Jump to content
1337

Autentificarea cu doi factori pe RST

Recommended Posts

Posted

Ma scuzi @1337 dar mie nu mi se pare necesara chestia asta pe un forum! Adica daca esti atat de neatent incat sa iti fie frica ca baza de date a rst e la gabori si plm, o sa gresesti in alta parte...Secretele care ai vrea sa le protejezi nu au ce cauta pe un forum, punct! Cand vine vorba de valori(bani, proiecte importante etc.) sunt de acord ca e musai sa fie autentificare in 2 pasi, dar in rest nu....cred ca doar irita lumea.

Posted

Eu nu inteleg ceva, inteleg ca baza de date este la gabori, dar nu inteleg autentificarea in doi pasi, cum adica ( DE CE )?Tu vrei sa nu se poata loga gaborii pe contul tau sau ce, omule?Tu crezi ca aia ti se logheaza in contul tau?Doamne fereste de are vreun sens ce ai spus mai sus...

Posted (edited)
  DaLy said:
inteleg ca baza de date este la gabori

Este un db fara adrese ip. Toate au fost inlocuite de mine cu cateva zile inainte (127.0.0.1) iar restul de autentificari sunt cu adresa ip a frontendului.

Edited by aelius
Posted

V-au dat baietii SSL, aveti sistem de private messaging, aveti buton de delete in el, socks-uri pe net cat sunt ungurii de prosti, mai departe nu e problema nimanui in ce cacaturi umblati.

Atat timp cat dupa ce un mesaj e sters, nu se face vreun backup pe undeva, eu zic ca s-a facut destul pe aici.

Posted (edited)
  Elohim said:
V-au dat baietii SSL, aveti sistem de private messaging, aveti buton de delete in el, socks-uri pe net cat sunt ungurii de prosti, mai departe nu e problema nimanui in ce cacaturi umblati.

Atat timp cat dupa ce un mesaj e sters, nu se face vreun backup pe undeva, eu zic ca s-a facut destul pe aici.

Chiar crezi ca SSL-ul rezolva totul?Uita-te aici: Google users targeted by forged security certificate - Telegraph

2FA-Auth este pentru siguranta utilizatorului (NU ALA CARE FACE MAGARII PE RST).De unde stii ca nu se face backup la mesaje?In baza aia de date sunt niste hash-uri, e o chestiune de timp pana le sparg pe toate,socks-urile iarasi nu te apara de nimic daca esti inapt si nu stii sa le folosesti.

Thread-ul e deschis in categoria "sugestii" deci nu inseamna ca o sa se implementeze sau nu, asta ramane la latitudinea lui Nytro.

  DaLy said:
Eu nu inteleg ceva, inteleg ca baza de date este la gabori, dar nu inteleg autentificarea in doi pasi, cum adica ( DE CE )?Tu vrei sa nu se poata loga gaborii pe contul tau sau ce, omule?Tu crezi ca aia ti se logheaza in contul tau?Doamne fereste de are vreun sens ce ai spus mai sus...

De ce cacat te-ar deranja un sistem de genul mai ales cand e FACULTATIV, daca vrei il activezi iar daca nu,nu.Data viitoare adu niste argumente solide, eu vreau sa cred ca le-am adus deja.

Edited by 1337
Posted

Legat de faza cu gaborii: Voi chiar crede?i c? parolele sunt ?inute in plain text in baza de date? :|

Ideea ar fi bun?, dar nu cred c? se merit? aplicat? ?i nici nu cred c? o s? se oboseasc? cineva. Dac? chiar e s? fie aplicat?, mai bine cu un Authentification Grid (ca la Last Pass) sau eventual s? vorbi?i cu @Cheater. El are un SMS Gateway pus la punct ?i poate e de acord s?-l folosim la 2FA-Auth.

Posted (edited)

La o autentificare cu sms, automat in caz de "magarie" daca se confisca iar serverele, o sa aiba acces si la numarul de telefon :). Ulterior, se poate face tracking/istoric pe localizarea telefonului, apeluri, sms-uri si alte elea :) inclusiv numerele de telefon anterioare/ulterioare folosite in acel telefon, identificate/localizate dupa IMEI-ul telefonului.

Un vechi proverb spune "Ai grij? s? nu cazi din lac în pu?".

Edited by Sithalkes
Posted
  Sithalkes said:
La o autentificare cu sms, automat in caz de "magarie" daca se confisca iar serverele, o sa aiba acces si la numarul de telefon :). Ulterior, se poate face tracking/istoric pe localizarea telefonului, apeluri, sms-uri si alte elea :) inclusiv numerele de telefon ulterioare folosite in acel telefon, identificate/localizate dupa IMEI-ul telefonului.

Un vechi proverb spune "Ai grij? s? nu cazi din lac în pu?".

Num?rul de telefon va fi ?inut criptat în baza de date, iar cheia de decriptare va fi parola raw, introdus? la logare.

Posted

Cea mai eficienta metoda privind costul este ca al doilea factor sa fie un email de la gmail, iar acel email sa aibe autentificarea oferita de google prin SMS.

Gen, RST trimite mail la gigel@gmail.com, iar Gigel trebuie sa se conecteze la gmail pentru a vedea mailul cu codul pentru autentificare, google trimite SMS iar Gigel e fericit ca are autentificare in "trei factori".

Posted (edited)

Teoretic vorbind, implementarea celei de-a doua metoda de autentificare, este relativ folosituare in prea putine cazuri (din punctul meu de vedere) :

1. Anti-tepe (anti-furt).

"Nu i-am dat eu teapa, poti sa te uiti in loguri, mi-a furat cineva contul si a vorbit in locul meu si i-a dat teapa lui X"

Ar mai scapa adminii de verificari and stuff, aici ar fi foarte folositor ce-a de-a doua metoda de autentificare, zic eu.

2. Paranoia.

Mergi la un prieten, mergi la o sala de internet, ai un keylogger (fara sa stii, binenteles), etc.

3. Pentru ochii lumii.

Depinde de ochii lumii in functie de ce metoda de autentificare s-ar folosi pe RST, ar deschide ochii si altor persoane pentru o implementare asemanatoare, pentru site-urile proprii. Aici daca s-ar gasi o metoda super tare, ingenioasa (desi nu vad altele in afara de sms, email, aplicatie pt telefoane si tablete), daca s-ar gasi o metoda unica.

Sa nu va treaca prin cap ca daca ar exista a doua metoda de autentificare, v-ar ajuta sa faceti mai multe ilegalitati sau sa opreasca in vre-un fel politia.

Dpmdv ar fi indicat sa spuneti voi la ce ar fi de folos a al doilea factor, dupa care sa spuneti voi care ar fi acesta (al doilea factor). Pentru ca daca nu s-ar gasi nici un folos (bine intemeiat), atunci nu are rost de implementat.

@sleed niciodata sa nu spui ca RST este prea securizat. Niciodata nu ai sa auzi pe absolut nimeni ca o sa zica "X este prea securizat". Niciodata si nimic, cel putin nu pentru prea multi timp, nu poate fi prea securizat.

Edited by awnly3jhc2g
Posted

Parerea mea e ca nu se merita, e foarte securizat RST-ul si nu are rost, sa fie cu verificari prin SMS-uri trimise si cerere de token etc.. pentru ca nu este Swiss Bank..

Posted
  Gecko said:
@1337 cred ca esti putin paranoic, no offence. Dar sunt si eu pro daca, cum s-a mentionat si de catre altcineva anterior, va fi optional.

Pai pentru ce mai e nevoie de parole daca continutul e si el tot acolo? :) Doar n-o sa stea aia DIN COT sa iti incerce tie conturile pe alte site-uri, chiar daca ar face crack la vreo parola. Si-ar taia singuri craca de sub picioare intr-un tribunal.

Baietii o sparg, verifica daca inca ai aceeasi parola, in caz afirmativ stau si iti urmaresc contul (stau pe el, practic).Sa va reamintesc de episodul cu vulnerabilitatea din VBSeo de pe RST?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...