PHP 2-Factor Autorisatie (2FA)
Pagina: 1 2 3 4 5 6 volgende »
Ik ben bezig met een 2FA systeem.
Misschien kent u dat wel van Google Authenticator. Dat een gebruiker dat wil inloggen, eerst een email krijgt waar een code in staat en vervolgens die code moet invoeren om uiteindelijk in te kunnen loggen.
Nu ben ik bezig met zo'n systeem, maar ik wil geen externe API'S gebruiken. (Bijv. Google Authenticator)
In plaats daarvan wil ik een eigen systeem maken.
Maar hoe zal ik dit het best aanpakken?
Een token genereren natuurlijk, met $token = random_bytes(5).
En een verloopdatum met $expires = date(U) + 300;
Zijn er nog extra kolommen die ik moet toevoegen in de MYSQLI database, om de veiligheid van dit systeem te verbeteren, of nog andere (veiligheids)suggesties?
Alvast bedankt,
Maar nog iets anders?
(SSL = Let's Encrypt)
Je zou alle data ook gewoon in de sessie op kunnen slaan. Dan is een kleine extra check dat ze in de aanvragende sessie zitten (en niet klaarzitten in een andere sessie om de 2FA code in te toetsen). Maar omdat je toch een vrij korte time-out hebt, en zal de sessie toch nog wel bestaan. Scheelt je weer gedoe in de database. Dit is alleen niet handig als je de code in een mailtje stuurt, met daarin een link om de code te valideren (misschien opent de link in een andere browser dan de gebruiker op dat moment zit - veel mensen hebben IE als "standaard browser", maar doen alles in Chrome).
Toevoeging op 08/03/2019 20:58:53:
O, en session_regenerate_id() na een succesvolle invoer.
En zorg voor uitgebreide mogelijkheden om inlogsessies te kunnen beheren, en dat je de gebruiker een andere sessie kan laten uitloggen.
Gewijzigd op 08/03/2019 21:08:07 door - Ariën -
Ook UserAgent string kan wijzigen, bijvoorbeeld als iemand tussen aanvragen 2FA code en invoeren een browser update door z'n strot kreeg (dan is het versienummer in de UA-string gewijzigd).
Ik zou je adviseren TOTP (https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm) zelf te implementeren.
Als je wat rond zoekt zijn er al veel github projecten te vinden met een implementatie daarvan. Als best practice wordt btw aangeraden op -1 ook goed te keuren, zodat als je code eigenlijk elke 30 seconden veranderd je ook die van tot 1 minuut geleden accepteert.
Om niet telkens iemand lastig te vallen zou ik een zogenaamde 'Trusted devices' lijst gaan bijhouden. Logt iemand in met zo'n device dan doe je geen 2FA voor de komende X dagen (vaak 30 dagen). Daarna moet de persoon weer op dat device ook een 2FA doen.
De lijst is iets van:
- user_id
- device_token
- last_2fa
En dan wat velden voor informatie die je wilt tonen aan de gebruiker. Vaak iets van:
- device_browser
- device_os
- device_initial_ip
De device_token sla je op in een cookie (secure en httpOnly).
Localstorage/sessionstorages etc. zou ik niet gebruiken. Niet alle browsers en mobile telefoons kunnen er mee overweg. Het is altijd JS en er zijn nog veel meer nadelen te benoemen.
Voordeel van zo'n lijst is dat je mensen die ook kan laten inzien en devices kan laten verdwijnen.
Rob Doemaarwat op 08/03/2019 21:35:45:
IP blijft tricky: gebruikers die in beweging zijn gaan van Wifi naar 4G naar WiFi enz, en krijgen steeds een ander IP-adres.
Ook UserAgent string kan wijzigen, bijvoorbeeld als iemand tussen aanvragen 2FA code en invoeren een browser update door z'n strot kreeg (dan is het versienummer in de UA-string gewijzigd).
Ook UserAgent string kan wijzigen, bijvoorbeeld als iemand tussen aanvragen 2FA code en invoeren een browser update door z'n strot kreeg (dan is het versienummer in de UA-string gewijzigd).
Daar heb je gelijk in, maar hoe zou facebook dat dan doen?
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
<?php
// phpmailer
use PHPMailer\PHPMailer\PHPMailer;
use PHPMailer\PHPMailer\Exception;
require 'PHPMailer-master/src/Exception.php';
require 'PHPMailer-master/src/PHPMailer.php';
require 'PHPMailer-master/src/SMTP.php';
require 'connection.inc.php';
// variableen ophalen
$userName = $_GET['uid'];
$id = $_GET['id'];
$email2FA = $_POST['email2FA'];
$emailDB = $_GET['email'];
// klikvalidatie
if(!isset($_POST['2FAEnable'])) {
header('Location: ../adjust.php?error=invalidrequest');
exit();
}
else {
// code genereren
function randomtoken($size) {
$size = intval($size);
if($size == 0) {
return NULL;
}
$charSet = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
$len = strlen($charSet);
$str = '';
$i = 0;
while(strlen($str) < $size) {
$num = rand(0, ($len-1));
$tmp = substr($charSet, $num, 1);
$str = $str . $tmp;
$i++;
}
return $str;
}
$token = randomtoken(6);
$expires = date("U") + 300;
// controleren of email leeg is gelaten
if(empty($email2FA)) {
header('Location: ../2FA-Enable.php?error=emptyfields&request=valid');
exit();
}
else {
// controleren of de email geldig is
if(!filter_var($email2FA, FILTER_VALIDATE_EMAIL)) {
header('Location: ../2FA-Enable.php?error=invalidemail');
exit();
} // controleren of de email geregistreerd is
else if($email2FA !== $emailDB) {
header('Location: ../2FA-Enable.php?error=emailnotregistered');
exit();
}
else {
$cookieID = setcookie('expire', $userName, time() + (86400 * 90), "/");
$hashedToken = password_hash($token, PASSWORD_DEFAULT);
$sql = 'INSERT INTO 2fa (cookieID, token, expire date) VALUES (?, ?, ?)';
$stmt = mysqli_stmt_init($conn);
if(!mysqli_stmt_prepare($stmt, $sql)) {
echo 'mysqli insert token mislukt', error_get_last();
exit();
}
else {
mysqli_stmt_bind_param($stmt, "sss", $cookieID, $hashedToken, $expires);
mysqli_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
mysqli_stmt_close($stmt);
mysqli_close($conn);
// mail verzenden met de code
$mail = new PHPMailer(true);
try {
$mail->SMTPDebug = 2;
$mail->isSMTP(); // Set mailer to use SMTP
$mail->SMTPAuth = true; // Enable SMTP authentication
$mail->SMTPSecure = 'ssl'; // Enable TLS encryption, `ssl` also accepted
$mail->Host = 'mail.axc.nl'; // Specify main and backup SMTP servers
$mail->Port = 465; // TCP port to connect to
$mail->isHTML(true); // Set email format to HTML
$mail->Username = '[email protected]'; // SMTP username
$mail->Password = 'mijn wachtwoord'; // SMTP password
//Recipients
$mail->setFrom('[email protected]');
$mail->addAddress($userEmail); // Add a recipient
$mail->addReplyTo('[email protected]', 'Ondersteuning');
//Content
$mail->Subject = '2-Staps Autorisatie jinvantongeren.nl';
$mail->Body = "<p>Er is een verzoek binnengekomen om 2-Staps Autorisatie in te voeren op uw account. \n\r Als u dit niet was, wordt u aangeraden om uw account te <a href='jinvantongeren.nl/adjust.php'>Beveiligen</a>\n\r Uw code is: ".$token."</p><br>Met vriendelijke groeten, <br> Jin van Tongeren";
$mail->AltBody = 'Er is een verzoek binnengekomen om 2-Staps Autorisatie in te voeren op uw account. \r\n. De link is: \r\n '.$url.' \r\n Met vriendelijke groeten, \r\n Jin van Tongeren ';
$mail->send();
echo '<meta http-equiv="refresh" content="0; URL=https://jinvantongeren.nl/reset-password?reset=success&request=valid">';
exit();
}
}
}
}
}
// phpmailer
use PHPMailer\PHPMailer\PHPMailer;
use PHPMailer\PHPMailer\Exception;
require 'PHPMailer-master/src/Exception.php';
require 'PHPMailer-master/src/PHPMailer.php';
require 'PHPMailer-master/src/SMTP.php';
require 'connection.inc.php';
// variableen ophalen
$userName = $_GET['uid'];
$id = $_GET['id'];
$email2FA = $_POST['email2FA'];
$emailDB = $_GET['email'];
// klikvalidatie
if(!isset($_POST['2FAEnable'])) {
header('Location: ../adjust.php?error=invalidrequest');
exit();
}
else {
// code genereren
function randomtoken($size) {
$size = intval($size);
if($size == 0) {
return NULL;
}
$charSet = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
$len = strlen($charSet);
$str = '';
$i = 0;
while(strlen($str) < $size) {
$num = rand(0, ($len-1));
$tmp = substr($charSet, $num, 1);
$str = $str . $tmp;
$i++;
}
return $str;
}
$token = randomtoken(6);
$expires = date("U") + 300;
// controleren of email leeg is gelaten
if(empty($email2FA)) {
header('Location: ../2FA-Enable.php?error=emptyfields&request=valid');
exit();
}
else {
// controleren of de email geldig is
if(!filter_var($email2FA, FILTER_VALIDATE_EMAIL)) {
header('Location: ../2FA-Enable.php?error=invalidemail');
exit();
} // controleren of de email geregistreerd is
else if($email2FA !== $emailDB) {
header('Location: ../2FA-Enable.php?error=emailnotregistered');
exit();
}
else {
$cookieID = setcookie('expire', $userName, time() + (86400 * 90), "/");
$hashedToken = password_hash($token, PASSWORD_DEFAULT);
$sql = 'INSERT INTO 2fa (cookieID, token, expire date) VALUES (?, ?, ?)';
$stmt = mysqli_stmt_init($conn);
if(!mysqli_stmt_prepare($stmt, $sql)) {
echo 'mysqli insert token mislukt', error_get_last();
exit();
}
else {
mysqli_stmt_bind_param($stmt, "sss", $cookieID, $hashedToken, $expires);
mysqli_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
mysqli_stmt_close($stmt);
mysqli_close($conn);
// mail verzenden met de code
$mail = new PHPMailer(true);
try {
$mail->SMTPDebug = 2;
$mail->isSMTP(); // Set mailer to use SMTP
$mail->SMTPAuth = true; // Enable SMTP authentication
$mail->SMTPSecure = 'ssl'; // Enable TLS encryption, `ssl` also accepted
$mail->Host = 'mail.axc.nl'; // Specify main and backup SMTP servers
$mail->Port = 465; // TCP port to connect to
$mail->isHTML(true); // Set email format to HTML
$mail->Username = '[email protected]'; // SMTP username
$mail->Password = 'mijn wachtwoord'; // SMTP password
//Recipients
$mail->setFrom('[email protected]');
$mail->addAddress($userEmail); // Add a recipient
$mail->addReplyTo('[email protected]', 'Ondersteuning');
//Content
$mail->Subject = '2-Staps Autorisatie jinvantongeren.nl';
$mail->Body = "<p>Er is een verzoek binnengekomen om 2-Staps Autorisatie in te voeren op uw account. \n\r Als u dit niet was, wordt u aangeraden om uw account te <a href='jinvantongeren.nl/adjust.php'>Beveiligen</a>\n\r Uw code is: ".$token."</p><br>Met vriendelijke groeten, <br> Jin van Tongeren";
$mail->AltBody = 'Er is een verzoek binnengekomen om 2-Staps Autorisatie in te voeren op uw account. \r\n. De link is: \r\n '.$url.' \r\n Met vriendelijke groeten, \r\n Jin van Tongeren ';
$mail->send();
echo '<meta http-equiv="refresh" content="0; URL=https://jinvantongeren.nl/reset-password?reset=success&request=valid">';
exit();
}
}
}
}
}
Toevoeging op 09/03/2019 10:07:30:
@Jin: $_GET variabelen zijn nooit zeker. check voor gebruik of ze bestaan met isset().
Over de code hierboven: dit lijkt veel op code uit die andere thread? Wat is er op tegen om eerst alle GET/POST data te valideren en dan iemand in 1x door te sturen of terug te sturen in plaats van die geneste if-else brei? En al die foutmeldingen (?error=xyz)? Handig voor debugging wellicht, maar niet in een live systeem waarin je gedetailleerd uit de doeken doet welke informatie niet klopt.
In het algemeen is de enige terugkoppeling die je (als gebruiker) qua authenticatie zou moeten krijgen ofwel "alles ok" of "gegevens onjuist".
Gewijzigd op 09/03/2019 12:46:04 door Thomas van den Heuvel
Bijv: (dit was van een andere pagina, waar de gebruiker gegevens kon aanpassen)
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php if(isset($_GET['error'])) {
if($_GET['error'] == 'emptyfields') {
echo '<p class="text-danger" style="text-align: center;">Vul alle velden in!</p>';
}
if($_GET['error'] == 'samedata') {
echo '<p class="text-danger" style="text-align: center;">Vul andere gegevens in!</p>';
}
else if($_GET['error'] == 'invalidName') {
echo '<p class="text-danger" style="text-align: center;">Vul een geldige naam in!</p>';
}
else if($_GET['error'] == 'invalidEmail') {
echo '<p class="text-danger" style="text-align: center;">Vul een geldige E-Mail adres in!</p>';
}
else if($_GET['error'] == 'pwdNotSame') {
echo '<p class="text-danger" style="text-align: center;">De 2 wachtwoorden komen niet overeen!</p>';
}
else if($_GET['error'] == 'fail') {
echo '<p class="text-danger" style="text-align: center;">Wijzigen mislukt. Probeer het opnieuw.</p>';
}
else if($_GET['error'] == 'pwdTooShort') {
echo '<p class="text-danger" style="text-align: center;">Wachtwoord is te kort. Minimum is 8 tekens. <a href="https://www.onlinewachtwoordgenerator.nl" target="_blank" class="btn btn-primary">Wachtwoord generator</a></p>';
}
else if($_GET['adjust'] == 'success') {
echo '<p class="text-success" style="text-align: centwer;">Het is succesvol gewijzigd!</p>';
}
else if($_GET['error'] == 'usertaken') {
echo '<p class="text-danger" style="text-align: center;">Gebruikersnaam is al in gebruik.</p>';
}
} ?>
if($_GET['error'] == 'emptyfields') {
echo '<p class="text-danger" style="text-align: center;">Vul alle velden in!</p>';
}
if($_GET['error'] == 'samedata') {
echo '<p class="text-danger" style="text-align: center;">Vul andere gegevens in!</p>';
}
else if($_GET['error'] == 'invalidName') {
echo '<p class="text-danger" style="text-align: center;">Vul een geldige naam in!</p>';
}
else if($_GET['error'] == 'invalidEmail') {
echo '<p class="text-danger" style="text-align: center;">Vul een geldige E-Mail adres in!</p>';
}
else if($_GET['error'] == 'pwdNotSame') {
echo '<p class="text-danger" style="text-align: center;">De 2 wachtwoorden komen niet overeen!</p>';
}
else if($_GET['error'] == 'fail') {
echo '<p class="text-danger" style="text-align: center;">Wijzigen mislukt. Probeer het opnieuw.</p>';
}
else if($_GET['error'] == 'pwdTooShort') {
echo '<p class="text-danger" style="text-align: center;">Wachtwoord is te kort. Minimum is 8 tekens. <a href="https://www.onlinewachtwoordgenerator.nl" target="_blank" class="btn btn-primary">Wachtwoord generator</a></p>';
}
else if($_GET['adjust'] == 'success') {
echo '<p class="text-success" style="text-align: centwer;">Het is succesvol gewijzigd!</p>';
}
else if($_GET['error'] == 'usertaken') {
echo '<p class="text-danger" style="text-align: center;">Gebruikersnaam is al in gebruik.</p>';
}
} ?>
Gewijzigd op 09/03/2019 13:00:38 door - Ariën -
zal ik onthouden!
Even iets anders:
Mijn mysqli prepared statement voor het invoeren van de token gegevens doet het niet.
Dit is mijn code:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
2
3
4
5
6
7
8
9
10
11
12
<?php
$sql = 'INSERT INTO 2fa (cookieID, token, expire-date) VALUES (?, ?, ?);';
$stmt = mysqli_stmt_init($conn);
if(!mysqli_stmt_prepare($stmt, $sql)) {
echo 'mysqli insert token statement is mislukt.';
exit();
}
else {
mysqli_stmt_bind_param($stmt, "sss", $cookieID, $hashedToken, $expires);
mysqli_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
?>
$sql = 'INSERT INTO 2fa (cookieID, token, expire-date) VALUES (?, ?, ?);';
$stmt = mysqli_stmt_init($conn);
if(!mysqli_stmt_prepare($stmt, $sql)) {
echo 'mysqli insert token statement is mislukt.';
exit();
}
else {
mysqli_stmt_bind_param($stmt, "sss", $cookieID, $hashedToken, $expires);
mysqli_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
?>
Ik krijg de hele tijd het bericht: mysqli insert token statement is mislukt.
Wat dus betekent dat er iets fout is in de $sql variabel.
Als ik probeer: echo error_get_last(), krijg ik geen error message te zien. Gewoon helemaal niets.
In de $sql zijn alle kolommen goed ingevoerd, zonder spelfouten.
SMS is beter, maar kost inderdaad geld (niet heel veel, kan al vanaf een paar cent), en is tegenwoordig ook vrij goed "af te vangen" (voor de echte doorzetter qua crimineel): https://www.howtogeek.com/310418/why-you-shouldnt-use-sms-for-two-factor-authentication/
@Frank:
Met een code "via de mail" heb je in ieder geval een tweede slot op dezelfde deur gedaan (naast de 1e autorisatie op je site - meestal een wachtwoord) (en misschien zit op de mail ook wel weer een 2FA - nu wel met SMS die iemand ander betaalt). Dat een gebruiker beide sleutels aan dezelfde ring hangt (of dat het zelfs dezelfde sleutel is!) kun je ook niets meer aan doen. Kortom: nog steeds beter dan niet doen.
@Jin:
Ik zou m'n code case insensitive maken. In principe volstaat enkel cijfers ook al (je hebt toch maar beperkt de tijd, en je kunt nog inbouwen dat je ook maar een beperkt aantal kansen heb - vergelijk de PIN-code op je bankpas: slechts 4 cijfers, maar ook maar 3 pogingen = toch veilig). Hoofd en kleine letters snapt niet iedereen, en sowieso moet je I (hoofdletter i), 1 (cijfer een), en l (kleine letter L) niet gebruiken (en zo zijn er nog wat, hoofdletter o, cijfer nul, enz).
@Algemeen:
Ik heb dit ooit maar platgeslagen door meerdere autorisatie methoden (MFA) te maken (en dus altijd uit te breiden als er weer een andere mogelijkheid bij komt). Voorbeelden hiervan zijn "password", "mail" (= code zoals hierboven), "token" (= token in cookie/storage), "subnet" (= juiste IP of reeks), "http" (= old scool HTTP autorisatie), enz. Elke methode geeft een true (alles OK), false (niet OK), of null (misschien, meer info nodig, bijvoorbeeld een wachtwoord, code, enz). Een "token" autorisatie kan dus in 1x true geven als het token al aanwezig is - hoeft de gebruiker niks meer voor te doen.
In de controller kan ik dan aangeven welke setjes van autorisatie methoden volstaan. Bovenstaande vertaalt zich dan naar:
- "password" en "mail", of:
- "password" en "token"
Als de gebruiker nog aan geen enkele set voldoet neem ik de set waarvoor ie het minste extra hoeft te doen (dus bij voorkeur degene met nog maar 1 ontbrekende autorisatie). Zijn er daar meer van, dan de 1e qua volgorde. In bovenstaand voorbeeld dus "password" (gewoon inloggen) en "mail" (code invoeren). Heeft ie dat gedaan dan plaats ik meteen een token, en hoeft ie voortaan (op dit apparaat) alleen nog maar een wachtwoord in te voeren (dan voldoet ie namelijk meteen aan de 2e set) (totdat het token verloopt).
Met die subnet methode kun je dan bijvoorbeeld iets doen ala
- "password" en "subnet", of:
- "password" en "mail", of:
- "password" en "token"
Zit je dus op het juiste subnet (bijvoorbeeld je lokale netwerk), dan hoef je de 2FA niet te doorlopen.
Andere autorisatie is "geo" die alleen true geeft als je uit Nederland komt (of hetzelfde land als de vorige keer). Zit je daar buiten dan moet je weer even (eenmalig) iets extra's doen (ja, ik weet van het bestaan van VPN's af).
Gewijzigd op 09/03/2019 13:18:39 door Rob Doemaarwat
Pagina: 1 2 3 4 5 6 volgende »