Dvoufaktorová autentizace na web
Dvoufaktorová autentizace na web
Dobrý den,
neuvažujete o přidání možnosti dvoufaktorové autentizace při přihlášení na web? Ideálně třeba ve formě Google Authenticator nebo SMS.
V současné podobě může útočník napáchat poměrně velkou škodu (a teď nemluvím jen o zneužitém kreditu, ale třeba si přesměrovat hovory, vydávat se za někoho z firmy atd.).
Díky
neuvažujete o přidání možnosti dvoufaktorové autentizace při přihlášení na web? Ideálně třeba ve formě Google Authenticator nebo SMS.
V současné podobě může útočník napáchat poměrně velkou škodu (a teď nemluvím jen o zneužitém kreditu, ale třeba si přesměrovat hovory, vydávat se za někoho z firmy atd.).
Díky
- xsouku04
- Administrátor
- Příspěvky: 8169
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Dvoufaktorová autentizace na web
Je v plánu opustit přihlašování PINem (které je možné už dnes vypnout) a jako defaultní používat jméno a heslo. PIN je z dob, kdy většina zákazníků odorik volalo z telefonních budek nebo pevných linek jiných operátorů. Dvoufaktor jsme neuvažovali. Dostatečně silné heslo a nezavirovaný počítač bez trojanů, co vám odposlouchává klávesnici, nám přijde dostatečné.
Posílání SMS je drahé a tendence českých operátorů je jednotlivé SMS přes API dále zdražovat. Divím se českým bankám, že jim to platí (i když ty dostanou jistě lepší ceny, ale levné to nebude), když by si na to mohli udělat apku. Jediné řešení je tak zneužívat neomezené tarify na posílání těchto SMS.
O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat, že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
Posílání SMS je drahé a tendence českých operátorů je jednotlivé SMS přes API dále zdražovat. Divím se českým bankám, že jim to platí (i když ty dostanou jistě lepší ceny, ale levné to nebude), když by si na to mohli udělat apku. Jediné řešení je tak zneužívat neomezené tarify na posílání těchto SMS.
O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat, že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
Re: Dvoufaktorová autentizace na web
U bank jsou SMS opodstatněné, protože ne každý má chytrý mobil a data. Nicméně u některých bank, např. ČSOB, lze zrušit autorizaci přes SMS a používat aplikaci v mobilu (ověření přes otisk prstu nebo heslo), tj. na webu si otevřu stránky banky a následně přes mobil jenom potvrzuji co je potřeba.
Re: Dvoufaktorová autentizace na web
Ten Google Authenticator mně právě přijde celkem rozumná volba. Ani jednu stranu to na provoz nic nestojí, "pouze" náklady na jednorázovou implementaci do vašeho webu. Funguje i offline bez dat a jednu aplikaci lze využít pro X providerů (já to mám třeba pro mojeid, subreg a samotný google účet). Jasně, pro jednu SIMku to smysl nemá, ale my u vás máme X simkaret a prakticky všechny firemní telefony. Takže každou ochranu navíc vítámxsouku04 píše: O Google Authenticator jsem nevěděl. V každém případě by to využila jen menšina lidí. Když má u nás někdo jednu simkartu, těžko lze čekat že bude chtít dvoufaktorvou autentizace, aby se přihlásil na účet. Kdyby se mu s ní něco stalo, už by se ani nepřihlásil.
EDIT: jsou na to i už hotové PHP třídy jako třeba https://github.com/antonioribeiro/google2fa
-
- Příspěvky: 486
- Registrován: čtv 10. říj 2013 10:20:15
Re: Dvoufaktorová autentizace na web
2FA je v dnešní době nutnost, přiznám se že dnes se už službám bez možnosti 2FA spíše vyhýbám.. Je potřeba brát to tak, že taková služba je prakticky nechráněná (MITM firemní proxy, apod..)..
Za mne tedy 2FA (samozřejmě standardní implementaci TOTP, žádné proprietální kraviny) rozhodně ano, je to dnes již nutnost.
Za mne tedy 2FA (samozřejmě standardní implementaci TOTP, žádné proprietální kraviny) rozhodně ano, je to dnes již nutnost.
Re: Dvoufaktorová autentizace na web
Neproběhla nějaká aktualizace webu? V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání - prostě ho tam po smazání nějaký skript opět vrátí. Nepomůže ani refresh, samozřejmě pomůže anonymní okno, smazání cookies/cache, stejně tak se to neděje ve Chrome.
Re: Dvoufaktorová autentizace na web
co s tímto? Stále se děje, vyzkoušeno na několika zařízeních a když člověk udělá překlep při přihlašování, je to obtížně řešitelné.Hafi píše:V aktuální verzi Firefoxu mi na odorik.cz ani na odorik.cz/ucet nejde smazat již napsaný znak z PINu, tj. např nejde opravit překlep při zadávání
Re: Dvoufaktorová autentizace na web
podnět stále aktuální
- xsouku04
- Administrátor
- Příspěvky: 8169
- Registrován: pát 15. říj 2010 11:11:44
- Bydliště: Brno
- Kontaktovat uživatele:
Re: Dvoufaktorová autentizace na web
PIN lze vypnout a místo něj nastavit přihlašovací jméno a heslo. Přičemž heslo může být libovolné. To by vám nestačilo?Hafi píše:podnět stále aktuální
Re: Dvoufaktorová autentizace na web
Mno, můžu zkusit. Nicméně jsem předpokládal, že spíše budete chtít opravit chybu, která je předpokládám obecnější.