Autoryzacja dostępu poprzez kody SMS

Rozwiązane
panel-v3-odrzucone
SunNight
SunNight

Witam,

Wpadłem na bardzo fajny pomysł. Bez zbędnego rozpisywania się. Dodania funkcji do panelu, przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu. W panelu widniałby numer telefonu. Według tego numeru w panelu przychodziłby kod, który przy wypełnieniu loginu oraz hasła trzeba potwierdzić, by móc zalogować się do panelu.

koweq
koweq

SunNight:

przy każdym

NIE. Już samo logowanie się na różnych kompach z dwuetapowym logowaniem w googlu jest męczące a tutaj?! btw. a jak ktoś nie ma zasięgu? :>

SunNight
SunNight

To można dodać, że wystarcza raz się zaloguje na danym urządzeniu i zostanie zapisane, nie musi powtarzać wpisywania kodu. Żeby nie było to uciążliwe i denerwujące. Co do zasięgu, to go znajdzie 😂

DBanaszewski
DBanaszewski α-tester v3

Podobny wątek już był: dokładnie mówiąc o logowaniu OAUTH (tj. Google Authenticator). Co do SMSów to trochę zły pomysł, bo np. ktoś nie chce podać swojego numeru telefonu? Ja bym wolał Google Authenticator - nie muszę czekać na SMSa itp.

DoreK
DoreK α-tester v3

SunNight:

przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu.

Ta propozycja jest... powalona za przeproszeniem. Nawet w bankach nie ma takiej durnoty! Co prawda żeby wykonać przelew jest potrzebny kod sms ale nie żeby się zalogować - według mnie ta propozycja jest jedną z najgorszych jaką widziałem.

koweq
koweq

SunNight:

Co do zasięgu, to go znajdzie

Mi w telefonie zasięg szwankuje i to nie jest takie proste z "odnalezieniem" zasięgu...

DBanaszewski
DBanaszewski α-tester v3

DoreK:

Nawet w bankach nie ma takiej durnoty!

if (bank.contains("Bank Spółdzielczy")) { SMS.enable = true; } else { SMS.enable = may_be; }

SunNight
SunNight

Nie powaliło mnie, to jest tylko propozycja. Każdy ma prawo do oceny. Ale nie do obrazy. Według mnie, jest to przydatne w razie bezpieczeństwa klienta.

@koweq Chyba, że tak. Ale nie każdy ma taki problem i takie bezpieczeństwo to bardzo fajna opcja.

DoreK
DoreK α-tester v3

Yyy miałem napisać, że propozycja powalona :V @DBanaszewski po polsku proszę kappa

LinGruby
LinGruby Pionier

SunNight:

przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu

Sory ale to trochę przesada, jak wspomniał @DoreK w bankach niema czegoś takiego przy logowaniu jak są to przy przelewach i to większych kwot ;-)

DBanaszewski:

logowaniu OAUTH (tj. Google Authenticator)

A co do tego może fajne jak ktoś z tego korzysta, ale nie wszyscy posiadają konta w Google, i za automatu konto Google by musiało być połączone z kontem LVLUP.

A z drugiej strony Google to żadna wykładnia też są przejęcia kont etc. itp.

Jak dla mnie może zostać tak jak było i było dobrze.

DoreK
DoreK α-tester v3

Pierwszy raz spotykam się z czymś takim żeby hosting miał tego typu zabezpieczenia, przecież nawet ovh nie ma czegoś takiego że trzeba kod sms podawać a przecież jest to hosting który działa na skalę światową... LinGruby oczywiście ma rację ;) /edit: Jeżeli tak bardzo zależy wam na bezpieczeństwie - może nocaptcha recaptcha? :)

Nieznajomy11
Nieznajomy11 Moderator forum.lvlup.pro

A ja tak tylko od siebie dodam, że smsy też kosztują ;)

Dwuetapowa weryfikacja google jest wygodniejsza, nie muszę mieć zasięgu którego u mnie brakuje, takie smsy by mnie irytowały tylko D:

DoreK
DoreK α-tester v3

A może nocaptcha recaptcha? Bociki będą miały "problem" i jest to nawet, nawet...

SunNight
SunNight

OVH posiada taką opcję, stąd taka moja propozycja się ukazała na tym forum.

DoreK
DoreK α-tester v3

A to dziwne, bo jak ja kiedyś się logowałem to (chyba) tego nie było :) LVLup nie jest aż tak wielkim hostingiem jak OVH i na hostingach typu pu**wka, enderszist etc. nie było czegoś takiego.

SunNight
SunNight

Wczoraj stworzyłem konto na OVH i jest w zakładce "Bezpieczeństwo" Taka opcja. Trzeba ją pierw włączyć.

DoreK
DoreK α-tester v3

Czyli klient ma do wyboru - włączenie albo wyłączenie, a nie przymusowo ;)

anon10657637
anon10657637

Nie, taki dodatek zwiekszylby pewnie ogolnie ceny w lvlup.pro - wszystko kosztuje i nie ma sensu wydawac pieniedzy na badziewa.

SunNight
SunNight

Tak ma do wyboru. Można tutaj to samo zrobić. Jeżeli klient by nie chciał tego typu zabezpieczenia, nie uruchamia opcji, z drugiej strony, jeżeli by chciał to włącza.

DoreK
DoreK α-tester v3

To zmienia postać rzeczy... to byłoby nawet niezłe w takim formacie. Domyślnie takie zabezpieczenie jest wyłączonone, po pierwszym zalogowaniu pojawia się informacja w małym okienku na górze że można włączyć taką opcję tu->tam->tu.

SystemZ
SystemZ Admin lvlup.pro

Kody SMS odpadają.

Są kosztowane (czyli wzrosłyby ceny usług) plus od ostatniego czasu nie są już zalecane przez NIST https://www.schneier.com/blog/archives/2016/08/nist_is_no_long.html więc mogę założyć że taka organizacja wie co mówi i że lepiej zostać przy innym dwustopniowym uwierzytelnianiu typu TOTP.

https://lvlup.rok.ovh/t/dwustopniowe-uwierzytelnianie/1919

Sam też osobiście widzę problemy z kodami SMS np. słaby zasięg, roaming, źle wyszkolony personel sieci komórkowej który pozwala uzyskać dostęp do numeru osobom nieuprawnionym np. przez infolinię czy błędy w implementacji funkcji typu zdalny SMS

https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/

https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/