Меню
Что нового?

теория 2 steps authentication

Demona

Новичок
вопрос у меня скорее по части касаемой процедуры Trusted computers, то есть как отмечать компьютер который прошел проверку по телефону?
Идея - ставить Cookie с 128-bit ключом. Ключь хранить в БД с привязкой к user_id. Стирать cookie по истечению времени (30 дней) либо по желанию пользователя. В дальнейшем, проверять наличие печеньки с данным ключем на компьютере.

Достаточно это безопастно? Можно ли как-то улучшить?

Спасибо!
 

Gas

может по одной?
Моё мнение - смысла использовать 2-х шаговую авторизацию с запоминанием никакого нет.
Если важна безопасность, тогда никаких запоминаний нельзя делать, а нужно наоборот ещё ограничить время сессии.
Ну в крайнем случае, если есть запоминание, то каждую важную операцию (с деньгами) подтверждать sms-кой.
 
AmdY

AmdY

Пью пиво
Команда форума
Demona
а если я куку сопру? ты как минимум должен связать куку с самим компом.
 

Demona

Новичок
Gas
с этим я согласна - критичный точки должны быть защищены одноразовыми паролями. Но в данном случае мне нужно что-то вроде гугловской системы 2 Step Validation.

AmdY
да, вот собственно из-за этой вероятности я вопрос и задала. Я просмотрела stackexchange на эту тему (нашла интересный сайт . статью посвященную browser fu ngerprinting).

Смотрела в сторону Valve fingerprintJS , computer fingerprinting но общий отзыв приблизительно такие "использовали, но потом отключили, т.к. нельзя добиться стабильно работы, в особенности для мобильных пользователей - окружение постоянно меняется".
Вот взять меня - я работаю на ноуте, но дома подключаю к внешнему монитору. Разрешение как часть отпечатка, отпадает. Браузер так же достаточно часто меняется (или мне кажется?). А хотелось бы стабильности на 30 дней.

Но опять же - может у кого-то была уже практика?
 
keltanas

keltanas

marty cats
Demona
А вы с какой целью интересуетесь? Уровень безопастности стоит настраивать, отталкиваясь от ценности данных, которые нужно защищать. Т.к. в любом случае на другой чаше весов будет удобство использования сервиса.
Можно, например, генерить куку на основе UA + IP + еще что-то + соль. Можно хранить несколько подобных кук на каждого пользователя, если нужен доступ из разных мест. Тогда в краже куки не будет смысла.
Еще можно организовать авторизацию по ssl-сертификату, который нужно будет добавить в каждый браузер, из которого небоходим доступ. Сертификат должен иметь пароль, а в случае кражи сертификат можно аннулировать.
Нормальный банк-клиент, к примеру, должен требовать авторизацию при совершении каждой транзакции.
 

Demona

Новичок
Можно хранить несколько подобных кук на каждого пользователя, если нужен доступ из разных мест. Тогда в краже куки не будет смысла.
Нажмите для раскрытия...
да, в принципе так и думала - отдельная таблица, которая будет user_id + содержать соль + шифрованную строку. Думаю, сделаю по умолчанию UA, но дам опцию в настройках активизировать другие отпечатки для повышения уникальности.
Данная опция требуется для CMS, основная авторизация - на основе сессии+куки для админов и просто куки - для пользователей.

Насчет банк-клиента полностью согласна. Там одноразовые пароли нужно использовать для каждой операции.
 

Demona

Новичок
флоппик написал(а):
Ага, из-за таких мудаков комуслуги оплатить раз в месяц - реальне пытка.
Нажмите для раскрытия...
смотря с чем сравнивать. Вот когда мой банк работал с сертификатами в файлах, вот это была пытка. То джавамашина склюганет и плагин не запустится, то еще что-то. А сейчас - нажал кнопку, получил смс и все.
 
  • Like
Реакции: Gas

Gas

может по одной?
Ага, из-за таких мудаков комуслуги оплатить раз в месяц - реальне пытка.
Нажмите для раскрытия...
оно наверное от реализации зависит, но ввести код из sms без каких-то доп.телодвижений меня не сильно напрягает.
 
AmdY

AmdY

Пью пиво
Команда форума
есть практика когда подтверждается только первая транзакция на данный счёт, а дальше без подтверждений.
 

AnrDaemon

Продвинутый новичок
Если всех телодвижений на совершение операции - это выбрать операцию, ввести сумму и код из СМС, это терпимо. Сбер-онлайн так работает. Там, правда, есть свои проблемы с редиректами, но к теме они не относятся.
В общем, верную мысль уже озвучили - всё зависит от ценности защищаемой информации.
 
Войдите или зарегистрируйтесь для ответа.
Сверху