Witam,
Wpadłem na bardzo fajny pomysł. Bez zbędnego rozpisywania się. Dodania funkcji do panelu, przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu. W panelu widniałby numer telefonu. Według tego numeru w panelu przychodziłby kod, który przy wypełnieniu loginu oraz hasła trzeba potwierdzić, by móc zalogować się do panelu.
SunNight:
przy każdym
NIE. Już samo logowanie się na różnych kompach z dwuetapowym logowaniem w googlu jest męczące a tutaj?! btw. a jak ktoś nie ma zasięgu? :>
To można dodać, że wystarcza raz się zaloguje na danym urządzeniu i zostanie zapisane, nie musi powtarzać wpisywania kodu. Żeby nie było to uciążliwe i denerwujące. Co do zasięgu, to go znajdzie 😂
Podobny wątek już był: dokładnie mówiąc o logowaniu OAUTH (tj. Google Authenticator). Co do SMSów to trochę zły pomysł, bo np. ktoś nie chce podać swojego numeru telefonu? Ja bym wolał Google Authenticator - nie muszę czekać na SMSa itp.
SunNight:
przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu.
Ta propozycja jest... powalona za przeproszeniem. Nawet w bankach nie ma takiej durnoty! Co prawda żeby wykonać przelew jest potrzebny kod sms ale nie żeby się zalogować - według mnie ta propozycja jest jedną z najgorszych jaką widziałem.
SunNight:
Co do zasięgu, to go znajdzie
Mi w telefonie zasięg szwankuje i to nie jest takie proste z "odnalezieniem" zasięgu...
DoreK:
Nawet w bankach nie ma takiej durnoty!
if (bank.contains("Bank Spółdzielczy")) { SMS.enable = true; } else { SMS.enable = may_be; }
Nie powaliło mnie, to jest tylko propozycja. Każdy ma prawo do oceny. Ale nie do obrazy. Według mnie, jest to przydatne w razie bezpieczeństwa klienta.
@koweq Chyba, że tak. Ale nie każdy ma taki problem i takie bezpieczeństwo to bardzo fajna opcja.
Yyy miałem napisać, że propozycja powalona :V @DBanaszewski po polsku proszę kappa
SunNight:
przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu
Sory ale to trochę przesada, jak wspomniał @DoreK w bankach niema czegoś takiego przy logowaniu jak są to przy przelewach i to większych kwot ;-)
DBanaszewski:
logowaniu OAUTH (tj. Google Authenticator)
A co do tego może fajne jak ktoś z tego korzysta, ale nie wszyscy posiadają konta w Google, i za automatu konto Google by musiało być połączone z kontem LVLUP.
A z drugiej strony Google to żadna wykładnia też są przejęcia kont etc. itp.
Jak dla mnie może zostać tak jak było i było dobrze.
Pierwszy raz spotykam się z czymś takim żeby hosting miał tego typu zabezpieczenia, przecież nawet ovh nie ma czegoś takiego że trzeba kod sms podawać a przecież jest to hosting który działa na skalę światową... LinGruby oczywiście ma rację ;) /edit: Jeżeli tak bardzo zależy wam na bezpieczeństwie - może nocaptcha recaptcha? :)
A ja tak tylko od siebie dodam, że smsy też kosztują ;)
Dwuetapowa weryfikacja google jest wygodniejsza, nie muszę mieć zasięgu którego u mnie brakuje, takie smsy by mnie irytowały tylko D:
A może nocaptcha recaptcha? Bociki będą miały "problem" i jest to nawet, nawet...
OVH posiada taką opcję, stąd taka moja propozycja się ukazała na tym forum.
A to dziwne, bo jak ja kiedyś się logowałem to (chyba) tego nie było :) LVLup nie jest aż tak wielkim hostingiem jak OVH i na hostingach typu pu**wka, enderszist etc. nie było czegoś takiego.
Wczoraj stworzyłem konto na OVH i jest w zakładce "Bezpieczeństwo" Taka opcja. Trzeba ją pierw włączyć.
Czyli klient ma do wyboru - włączenie albo wyłączenie, a nie przymusowo ;)
Nie, taki dodatek zwiekszylby pewnie ogolnie ceny w lvlup.pro - wszystko kosztuje i nie ma sensu wydawac pieniedzy na badziewa.
Tak ma do wyboru. Można tutaj to samo zrobić. Jeżeli klient by nie chciał tego typu zabezpieczenia, nie uruchamia opcji, z drugiej strony, jeżeli by chciał to włącza.
To zmienia postać rzeczy... to byłoby nawet niezłe w takim formacie. Domyślnie takie zabezpieczenie jest wyłączonone, po pierwszym zalogowaniu pojawia się informacja w małym okienku na górze że można włączyć taką opcję tu->tam->tu.
Kody SMS odpadają.
Są kosztowane (czyli wzrosłyby ceny usług) plus od ostatniego czasu nie są już zalecane przez NIST https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html więc mogę założyć że taka organizacja wie co mówi i że lepiej zostać przy innym dwustopniowym uwierzytelnianiu typu TOTP.
https://lvlup.rok.ovh/t/dwustopniowe-uwierzytelnianie/1919
Sam też osobiście widzę problemy z kodami SMS np. słaby zasięg, roaming, źle wyszkolony personel sieci komórkowej który pozwala uzyskać dostęp do numeru osobom nieuprawnionym np. przez infolinię czy błędy w implementacji funkcji typu zdalny SMS
https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/
https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/
