jen o zneužitém kreditu, ale třeba si přesměrovat hovory, vydávat se za někoho z firmy atd.).

Díky
martv
 
Příspěvky: 40
Registrován: úte 22. led 2013 2:26:57

Re: Dvoufaktorová autentizace na web

Příspěvekod xsouku04 » úte 21. kvě 2019 21:41:30

Je v plánu opustit přihlašování PINem (které je možné už dnes vypnout) a jako defaultní používat jméno a heslo. PIN je z dob, kdy většina zákazníků odorik volalo z telefonních budek nebo pevných linek jiných operátorů. Dvoufaktor jsme neuvažovali. Dostatečně silné heslo a nezavirovaný počítač bez trojanů, co vám odposlouchává klávesnici, nám přijde dostatečné.
Posílání SMS je drahé a tendence českých operátorů je jednotlivé SMS přes API dále zdražovat. Divím se českým bankám, že jim to platí (i když ty dostanou jistě lepší ceny, ale levné to nebude), když by si na to mohli udělat apku. Jediné řešení je tak zneužívat neomezené tarify na posílání těchto SMS.
O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat, že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6919
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Dvoufaktorová autentizace na web

Příspěvekod Pitomec » úte 21. kvě 2019 22:29:05

U bank jsou SMS opodstatněné, protože ne každý má chytrý mobil a data. Nicméně u některých bank, např. ČSOB, lze zrušit autorizaci přes SMS a používat aplikaci v mobilu (ověření přes otisk prstu nebo heslo), tj. na webu si otevřu stránky banky a následně přes mobil jenom potvrzuji co je potřeba.
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 2015
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: Dvoufaktorová autentizace na web

Příspěvekod martv » stř 22. kvě 2019 20:52:45

xsouku04 píše:O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.


Ten Google Authenticator mně právě přijde celkem rozumná volba. Ani jednu stranu to na provoz nic nestojí, "pouze" náklady na jednorázovou implementaci do vašeho webu. Funguje i offline bez dat a jednu aplikaci lze využít pro X providerů (já to mám třeba pro mojeid, subreg a samotný google účet). Jasně, pro jednu SIMku to smysl nemá, ale my u vás máme X simkaret a prakticky všechny firemní telefony. Takže každou ochranu navíc vítám :-)

EDIT: jsou na to i už hotové PHP třídy jako třeba https://github.com/antonioribeiro/google2fa
martv
 
Příspěvky: 40
Registrován: úte 22. led 2013 2:26:57

Re: Dvoufaktorová autentizace na web

Příspěvekod mobilemanic » čtv 20. čer 2019 8:18:26

2FA je v dnešní době nutnost, přiznám se že dnes se už službám bez možnosti 2FA spíše vyhýbám.. Je potřeba brát to tak, že taková služba je prakticky nechráněná (MITM firemní proxy, apod..)..

Za mne tedy 2FA (samozřejmě standardní implementaci TOTP, žádné proprietální kraviny) rozhodně ano, je to dnes již nutnost.
mobilemanic
 
Příspěvky: 475
Registrován: čtv 10. říj 2013 10:20:15

Re: Dvoufaktorová autentizace na web

Příspěvekod Hafi » čtv 18. črc 2019 14:52:54

Neproběhla nějaká aktualizace webu? V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání - prostě ho tam po smazání nějaký skript opět vrátí. Nepomůže ani refresh, samozřejmě pomůže anonymní okno, smazání cookies/cache, stejně tak se to neděje ve Chrome.
Hafi
 
Příspěvky: 50
Registrován: stř 01. črc 2015 10:13:50

Re: Dvoufaktorová autentizace na web

Příspěvekod Hafi » úte 30. črc 2019 14:58:35

Hafi píše:V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání

co s tímto? Stále se děje, vyzkoušeno na několika zařízeních a když člověk udělá překlep při přihlašování, je to obtížně řešitelné.
Hafi
 
Příspěvky: 50
Registrován: stř 01. črc 2015 10:13:50


Zpět na Náměty a připomínky

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník