SunNight | 2017-04-24 15:50:44 UTC | #1
Witam,
Wpadłem na bardzo fajny pomysł. Bez zbędnego rozpisywania się.
Dodania funkcji do panelu, przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu. W panelu widniałby numer telefonu. Według tego numeru w panelu przychodziłby kod, który przy wypełnieniu loginu oraz hasła trzeba potwierdzić, by móc zalogować się do panelu.
koweq | 2017-04-24 11:31:56 UTC | #2
[quote=”SunNight, post:1, topic:2573”]
przy każdym
[/quote]
NIE. Już samo logowanie się na różnych kompach z dwuetapowym logowaniem w googlu jest męczące a tutaj?! btw. a jak ktoś nie ma zasięgu? :>
SunNight | 2017-04-24 11:52:11 UTC | #3
To można dodać, że wystarcza raz się zaloguje na danym urządzeniu i zostanie zapisane, nie musi powtarzać wpisywania kodu. Żeby nie było to uciążliwe i denerwujące.
Co do zasięgu, to go znajdzie :joy:
DBanaszewski | 2017-04-24 12:15:23 UTC | #4
Podobny wątek już był: dokładnie mówiąc o logowaniu OAUTH (tj. Google Authenticator). Co do SMSów to trochę zły pomysł, bo np. ktoś nie chce podać swojego numeru telefonu? Ja bym wolał Google Authenticator - nie muszę czekać na SMSa itp.
DoreK | 2017-04-24 13:19:35 UTC | #5
[quote=”SunNight, post:1, topic:2573”]
przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu.
[/quote]
Ta propozycja jest… powalona za przeproszeniem.
Nawet w bankach nie ma takiej durnoty! Co prawda żeby wykonać przelew jest potrzebny kod sms ale nie żeby się zalogować - według mnie ta propozycja jest jedną z najgorszych jaką widziałem.
koweq | 2017-04-24 12:30:48 UTC | #6
[quote=”SunNight, post:3, topic:2573”]
Co do zasięgu, to go znajdzie
[/quote]
Mi w telefonie zasięg szwankuje i to nie jest takie proste z “odnalezieniem” zasięgu…
DBanaszewski | 2017-04-24 12:31:11 UTC | #7
[quote=”DoreK, post:5, topic:2573”]
Nawet w bankach nie ma takiej durnoty!
[/quote]
if (bank.contains(“Bank Spółdzielczy”)) {
SMS.enable = true;
} else {
SMS.enable = may_be;
}
SunNight | 2017-04-24 12:34:52 UTC | #8
Nie powaliło mnie, to jest tylko propozycja. Każdy ma prawo do oceny. Ale nie do obrazy.
Według mnie, jest to przydatne w razie bezpieczeństwa klienta.
@koweq
Chyba, że tak. Ale nie każdy ma taki problem i takie bezpieczeństwo to bardzo fajna opcja.
DoreK | 2017-04-24 12:36:39 UTC | #9
Yyy miałem napisać, że propozycja powalona :V
@DBanaszewski po polsku proszę kappa
LinGruby | 2017-04-24 12:37:17 UTC | #10
[quote=”SunNight, post:1, topic:2573”]
przy każdym logowaniu się do panelu potrzebny jest KOD SMS potwierdzający logowania do panelu
[/quote]
Sory ale to trochę przesada, jak wspomniał @DoreK w bankach niema czegoś takiego przy logowaniu jak są to przy przelewach i to większych kwot ;-)
[quote=”DBanaszewski, post:4, topic:2573”]
logowaniu OAUTH (tj. Google Authenticator)
[/quote]
A co do tego może fajne jak ktoś z tego korzysta, ale nie wszyscy posiadają konta w Google, i za automatu konto Google by musiało być połączone z kontem LVLUP.
A z drugiej strony Google to żadna wykładnia też są przejęcia kont etc. itp.
Jak dla mnie może zostać tak jak było i było dobrze.
DoreK | 2017-04-24 12:43:33 UTC | #11
Pierwszy raz spotykam się z czymś takim żeby hosting miał tego typu zabezpieczenia, przecież nawet ovh nie ma czegoś takiego że trzeba kod sms podawać a przecież jest to hosting który działa na skalę światową…
LinGruby oczywiście ma rację ;)
/edit: Jeżeli tak bardzo zależy wam na bezpieczeństwie - może nocaptcha recaptcha? :)
Nieznajomy11 | 2017-04-24 12:43:32 UTC | #12
A ja tak tylko od siebie dodam, że smsy też kosztują ;)
Dwuetapowa weryfikacja google jest wygodniejsza, nie muszę mieć zasięgu którego u mnie brakuje, takie smsy by mnie irytowały tylko D:
DoreK | 2017-04-24 12:44:04 UTC | #13
A może nocaptcha recaptcha? Bociki będą miały “problem” i jest to nawet, nawet…
SunNight | 2017-04-24 12:46:28 UTC | #14
OVH posiada taką opcję, stąd taka moja propozycja się ukazała na tym forum.
DoreK | 2017-04-24 12:47:17 UTC | #15
A to dziwne, bo jak ja kiedyś się logowałem to (chyba) tego nie było :)
LVLup nie jest aż tak wielkim hostingiem jak OVH i na hostingach typu pu**wka, enderszist etc. nie było czegoś takiego.
SunNight | 2017-04-24 12:47:42 UTC | #16
Wczoraj stworzyłem konto na OVH i jest w zakładce “Bezpieczeństwo” Taka opcja. Trzeba ją pierw włączyć.
DoreK | 2017-04-24 12:48:43 UTC | #17
Czyli klient ma do wyboru - włączenie albo wyłączenie, a nie przymusowo ;)
anon10657637 | 2017-04-24 12:49:34 UTC | #18
Nie, taki dodatek zwiekszylby pewnie ogolnie ceny w lvlup.pro - wszystko kosztuje i nie ma sensu wydawac pieniedzy na badziewa.
SunNight | 2017-04-24 12:49:54 UTC | #19
Tak ma do wyboru. Można tutaj to samo zrobić. Jeżeli klient by nie chciał tego typu zabezpieczenia, nie uruchamia opcji, z drugiej strony, jeżeli by chciał to włącza.
DoreK | 2017-04-24 12:50:55 UTC | #20
To zmienia postać rzeczy… to byłoby nawet niezłe w takim formacie.
Domyślnie takie zabezpieczenie jest wyłączonone, po pierwszym zalogowaniu pojawia się informacja w małym okienku na górze że można włączyć taką opcję tu->tam->tu.
SystemZ | 2017-04-24 15:50:23 UTC | #21
Kody SMS odpadają.
Są kosztowane (czyli wzrosłyby ceny usług) plus od ostatniego czasu nie są już zalecane przez NIST
https://www.schneier.com/blog/archives/2016/08/nistisno_long.html
więc mogę założyć że taka organizacja wie co mówi i że lepiej zostać przy innym dwustopniowym uwierzytelnianiu typu TOTP.
https://forum.lvlup.pro/t/dwustopniowe-uwierzytelnianie/1919
Sam też osobiście widzę problemy z kodami SMS np. słaby zasięg, roaming, źle wyszkolony personel sieci komórkowej który pozwala uzyskać dostęp do numeru osobom nieuprawnionym np. przez infolinię czy błędy w implementacji funkcji typu zdalny SMS
https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/
https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/
SystemZ | 2017-04-24 15:50:29 UTC | #22