Stránka 1 z 2

Dvoufaktorová autentizace na web

Napsal: úte 21. kvě 2019 17:36:32
od martv
Dobrý den,

neuvažujete o přidání možnosti dvoufaktorové autentizace při přihlášení na web? Ideálně třeba ve formě Google Authenticator nebo SMS.

V současné podobě může útočník napáchat poměrně velkou škodu (a teď nemluvím jen o zneužitém kreditu, ale třeba si přesměrovat hovory, vydávat se za někoho z firmy atd.).

Díky

Re: Dvoufaktorová autentizace na web

Napsal: úte 21. kvě 2019 21:41:30
od xsouku04
Je v plánu opustit přihlašování PINem (které je možné už dnes vypnout) a jako defaultní používat jméno a heslo. PIN je z dob, kdy většina zákazníků odorik volalo z telefonních budek nebo pevných linek jiných operátorů. Dvoufaktor jsme neuvažovali. Dostatečně silné heslo a nezavirovaný počítač bez trojanů, co vám odposlouchává klávesnici, nám přijde dostatečné.
Posílání SMS je drahé a tendence českých operátorů je jednotlivé SMS přes API dále zdražovat. Divím se českým bankám, že jim to platí (i když ty dostanou jistě lepší ceny, ale levné to nebude), když by si na to mohli udělat apku. Jediné řešení je tak zneužívat neomezené tarify na posílání těchto SMS.
O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat, že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.

Re: Dvoufaktorová autentizace na web

Napsal: úte 21. kvě 2019 22:29:05
od Pitomec
U bank jsou SMS opodstatněné, protože ne každý má chytrý mobil a data. Nicméně u některých bank, např. ČSOB, lze zrušit autorizaci přes SMS a používat aplikaci v mobilu (ověření přes otisk prstu nebo heslo), tj. na webu si otevřu stránky banky a následně přes mobil jenom potvrzuji co je potřeba.

Re: Dvoufaktorová autentizace na web

Napsal: stř 22. kvě 2019 20:52:45
od martv
xsouku04 píše: O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
Ten Google Authenticator mně právě přijde celkem rozumná volba. Ani jednu stranu to na provoz nic nestojí, "pouze" náklady na jednorázovou implementaci do vašeho webu. Funguje i offline bez dat a jednu aplikaci lze využít pro X providerů (já to mám třeba pro mojeid, subreg a samotný google účet). Jasně, pro jednu SIMku to smysl nemá, ale my u vás máme X simkaret a prakticky všechny firemní telefony. Takže každou ochranu navíc vítám :-)

EDIT: jsou na to i už hotové PHP třídy jako třeba https://github.com/antonioribeiro/google2fa

Re: Dvoufaktorová autentizace na web

Napsal: čtv 20. čer 2019 8:18:26
od mobilemanic
2FA je v dnešní době nutnost, přiznám se že dnes se už službám bez možnosti 2FA spíše vyhýbám.. Je potřeba brát to tak, že taková služba je prakticky nechráněná (MITM firemní proxy, apod..)..

Za mne tedy 2FA (samozřejmě standardní implementaci TOTP, žádné proprietální kraviny) rozhodně ano, je to dnes již nutnost.

Re: Dvoufaktorová autentizace na web

Napsal: čtv 18. črc 2019 14:52:54
od Hafi
Neproběhla nějaká aktualizace webu? V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání - prostě ho tam po smazání nějaký skript opět vrátí. Nepomůže ani refresh, samozřejmě pomůže anonymní okno, smazání cookies/cache, stejně tak se to neděje ve Chrome.

Re: Dvoufaktorová autentizace na web

Napsal: úte 30. črc 2019 14:58:35
od Hafi
Hafi píše:V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání
co s tímto? Stále se děje, vyzkoušeno na několika zařízeních a když člověk udělá překlep při přihlašování, je to obtížně řešitelné.

Re: Dvoufaktorová autentizace na web

Napsal: pon 02. srp 2021 13:39:52
od Hafi
podnět stále aktuální :-(

Re: Dvoufaktorová autentizace na web

Napsal: pon 02. srp 2021 14:33:35
od xsouku04
Hafi píše:podnět stále aktuální :-(
PIN lze vypnout a místo něj nastavit přihlašovací jméno a heslo. Přičemž heslo může být libovolné. To by vám nestačilo?

Re: Dvoufaktorová autentizace na web

Napsal: pon 02. srp 2021 15:11:52
od Hafi
Mno, můžu zkusit. Nicméně jsem předpokládal, že spíše budete chtít opravit chybu, která je předpokládám obecnější.