[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Удобная 2-х факторная аутентификация
Страницы: 1, 2, 3, 4
moshkov_m
user posted image

Использование паролей для аутентификации за долгие годы работы показало свою иллюзорную надежность. Как и любая системы защиты, которая не претерпевает изменений и не идет в ногу со временем. К счастью уже есть новые системы защиты от несанкционированного доступа, такие как TeddyID.

Такое решение позволяет полностью отказаться от паролей, что привносит с собой не только повышенную защиту, но и позволяет пользователю не замачиваться придумыванием пароля и его запоминанием. Сама система абсолютно проста для пользователя. Во время попытки зайти на сайт, на компьютере и телефоне отображаются картинки. Убедившись, что картинки совпали пользователь нажимает 1 кнопку на телефоне и он вошел.

Есть и менее удобный вариант, когда изначально необходимо ввести пароль, а после этого подтвердить вход с телефона. То есть классическая 2-х этапная аутентификация.

Варианты интеграции:
  • API, который очень прост в реализации и позволяет пользователям логиниться, не покидая сайта.
  • OAuth 2.0
  • OAuth 1.0a
  • OpenID
  • SAML (для корпоративного и облачного single sign-on)

Если возникнут вопросы по системе или ее реализации на сайте, буду рад ответить на вопросы smile.gif
stump
Читал что варианты аутентификации с картинками ломается быстрее чем аутентификация с паролем. По поводу телефона: все классно, только 1) виртуальный хостинг такой радости точно не даст; 2) бабосы за смски кто-то должен платить; 3) все замки от честных людей.

Простая аутентификация с паролем + требование сложности к паролю + блокирование IP на сутки при 3х неверных паролях вполне может предоставить приличную безопасность.

_____________
Трус не играет в хокей
moshkov_m
Цитата (stump @ 16.03.2015 - 15:54)
Читал что варианты аутентификации с картинками ломается быстрее чем аутентификация с паролем

Откуда такая информация?

Картинки изначально есть на телефоне, а не загружаются каждый раз при запросе. В данном случае картинка это всего-лишь более понятная визуализация для пользователя, все остальное скрыто от глаз. Прелесть в том, что смс нет, все работает через интернет и никаких денег это не стоит smile.gif
Hello
Цитата (moshkov_m @ 16.03.2015 - 14:32)
Убедившись, что картинки совпали пользователь нажимает 1 кнопку на телефоне и он вошел.

А если на телефоне нет интернета?

_____________
VPS от 5$, первые 2 месяца - бесплатно.
moshkov_m
Цитата (Hello @ 16.03.2015 - 16:46)
Цитата (moshkov_m @ 16.03.2015 - 14:32)
Убедившись, что картинки совпали пользователь нажимает 1 кнопку на телефоне и он вошел.

А если на телефоне нет интернета?

Тоже не проблема. Когда интернета нет, на телефоне отображается 6-ти значный код, который меняется каждые 30 секунд
stump
Цитата (moshkov_m @ 16.03.2015 - 16:05)
Цитата (stump @ 16.03.2015 - 15:54)
Читал что варианты аутентификации с картинками ломается быстрее чем аутентификация с паролем

Откуда такая информация?

Картинки изначально есть на телефоне, а не загружаются каждый раз при запросе. В данном случае картинка это всего-лишь более понятная визуализация для пользователя, все остальное скрыто от глаз. Прелесть в том, что смс нет, все работает через интернет и никаких денег это не стоит smile.gif

В Интернете читал. Это же получается простой пин из 6 чисел. Пароль же это 52 буквы + 10 цифр + 9 спец символов. Итого 71.

Надежность в исходе лотереи 6 из 10 или 6 из 71.

С точки зрения хака - надо подобрать пин из 6 цифр которые вводятся нажатием картинки. Картинка чтоб клиенту интересно было.

Такая защита подходит вместо каптчи, но никак вместо пароля.

Это вы продаете такой продукт? Если да, то я пойду своей дорогой.

А как при аунтетификации на десктопе подтверить вход со смартфона?

_____________
Трус не играет в хокей
Guest
Цитата (stump @ 16.03.2015 - 17:21)
Цитата (moshkov_m @ 16.03.2015 - 16:05)
Цитата (stump @ 16.03.2015 - 15:54)
Читал что варианты аутентификации с картинками ломается быстрее чем аутентификация с паролем

Откуда такая информация?

Картинки изначально есть на телефоне, а не загружаются каждый раз при запросе. В данном случае картинка это всего-лишь более понятная визуализация для пользователя, все остальное скрыто от глаз. Прелесть в том, что смс нет, все работает через интернет и никаких денег это не стоит smile.gif

В Интернете читал. Это же получается простой пин из 6 чисел. Пароль же это 52 буквы + 10 цифр + 9 спец символов. Итого 71.

Надежность в исходе лотереи 6 из 10 или 6 из 71.

С точки зрения хака - надо подобрать пин из 6 цифр которые вводятся нажатием картинки. Картинка чтоб клиенту интересно было.

Такая защита подходит вместо каптчи, но никак вместо пароля.

Это вы продаете такой продукт? Если да, то я пойду своей дорогой.

А как при аунтетификации на десктопе подтверить вход со смартфона?

Не все так просто, как кажется поначалу:)

Система 2-х факторная. При аутентификации требуется 2 фактора для доступа к информации. И компьютер и телефон, у каждого телефона свой уникальный id. При попытке входа, с сервера на сайт-клиент и телефон приходит запрос. И только после подтверждения на телефоне на сервер передается информация. После чего на сайт-клиент приходит информация о том, что это действительно этот пользователь и его можно впустить. Поэтому не имея всех 2 факторов защиты получить доступ не имеется возможным.
vagrand
А если телефон в руках злоумышленника?

_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
moshkov_m
Цитата (vagrand @ 16.03.2015 - 18:10)
А если телефон в руках злоумышленника?

Ну он может по нему позвонить, написать смс, пообщаться через приложения установленные на телефон, продать, утопить, разбить smile.gif То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.
vagrand
moshkov_m
Почитал немного про teddyId, в принципе довольно интересно и перспективно.

Цитата
Ну он может по нему позвонить, написать смс, пообщаться через приложения установленные на телефон, продать, утопить, разбить  То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.


Вот я все же не совсем понимаю. Предположим я работаю в большом офисе и мой коллега у которого teddyId выбежал из комнаты по срочному делу, забыв на столе телефон и комп тоже не запоролил. Выходит я могу подойти и воспользоватся этими девайсами для доступа ко всем сайтам где он зарегистрирован?

_____________
Senior PHP developer: PHP5, MySQL, JavaScript, CakePHP, Yii/Yii2, Zend Framework, Smarty, XML/Xslt, JQuery, Jquery Mobile, Bootstrap, ExtJS, HTML, HTML5, CSS, Linux, SVN, Git, Memcached, Redis, MongoDB, Zend Guard, Ioncube, FFMpeg, PayPal, Webmoney, Qiwi, Facebook API, Vkontakte Api, Google API, Twitter Api, Steam Api.
Junior Android Developer: Android SDK, многопоточность, работа с HTTP запросами, JSON, SQLite, фрагменты.
stump
Цитата (moshkov_m @ 16.03.2015 - 18:16)
То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.

Денег сколько стоит?

_____________
Трус не играет в хокей
stump
Цитата (vagrand @ 16.03.2015 - 18:32)
moshkov_m
Почитал немного про teddyId, в принципе довольно интересно и перспективно.

Цитата
Ну он может по нему позвонить, написать смс, пообщаться через приложения установленные на телефон, продать, утопить, разбить  То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.


Вот я все же не совсем понимаю. Предположим я работаю в большом офисе и мой коллега у которого teddyId выбежал из комнаты по срочному делу, забыв на столе телефон и комп тоже не запоролил. Выходит я могу подойти и воспользоватся этими девайсами для доступа ко всем сайтам где он зарегистрирован?

Думаю да. Думаю даже можно подсмотреть шестизначный пин, а потом в удобное время в своем домашнем удобном кресле просматривать все сайты сосулуживца троля от его имени в каментах учавствуя в полноценно в аккаунтах.

_____________
Трус не играет в хокей
moshkov_m
Цитата (vagrand @ 16.03.2015 - 18:32)
moshkov_m
Почитал немного про teddyId, в принципе довольно интересно и перспективно.

Цитата
Ну он может по нему позвонить, написать смс, пообщаться через приложения установленные на телефон, продать, утопить, разбить  То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.


Вот я все же не совсем понимаю. Предположим я работаю в большом офисе и мой коллега у которого teddyId выбежал из комнаты по срочному делу, забыв на столе телефон и комп тоже не запоролил. Выходит я могу подойти и воспользоватся этими девайсами для доступа ко всем сайтам где он зарегистрирован?

Если у коллеги не стоит пин-код на разблокировку и на приложение, то да. Если же стоит то тут гораздо сложнее ведь комбинаций много и это дело не 1 дня
moshkov_m
Цитата (stump @ 16.03.2015 - 18:34)
Цитата (moshkov_m @ 16.03.2015 - 18:16)
То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.

Денег сколько стоит?

Для некоммерческого использования бесплатно. Для коммерческого 0,99$ в месяц за сотрудника
moshkov_m
Цитата (stump @ 16.03.2015 - 18:39)
Цитата (vagrand @ 16.03.2015 - 18:32)
moshkov_m
Почитал немного про teddyId, в принципе довольно интересно и перспективно.

Цитата
Ну он может по нему позвонить, написать смс, пообщаться через приложения установленные на телефон, продать, утопить, разбить  То, что он овладел телефоном, преимуществ ему никаких не дает. 2-го фактора у него нет. + на приложение можно поставить пин-код.


Вот я все же не совсем понимаю. Предположим я работаю в большом офисе и мой коллега у которого teddyId выбежал из комнаты по срочному делу, забыв на столе телефон и комп тоже не запоролил. Выходит я могу подойти и воспользоватся этими девайсами для доступа ко всем сайтам где он зарегистрирован?

Думаю да. Думаю даже можно подсмотреть шестизначный пин, а потом в удобное время в своем домашнем удобном кресле просматривать все сайты сосулуживца троля от его имени в каментах учавствуя в полноценно в аккаунтах.

Мой 6-ти значный код 857 943 попробуйте:)

6-ти значный код используется как резервный канал, и он меняется каждые 30 секунд. И куда вы собрались вводить этот код? Можете попробовать на сайте platron.ru

Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.