Dvoufaktorová autentizace na web

Nikdo nemůže vyhovět všem, ale můžeme mít alespoň přehled a mít tak možnost se zaměřit na to nejpodstatnější.
martv
Příspěvky: 44
Registrován: úte 22. led 2013 1:26:57

Dvoufaktorová autentizace na web

Příspěvek od martv »

Dobrý den,

neuvažujete o přidání možnosti dvoufaktorové autentizace při přihlášení na web? Ideálně třeba ve formě Google Authenticator nebo SMS.

V současné podobě může útočník napáchat poměrně velkou škodu (a teď nemluvím jen o zneužitém kreditu, ale třeba si přesměrovat hovory, vydávat se za někoho z firmy atd.).

Díky
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Dvoufaktorová autentizace na web

Příspěvek od xsouku04 »

Je v plánu opustit přihlašování PINem (které je možné už dnes vypnout) a jako defaultní používat jméno a heslo. PIN je z dob, kdy většina zákazníků odorik volalo z telefonních budek nebo pevných linek jiných operátorů. Dvoufaktor jsme neuvažovali. Dostatečně silné heslo a nezavirovaný počítač bez trojanů, co vám odposlouchává klávesnici, nám přijde dostatečné.
Posílání SMS je drahé a tendence českých operátorů je jednotlivé SMS přes API dále zdražovat. Divím se českým bankám, že jim to platí (i když ty dostanou jistě lepší ceny, ale levné to nebude), když by si na to mohli udělat apku. Jediné řešení je tak zneužívat neomezené tarify na posílání těchto SMS.
O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat, že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
Uživatelský avatar
Pitomec
Příspěvky: 2580
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Dvoufaktorová autentizace na web

Příspěvek od Pitomec »

U bank jsou SMS opodstatněné, protože ne každý má chytrý mobil a data. Nicméně u některých bank, např. ČSOB, lze zrušit autorizaci přes SMS a používat aplikaci v mobilu (ověření přes otisk prstu nebo heslo), tj. na webu si otevřu stránky banky a následně přes mobil jenom potvrzuji co je potřeba.
Obrázek
martv
Příspěvky: 44
Registrován: úte 22. led 2013 1:26:57

Re: Dvoufaktorová autentizace na web

Příspěvek od martv »

xsouku04 píše: O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
Ten Google Authenticator mně právě přijde celkem rozumná volba. Ani jednu stranu to na provoz nic nestojí, "pouze" náklady na jednorázovou implementaci do vašeho webu. Funguje i offline bez dat a jednu aplikaci lze využít pro X providerů (já to mám třeba pro mojeid, subreg a samotný google účet). Jasně, pro jednu SIMku to smysl nemá, ale my u vás máme X simkaret a prakticky všechny firemní telefony. Takže každou ochranu navíc vítám :-)

EDIT: jsou na to i už hotové PHP třídy jako třeba https://github.com/antonioribeiro/google2fa
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Dvoufaktorová autentizace na web

Příspěvek od mobilemanic »

2FA je v dnešní době nutnost, přiznám se že dnes se už službám bez možnosti 2FA spíše vyhýbám.. Je potřeba brát to tak, že taková služba je prakticky nechráněná (MITM firemní proxy, apod..)..

Za mne tedy 2FA (samozřejmě standardní implementaci TOTP, žádné proprietální kraviny) rozhodně ano, je to dnes již nutnost.
Hafi
Příspěvky: 97
Registrován: stř 01. črc 2015 10:13:50

Re: Dvoufaktorová autentizace na web

Příspěvek od Hafi »

Neproběhla nějaká aktualizace webu? V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání - prostě ho tam po smazání nějaký skript opět vrátí. Nepomůže ani refresh, samozřejmě pomůže anonymní okno, smazání cookies/cache, stejně tak se to neděje ve Chrome.
Hafi
Příspěvky: 97
Registrován: stř 01. črc 2015 10:13:50

Re: Dvoufaktorová autentizace na web

Příspěvek od Hafi »

Hafi píše:V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání
co s tímto? Stále se děje, vyzkoušeno na několika zařízeních a když člověk udělá překlep při přihlašování, je to obtížně řešitelné.
Hafi
Příspěvky: 97
Registrován: stř 01. črc 2015 10:13:50

Re: Dvoufaktorová autentizace na web

Příspěvek od Hafi »

podnět stále aktuální :-(
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Dvoufaktorová autentizace na web

Příspěvek od xsouku04 »

Hafi píše:podnět stále aktuální :-(
PIN lze vypnout a místo něj nastavit přihlašovací jméno a heslo. Přičemž heslo může být libovolné. To by vám nestačilo?
Hafi
Příspěvky: 97
Registrován: stř 01. črc 2015 10:13:50

Re: Dvoufaktorová autentizace na web

Příspěvek od Hafi »

Mno, můžu zkusit. Nicméně jsem předpokládal, že spíše budete chtít opravit chybu, která je předpokládám obecnější.
Odpovědět