PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
M

Is dit deze beveiliging de moeite waard?

Door Mark Hogeveen op 13-08-2015 12:26 gewijzigd op 13-08-2015 12:29
2.392 views
Hallo,

Ik was bezig met een 2 step login te maken.
Een 2 step login bestaat altijd uit iets dat de gebruiker weet, zoals een gebruikersnaam/email en wachtwoord, en iets dat de gebruiker heeft. Zoals een telefoon, random reader, vinger afdruk of usb-stick.
Ik dacht dus het volgende te maken:

Inloggen met emailadres en wachtwoord. Als gegevens correct zijn, dan naar stap 2.

Bij stap 2 wordt een code (van bijv. 8 cijfers) gemaakt en in een sessie gezet.
Dan wordt die code versleuteld met rijndael.

De cipher van die 8 cijferige code is redelijk kort, waardoor deze in een QR code past.

rijndael encryptie is symmetrisch. De sleutel van het account staat opgeslagen op de telefoon van de gebruiker van dat account.
Met een app op de telefoon wordt de QR code gelezen, waardoor de app de cipher heeft. De sleutel heeft de app ook en zo wordt de cipher ontsleuteld en verschijnt de 8 cijferige code op het scherm van de telefoon.
De gebruiker vult de cijfercode in op de web pagina op de pc. De code staat ook in de sessie, dus PHP kan controleren of het de juiste code is.

Heeft dit zin?
De rijndael sleutel is altijd hetzelfde voor het account, dus je zou eigenlijk geen 8 cijferige code hoeven te gebruiken om een telefoon te identificeren. Je zou net zo goed de sleutel kunnen laten overtypen van het telefoon scherm naar de computer, maar dan is het weer meer iets dat de gebruiker "weet" en opgeslagen staat op de telefoon, dan dat het iets is dat de gebruiker heeft

Ik wilde dat het telefoon gedeelte per-see zonder internet kon, vandaar de QR code om gegevens uit te wisselen tussen webpagina op pc en app op telefoon.

Als ooit iemand de sleutel uit de telefoon krijgt, maakt het niet eens meer uit of er een cijfercode wordt gevraagd... Iemand hoeft maar even je telefoon te hebben en de sleutel uit het geheugen te kopieren.
Ozzie PHP
13-08-2015 16:16
>> Heel veel mensen gebruiken hetzelfde wachtwoord voor de site en email.
>> Wat heeft de verificatie dan voor zin via email?

Dan zit dáár dus de (gebruikers)fout. Stompzinnigheid van een gebruiker kun je niet tegengaan.

Als een hacker het wachtwoord van de mailbox heeft, dan kan hij dus ook makkelijk het wachtwoord van de site verkrijgen. Als je als developer er rekening mee moet gaan houden dat iemands mailbox misschien is gehackt, dan kun je maar beter per direct stoppen met programmeren, want dan kun je niks meer fatsoenlijk beveiligen.
Randy vsf
13-08-2015 16:18 gewijzigd op 13-08-2015 16:19
Ligt er maar net aan wat voor informatie er achter de login beschikbaar is :)
Er zijn genoeg sites met gevoelige informatie die gebruik maken van zo'n soort systeem.

Dus om te zeggen dat die mensen dan per direct moeten stoppen met programmeren is een beetje krom :)

Digid geeft je ook de keuze om voor de veiligheid nog eens met SMS te bevestigen
Ozzie PHP
13-08-2015 16:26
Als extra kan het ook geen kwaad, maar ik denk niet dat je er rekening mee moet houden dat een mailbox is gehackt. Als dat zo is ben je gewoon aardig de l*l. Dan schrijf je je in bij een site, krijg je een bevestigingsmail en de hacker leest alles gewoon mee. Dan ga je dus gewoon altijd nat. Dan ligt het probleem dus op een ander, bovenliggend niveau.

Als je iemand een mail stuurt dan moet je er vanuit kunnen gaan dat die alleen wordt gelezen door de ontvanger en niet door een hacker. En als de hacker al zover is dat hij kan inloggen in de site, dan kan hij waars. ook de 2 staps verificatie uitschakelen of het tel.nr. wijzigen enz. Lijkt me lastig om daar allemaal rekening mee te houden.
M
Mark Hogeveen
13-08-2015 17:43 gewijzigd op 13-08-2015 17:44
Inderdaad, als een hacker in je mail komt heb je een heel groot probleem. (Helaas heb ik al vaker van mensen gehoord dat toch hun email is gehackt...)

Maar stel dat je een verstandige gebruiker bent, en je gebruikt een verschillend wachtwoord voor de site om in te loggen, en je email.

Om dan toegang tot het account op de site te krijgen, heb je 2 verschillende wachtwoorden nodig (van site, en van email)

Je kunt dan net zo goed bij registratie of accountinstellingen op die site 2 wachtwoorden in laten vullen, en dan bij de login ook die 2 wachtwoorden vragen. Dan staat het helemaal los van een email.
(En natuurlijk gebruik je niet het wachtwoord van je email als één van die 2 wachtwoorden)
Het komt er dus op neer dat je gewoon een login hebt met een extra wachtwoord.

Maar goed.

Weet iemand hoe je een SMS gateway kunt opzetten? Ik ga er van uit dat je dan via een ander bedrijf een sms moet laten versturen tegen betaling? (Want het lijkt me natuurlijk raar als je gratis kunt sms'sen).
Of kan het wel gratis?
Ozzie PHP
13-08-2015 17:57
>> Om dan toegang tot het account op de site te krijgen, heb je 2 verschillende wachtwoorden nodig (van site, en van email)

Euh ... ik snap niet wat je bedoelt. Om in te loggen heb ik alleen het wachtwoord van de site nodig, niet van de mail.

>> Het komt er dus op neer dat je gewoon een login hebt met een extra wachtwoord.

Nee dus.
Ramon van Dongen
13-08-2015 19:02
Ik ga er van uit dat je dan via een ander bedrijf een sms moet laten versturen

Je kunt ook zelf gaan lopen pielen met een simkaart en die aansturen etc. Via bedrijf sowieso makkelijker.

Of kan het wel gratis?

Als het een stabiel netwerk moet zijn en dus iets waar je van op aan kan, zou ik niet gaan zoeken naar iets gratis.
Deze biedt bijvoorbeeld iets gratis aan: http://www.earthsms.net/
Maar heel degelijk komt het op mij al niet over.

Reageren

Inloggen om te reageren