Hiba történt! Nem működik a JavaScript!
A böngésződben le van tiltva a JavaScript futtatása, vagy nem támogatja a JavaScript használatát. Az oldal megfelelő használatához kérjük engedélyezd a JavaScript futtatását böngésződben,
vagy frissítsd egy újabb verzióra, amely támogatja a JavaScript-et:
Firefox, Safari, Opera, Chrome, vagy az Internet Explorer 6-nál újabb verziója.

Kétlépcsős azonosítás

Utolsó módosítás 2 év óta
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Sziasztok, készülőben van egy új módosítás, kiegészítés azaz Kétlépcsős azonosítás.

Mi pontosan a kétlépcsős azonosítás?

A kétlépcsős azonosítás tulajdonképpen egy biztonsági óvintézkedés, erősítjük vele fiókunk és adataink védelmét. Mondhatjuk, hogy ezzel még egy védelmi vonalat emelünk személyes adataink vára köré.

A kétlépcsős azonosítás során két alkalommal is igazolni kell személyazonosságunkat. Ezen alkalmak során két különféle módszerrel támasztjuk alá, hogy tényleg mi vagyunk az adott fiók tulajdonosai. Az azonosítás kódokkal történik. Az első kód maga jelszavunk, a második egy általában SMS-ben telefonunkra érkező kódsor. Csak azután, hogy mindkét “sorompón” átjutottunk, akkor léphetünk be fiókunkba.

Elsőre ez macerásnak hangozhat, de nagyon fontos tudatosítani, hogy ezzel nem kiszúrunk magunkkal, hanem egy védőbázist emelünk személyes adataink köré.

Oldalunkon hamarosan bejelentkezés során egy új felület fogad, ahol kérni kell egy kódsort e-mail-ben vagy QR-kód formájában.

Ez a kód biztonsági okokból 30 másodpercig lesz érvényes.

A kódot egy mezőbe kell írni, majd beküldeni, ha megfelelő kódot adtál meg és még érvényes, akkor ezt követően történik meg a bejelentkezés az oldalra.

Röviden, tömören ennyi.
V
vizoHaladó fórumozó
Beküldve 3 év óta
Jó, hogy törődsz a biztonsággal, meglátjuk, hogy sikerül megvalósítani. :-)

Sajnos felhasználói oldalról nem túl népszerűek ezek a megoldások.
Ahogy a szolgáltatók is sorra vezetik be a szigorúbb belépési módokat, nap mint nap hallom a felhasználók szitkozódásait (rokont, kollégát, idegent egyaránt), hogy mennyire nyűgös, bonyolult meg szerintük felesleges is. Az idősebbek meg sem értik miről van szó. (Nem bántom őket, nem az Ő hibájuk.)
Akik védelmét szolgálják ezek a szigorítások, éppen azok nem értik meg, hogy ez értük van még ha kényelmetlen is...

Jelenleg én sem tervezek ilyet használni oldalamon, mert bármennyire is támogatok minden netes biztonsággal kapcsolatos törekvést a felhasználóim (haverok) nem fogják kedvelni.
Mivel csak hobbi célú oldalam van, pár e-mail címen kívül nincs érzékeny tartalom fent amit nagyon védeni kellene.
(Azt csak remélem, hogy saját érdekükben nem ugyanazt a jelszót használják nálam, mint mindenhol máshol. Tudjuk, sokaknak az a legegyszerűbb megoldás...)

De azért kíváncsian várom, mit hozol össze...
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Szia, lehetséges, hogy nem népszerű, de ez egy újabb kihívás . Teszt oldalon a tesztelés jól sikerült, aztán megpróbáltam "szebben" megoldani, hogy esetlegesen Core számára is megfeleljen és így jelenleg nem működik. Így egy kicsit várni kell, hogy ezen az oldalon lásd a működését. Este mintha láttam volna egy másik hsz-t is, azt törölted?
V
vizoHaladó fórumozó
Beküldve 3 év óta
Igen, a másikat töröltem, nem akartam agyadra menni vele: -)
De még le van mentve, ha újra belefutok a problémába majd beküldöm.
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Rendben. Tetszik

Rendszer élesítve.
Módosította Mathias 2022-03-16 16:47:37, 3 év óta
V
vizoHaladó fórumozó
Beküldve 3 év óta
Kipróbáltam mindkét módot.
Nulláról kezdve, első próbálkozásra működött mindkettő, de...

A Google hitelesítéssel szórakoztam többet, viszont az szerintem nem ezen a módon kellene működjön.

Google hitelesítő esetén a QR kód elvileg csak arra használatos, hogy az alkalmazásban felvegyem az oldalhoz tartozó fiókot. (A QR csak könnyítés, manuálisan is be lehetne pötyögni a kulcsot.)
Ha viszont már létrehoztam a fiókot, elvileg nem kellene többé QR-t olvasni, csak egy kódbeviteli mező kell, ahová a hitelesítőben megadott kódot beírom. Pont, mint az e-mailes kódküldésnél.

Tehát:
1. Feljövök az oldalra, beírom a jelszót.
2. Megkérdezi, hogy e-mailben kérem a kódot vagy Google hitelesítőt használok a kódbevitelhez.
3. Mindkét esetben (e-mail vagy google hitelesítő) feljön a kódbeviteli mező csak a Google-s hitelesítésnél a hitelesítő alkalmazásból nézem ki a kódot.
snipboard.io/yLZPvG.jpg


A mostani működéssel az a baj (ezt nyilván Te is látod), hogy a QR kód beolvasásával a hitelesítő alkalmazás a már létező fiók mellé mindig új fiókot akar létrehozni vagy a meglévőt lecserélni.
Bármelyiket is választom, ezt követően generál ugyan egy kódot az alkalmazás, de közben néha letelik a 30 másodperc és a weboldal már nem fogadja el a kódot.
(A hitelesítő alkalmazás folyamatosan cserélgeti a kódokat 30 másodpercenként, tehát nem mindegy, mikor csöppenek bele ebbe a folyamatba.)

Ez a 30 másodperc a másik problémás része a dolognak...
Elvileg nem lenne baj ha letelik a 30 másodperc, mert a következő kódot is el kellene fogadnia a weboldalnak. Ennek feltétele, hogy a 2 oldal (a kódot váró weboldal+a mobil a kódgenerátorral) időszinkronban legyen és a kódok egyszerre, szinkronban ugorjanak (szerintem így kellene működjön).

A QR belépés (amit pl. a bankok használnak) az szerintem megint más, ott a saját alkalmazásuk (OTP Internetbank, Simple app, stb.) segít az azonosításban valahogy...
Olyan, mintha a két megoldást gyúrtad volna egybe: a QR kódos azonosítést meg a hitelesítő alkalmazást.

Ui.:
Van egy elírás is a QR kódos szövegben:
"Ezt követően nyisd meg a telepített Google Hitelesítő applikációt, majd a QR-kód belovasása után a telefonodon megjelenik az ellenőrző kód. "
Módosította vizo 2022-03-16 23:18:52, 3 év óta
V
vizoHaladó fórumozó
Beküldve 3 év óta
Utólag átgondolva mondok még rosszabbat, mi lehet a gond ezzel a QR-es hitelesítési móddal: jelen formájában ez így nem véd.

Tegyük fel, hogy a Te nevedben szeretnék bejutni erre az oldalra. Tudom az e-mail címedet+belépési jelszavadatat is megszereztem/kitaláltam.
Ezeket begépelem, aztán jönne az extra védelem: a kód.
2 választásom van:

E-mail-es kódkérés
Itt elakadok, nem tudok belépni, mert az e-mail fiókodba jön a kód, de annak jelszavát nem tudom (kivéve ha ugyanaz, mint itt az oldalon).

Hitelesítő kódos belépés
Előkapom a telefonom, megnyitom a Google hitelesítőt, levillantom a QR kódot itt az oldalon, majd az appban generált kóddal simán belépek.

Szerintem a Google hitelesítős megoldás beállításának sorrendje az lenne, hogy:
1. Belépek az oldalra, pl. az e-mailes biztonsági kóddal, hogy azonosítva legyek.
2.HA MÁR így bejuttottam, csak akkor férek hozzá a QR kódhoz valahol (általában a profilban van ez a funkció) aminek segítségével létrehozom a google hitelesítőben az ehhez az oldalhoz tartozó fiókot...

Itt nálad, mintha hiányozna egy lépés, amivel az oldalra regisztrált user azonosítása megtörténik.
Az lehet, hogy 30másodpercenként változik a QR mögötti kód, de mindez nem számít, ha bárki hozzáfér és "befényképezheti" az alkalmazásba 30 másdopercenként...

Az a gyanúm, hogy a leolvasandó QR kód az egyedileg készül a webes profilhoz kapcsolódóan ezért kell előbb belépni, akkor generálódik a profilhoz egyedi kód és azzal kell létrehozni a hitelesítő fiókot az appban. (Utána kellene olvasni...)

Kipróbáltam egyik oldalon ahol regelve vagyok.
A 2 lépcsős hitelesítés beállítási lépései Google hitelesítőhöz:
1. login: e-mail cím+jelszóval
2. profil: 2 lépcsős azonosítás bekapcsolása menü -> google hitelesítő megjelölése
3. e-mail címemre jött a biztonsági kód az újabb azonosításhoz, amit a megfelelő mezőbe beírtam,
3. ezután kaptam QR kódot amit felvehettem a hitelesítő alkalmazásba.
Ráadásnak kaptam még vagy 10db biztonsági kulcsot, ha valamiért nem megy a google hitelesítő és/vagy nem férek hozzá a levélben küldött kódhoz, akkor ezekkel az elmentett biztonsági kulcsokkal is bejuthatok.
Módosította vizo 2022-03-16 23:28:27, 3 év óta
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Röviden tömören. Igen tudom, hogy nem teljesen úgy megy ahogy kellene.
A kód generálás egy külső webhelyen történik, csak így tud működni, ahogy most.

Saját app készítés hamarosan, de lehet mégsem. Most már talán úgy működik, ahogy kell, bár az idő lejárt és mégis elfogadta a kódot, igaz pár másodperce volt csak lejárva. Dühös
Kicsit átírom.
Módosította Mathias 2022-03-17 13:20:10, 3 év óta
V
vizoHaladó fórumozó
Beküldve 3 év óta
Szépen alakul ez, így már tényleg hasonlít a szokásos megoldáshoz.
Mivel a QR kód (illetve a mögötte lévő kulcs) idebent van, így már nem juthat hozzá bárki.
Jól néz ki a profilban is a megoldás, ott a titkos kulcs is.

A kérdés az, hogy a titkos kulcs -amit külső webhely generált- az össze van valahogyan rendelve ezen oldal felhasználójával?
(Elvileg a bejelentkezési jelszóval kellene összerendelni valami módon, hogy csak együtt legyenek érvényesek.)
Ha nincs összerendelve, akkor azok, akik már tagok az oldalon (mint én) még mindig be tudnak jutni másik tag belépési adataival: pl. a Te jelszavaddal és az én hitelesítőmmel, hiszen tagként már hozzáfértem a kódhoz.
Ha viszont nem engedne be a Te belépési adataiddal és az Én hitelesítőmmel, akkor szerintem a lényeg meg is van oldva.

A generált hitelesító kódot -most még- tényleg elfogadja 30 másodperc után is, de hátha sikerül megoldani azt is.
Ez talán csak akkor probléma, ha valaki meglátja az éppen generált kódot a telefonomon, mivel később felhasználhatja azt ha nem jár le rövid időn belül...

Ui.:
Ezt itt kiegészíteném a leírásban:
"Az első kód maga a jelszavunk, a második egy általában e-mail-ben érkező vagy hitelesítő alkamazással generált kód."

És egy elírás megint a szövegben:
"Fuison-Mods Fusion.BltFM.Hu"
Módosította vizo 2022-03-17 23:43:49, 3 év óta
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Minden tagnak más a titkos kulcsa, így elméletileg nem tudna belépni, kb. 1 perc után jár le a kód, ha jól emlékszem, csak nem tudom miért, mivel 30 sec van beállítva. Elírás javítva, köszönöm a hsz-t
V
vizoHaladó fórumozó
Beküldve 3 év óta
Akkor ez így szuper.
Az az 1perc szerintem nem probléma, csak kényelmesebb lesz tőle a használat, de nagy veszélyt nem hordoz magában...
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Profil majd még fejlesztve lesz, pl. kulcs törlése és új igénylése
Valamint lesz lehetőség kiválasztani, hogy mely azonosítást akarjuk használni alapértelmezettként.
V
vizoHaladó fórumozó
Beküldve 3 év óta
Ki/be lépkedek, egyszerűen és jól működik, tetszik már így is.
Amit még tervezel azzal ki is maxolod amit még tudnia kellhet. :-)
M
MathiasFőadminisztrátor
Beküldve 3 év óta
Ez remek hír. Épp én is ezt csináltam, QR képet épp lehet nem frissítette a legújabbra, így e-mailre kellet kérni. Ezt még tesztelni kell

Frissítettem a rendszert, lehet jó irány, de lehet rossz. A rendszer figyeli az ip címet és, hogy mikor jelentkeztél be utoljára. Ha IP címed változott, akkor kéri a 6 jegyű kódsort, ha már rég azaz 48 órája jelentkeztél be utoljára, akkor szintén kéri a kódot. Ezzel annyit értem el, hogy nem kell minden bejelentkezésnél kódot kérni, generálni.

IP cím változás esetén a későbbiek során egy értesítőt fog küldeni a rendszer az e-mail címre.
Módosította Mathias 2022-04-05 22:40:39, 3 év óta
V
vizoHaladó fórumozó
Beküldve 3 év óta
Működni még nem láttam, mert most kódot kért, de valóban kényelmesebbnek hangzik így.
M
MathiasFőadminisztrátor
Beküldve 3 év óta
13 óra már eltelt Mosoly még várj egy keveset Kacsint
V
vizoHaladó fórumozó
Beküldve 3 év óta
Most - 48órán belül belépve- nem kért kódot, gondolom akkor jól működik. (IP-t ugyan nem néztem meg...)
Módosította vizo 2022-04-07 22:57:20, 3 év óta
M
MathiasFőadminisztrátor
Beküldve 2 év óta
IP-d nem néztem, hogy mi, de nálam módosítottam és egyből kéri a kódsort.


Találtam egy rést a rendszerben, belehetett lépni a kód megadása nélkül, így újra írtam.

Ha már újra kódoltam, akkor mondom, miért ne írjam át szinte az egészet.
Megtörtént, így most jelenleg nem kell Core fájlt módosítani.

Ha minden igaz működik is. ;)

Van még jó pár kódsor amit bele kell tenni és van olyan is, amit ki kell venni, hamarosan felteszek ide a fórumba egy teszt verziót.

Ez sem vált be teljesen, csak módosítani kell egy core fájlt, de csak alig. Itt már a legújabb verzió van fent remélhetőleg hiba menetesen.

Remélem nem marad ki belőle semmi és nem túl nagy marhaságot írtam a nyelvi fájlokba.
Módosította Mathias 2022-05-14 19:19:18, 2 év óta
Nincs hozzáférésed a csatolt fájlok megtekintéséhez
Te tudsz megtekinteni a társalgásokat a fórumon.
Te nem tudsz témát indítani a fórumon.
Te nem tudsz hozzászólni ehhez a témához.
Te nem tudsz szavazást indítani a fórumon.
Te nem tudsz csatolmányt feltölteni a fórumra.
Te nem tudsz csatolmányt letölteni a fórumról.
Te nem tudsz értékelni a hozzászólásokat ezen a fórumon.
Te nem tudsz létrehozni Bounty-t ebben a témába.
Felhasználók a témában: Mathias, vizo
Bejelentkezés
Még nem regisztráltál?
Regisztráció
Új jelszó kérése
Ünnepeltjeink
A webhely használatával elfogadja adatvédelmi beállításainkat, és megértette, hogy cookie-kat használunk. Bizonyos Cookie-k már be vannak állítva.
Kérjük, kattintson a Elfogadom gombra, hogy elrejtse ezt a sávot. Ha továbbra is használja a webhelyet, akkor feltételezzük, hogy egyetért az adatvédelmi irányelveinkkel. Itt többet megtudhat adatvédelmi irányelveinkről