Question:
Authentification à 2 facteurs - solution rentable pour un démarrage Web
Kim Stacks
2011-02-27 19:33:21 UTC
view on stackexchange narkive permalink

Ma banque locale utilise une authentification à 2 facteurs dans laquelle les clients saisissent le mot de passe ET un code PIN à usage unique envoyé par SMS sur un téléphone mobile OU à partir d'un jeton de sécurité.

faire un démarrage Web dans l'espace de commerce électronique.

J'ai déjà implémenté https pour des pages importantes comme la connexion. J'ai choisi une, dirons-nous, une CA SSL rentable qui porte les initiales GD.

C'est peut-être dans le futur, mais quelle est une solution rentable pour moi pour implémenter un 2 facteur l'authentification comme ma banque locale pour mes utilisateurs?

Quel fournisseur fournirait une solution rentable tout comme j'ai approché GD pour mes certificats SSL?

@keisimone - lorsque vous dites que vous avez implémenté https pour des pages importantes, vous êtes-vous assuré de ne pas utiliser de jetons / cookies, etc. de votre session http dans votre session https? En outre, vous devrez peut-être expliquer votre mesure du «rapport coût-efficacité» car cela peut varier considérablement. Considérez-vous les jetons RSA standard de l'industrie comme une solution matérielle rentable?
@Rory - J'ignore cela en veillant à ne pas utiliser de jetons / cookies de la session http. Peux-tu me donner un exemple? Cela ressemble à quelque chose que j'ai peut-être négligé.
Est-il erroné de dire simplement des moyens rentables aussi bon marché que possible sans compromettre les aspects de sécurité clés de l'implémentation de l'authentification à 2 facteurs?
@keisimone - lisez rapidement cet article sur les moutons incendiaires. http://en.wikipedia.org/wiki/Firesheep qui est utile, sinon pertinent à 100%. L'important est de réaliser que tout ce qui est utilisé dans la session non chiffrée doit être considéré comme vulnérable, donc lorsque vous vous connectez à une session sécurisée, vous devez créer de nouveaux cookies de session pour la session sécurisée.
@Rory Je ne pense pas que quiconque considère les jetons RSA comme rentables ... (Produit puissant, mais le coût n'est pas le point fort).
@AviD - Je sais, mais c'était juste pour amener l'OP à réfléchir à ce qui serait un prix raisonnable.
@keisimone - La façon de garantir que les cookies ne sont pas partagés entre les sessions est de (1) utiliser https sur tout le site et (2) d'activer l'indicateur SECURE sur tous les cookies.
@D.W. J'ai remarqué que certains sites Web autorisent parfois le trafic http mais quand il s'agit de la page de paiement, ils utilisent https. Pourquoi feraient-ils cela, si vous dites que le moyen de garantir que les cookies ne sont pas partagés entre les sessions est d'utiliser https à l'échelle du site? Une autre question. Qu'est-ce que le drapeau Activer SECURE sur tous les cookies?
@keisimone - De nombreux sites utilisent un http / https mixte parce que c'est moins cher, ou parce qu'ils pensent que ce sera moins cher (ce ne sera peut-être pas réellement le cas), ou qu'ils ne sont pas conscients des risques ou ne pensent pas que de mauvaises choses leur arriveront. En ce qui concerne le drapeau SECURE, google «quel est le drapeau sécurisé sur les cookies?» Et vous trouverez de nombreuses explications (par exemple, [1] (https://secure.wikimedia.org/wikipedia/en/wiki/HTTP_cookie#Secure_cookie ), [2] (http://www.windowsitpro.com/article/security/are-your-web-application-cookies-secure-.aspx), [3] (http://www.cookiecentral.com/ faq / # 3.3)). Utilisez Google - c'est votre ami!
Merci D.W. J'étais sur le point de poser une question sur session.secure_cookie dans les paramètres de php.ini. On dirait que c'est la même chose que le drapeau SECURE. :)
@Rory, envoyer un code par SMS n'est pas vraiment 2 facteurs ... Il * est * hors bande, et ajoute donc de la sécurité, mais un 2ème facteur non.
Onze réponses:
#1
+15
Ben
2011-05-15 17:26:09 UTC
view on stackexchange narkive permalink

Si vous souhaitez déléguer votre fonction d'authentification utilisateur à quelqu'un d'autre, l ' authentification à deux facteurs de Google est une bonne option.

J'utilise l'authentification à deux facteurs de Google avec gmail et je peux vous dire que c'est une plate-forme bien implémentée et bien pensée.
Je soutiendrais l'application Google à 2 facteurs disponible pour IPhone, Android, BB et plus. Le code est open source et vous pouvez ajouter des SMS ou des appels téléphoniques comme sauvegarde?
J'ai lu les documents. mais vous ne savez pas si cela signifie que mes utilisateurs doivent avoir un compte Google?
#2
+10
Scott Pack
2011-02-28 02:16:24 UTC
view on stackexchange narkive permalink

Je recommanderais d'examiner PhoneFacter. Je les ai examinés dans le passé et j'ai trouvé que c'était un concept très intéressant. Tout comme votre banque, ils utilisent le téléphone comme deuxième facteur et proposent soit des SMS, soit des appels vocaux directs pour vérification.

Le fait qu'ils soient "rentables" dépendra bien sûr de ce que ces mots signifient pour vous .

Ce PhoneFactor est intéressant. Cela fonctionne-t-il pour les entreprises non américaines? et l'avez-vous déjà utilisé? Soit en tant que client d'une entreprise qui a acheté les services de PhoneFactor, soit en tant que client de PhoneFactor lui-même?
Je viens d'un e-mail à PhoneFactor. Espérons qu'ils travaillent pour des entreprises non américaines. Merci.
Vous devriez pouvoir obtenir une version gratuite (10 utilisateurs ou moins) de Phone Factor. www.phonefactor.com - J'utilise ceci dans un sens beaucoup plus large et je l'aime vraiment. Il peut vous appeler et exiger un code PIN, ou simplement appuyer sur #, ou il peut également envoyer des SMS (je pense)
#3
+9
Knox
2011-02-28 19:07:56 UTC
view on stackexchange narkive permalink

Bien que je ne les ai pas utilisés personnellement, j'ai entendu de très bonnes choses de plusieurs sources à propos de YubiKey, qui est une minuscule clé matérielle qui est branchée sur le port USB d'un ordinateur et fournit essentiellement un mot de passe à usage unique. qui change à chaque fois qu'il est utilisé.

Si vous les utilisez, j'espère que vous reviendrez et mettrez à jour votre expérience.
Je regarde toutes les options. Merci Knox. Je préfère quelque chose que les utilisateurs ont déjà au lieu de leur donner un autre équipement qu'ils pourraient perdre ou abuser. J'ai vu des personnes incapables d'utiliser des périphériques USB. Ils existent, croyez-le ou non.
J'ai acheté un Yubikey pour un usage personnel. Je pense que la raison pour laquelle les banques (du moins au Royaume-Uni) n'utilisent pas quelque chose de similaire est que ce n'est pas immédiatement évident pour les utilisateurs non techniques et les décideurs des banques comment cela fonctionne.
J'utilise un yubikey. Si la disponibilité d'un port USB pour les utilisateurs finaux n'est pas un problème, c'est une très belle option à 2 facteurs. Je les recommanderais aux personnes pour une utilisation dans un tel environnement, peut-être pas si vous souhaitez utiliser des iPad ou d'autres appareils paralysés.
#4
+9
Karl Anderson
2011-04-26 23:02:03 UTC
view on stackexchange narkive permalink

Nous proposons une solution à deux facteurs chez Duo Security qui peut utiliser des jetons vocaux, SMS, d'appareils mobiles et matériels. Nos clients open-source web et unix peuvent également vous aider à évaluer vos options (les nôtres, les autres, et vers la vôtre). Clause de non-responsabilité, je suis un développeur Duo.

#5
+4
AviD
2011-02-28 01:35:15 UTC
view on stackexchange narkive permalink

Puis-je suggérer quelque chose d'un peu moins standard et envisager d'utiliser l'authentification biométrique logicielle?
Je connais quelques startups (furtives) travaillant dans cet espace ... cela peut inclure des éléments comme la dynamique du clavier , reconnaissance d'empreintes digitales via webcam, autres ...

@AviD - cela semble intéressant ...
Ma compréhension de la biométrie est qu'ils font un très mauvais jeton de sécurité, car ils ne sont pas secrets et faciles à reproduire?
@growse, Je ne pense pas que vous vous trompiez là-dessus, la biométrie est intrinsèquement une solution «assez proche» (par opposition à «quelque chose que vous avez» ou même un mot de passe, où une correspondance exacte est possible et requise). Je pense que la biométrie est généralement plus proche de l '«identification» que de l' «authentification» ... Cela dit, comme deuxième facteur, elles peuvent ajouter beaucoup de valeur - bien qu'elles ne soient souvent pas secrètes, ce n'est pas toujours facile à répliquer (et cela dépend de l'implémentation, il devrait y avoir une protection contre la «réutilisation»). Le fait est que c'est beaucoup moins cher qu'un jeton matériel ...
C'est un bon point - je peux comprendre que pour certaines applications, ils peuvent avoir une bonne application. Je me méfie simplement parce que j'ai vu une quantité injustifiée de foi dans la biométrie comme un gage, où les gens pensent résoudre tous les problèmes de sécurité.
@growse, oh absolument. Ne "résolvez pas tous les problèmes de sécurité", pas même l'authentification - je vois cela comme une sorte de compromis, car les informations d'identification sont "faciles". La gestion des identifiants *, en revanche, devient une entreprise très délicate. Mais plus que cela, la biométrie est toujours basée sur une échelle mobile, c'est-à-dire «nous * pensons * que c'est vraiment vous, plus que nous ne pensons que ce n'est pas». Cela revient vraiment à un compromis, et la biométrie logicielle étant plus disponible - et maintenant même moins chère que les jetons hw (autrefois le contraire) - je vois que c'est une solution beaucoup plus appropriée dans la plupart des cas.
#6
+3
Paweł Dyda
2011-04-28 00:05:09 UTC
view on stackexchange narkive permalink

Honte à moi, je ne connais pas les coûts, mais peut-être voulez-vous essayer l ' authentification à deux facteurs basée sur le cloud de VeriSign. Le site Web prétend qu'il est peu coûteux.

Eh bien, contrairement à de nombreux autres services, votre suggestion a résisté à l'épreuve du temps et est toujours prise en charge. L'URL fonctionne toujours aussi! Pas de "honte à vous"! La structure des coûts est ici http://www.symantec.com/verisign/vip-authentication-service/renewals-upgrades-licensing
#7
+3
Eric Falsken
2011-05-15 14:34:27 UTC
view on stackexchange narkive permalink

Bien que ce ne soit pas une réponse, je la posterai ici. J'espère vraiment que les sites de commerce électronique courants de tous les jours ne commenceront PAS à utiliser l'authentification à 2 facteurs en standard. Il doit toujours être facultatif pour les utilisateurs, sauf s'il existe une responsabilité importante (risque inacceptable + coût) exercée sur votre entreprise. Je les déteste, et ils sont horriblement ennuyeux en voyage. Cela ralentit mon expérience Web pendant que j'attends un SMS ou un e-mail et transcris le code à usage unique. Ma pire expérience a été d'essayer de recevoir un code de vérification par SMS à l'étranger et mon téléphone en itinérance.

Voici ma suggestion: utilisez la vérification des adresses e-mail et HTTPS jusqu'à ce que vous ayez le temps et l'argent pour aller plus loin. Ensuite, ajoutez-le en option, tout comme OpenID.

Même l'authentification à 2 facteurs basée sur le numéro de téléphone repose sur l'identification du numéro de téléphone de l'utilisateur. Je connais des gens qui préfèrent vous donner une carte de crédit pour vérifier leur adresse plutôt que de donner leur numéro de téléphone à un site Web aléatoire. Surtout si vous êtes dans l'espace e-commerce. Considérez la vérification d'identité comme une étape supplémentaire de l'enregistrement plutôt que comme une étape supplémentaire pour vous connecter.

Les problèmes que vous mentionnez sont tous dans la mise en œuvre. Par exemple, certains produits à deux facteurs ne nécessitent le deuxième facteur que lorsque vous vous connectez à partir d'une nouvelle adresse IP ou avec un nouveau cookie. Espérons que nous pourrons trouver un juste milieu entre convivialité et sécurité.
#8
+2
VP.
2011-07-05 03:38:28 UTC
view on stackexchange narkive permalink

Le SMS n'a jamais été un canal de qualité garantie car il fonctionne principalement en mode «feu et oublie», la vitesse de livraison dépendant de nombreux facteurs indépendants de la volonté de l'expéditeur. Vous devez également conserver le numéro de téléphone actuel de l'utilisateur et disposer d'une procédure sécurisée pour le modifier. De plus, le coût d'un SMS est encore relativement élevé. Je n'ai pas testé, je ne sais pas combien ça coûte, mais la solution semble intéressante, le problème, comme avec les SMS, que vous forcez le téléphone mobile comme condition requise pour utiliser votre site. la solution: http://www.cronto.com/visual_cryptogram.htm

#9
  0
Bruno
2011-05-15 20:50:26 UTC
view on stackexchange narkive permalink

Apache TripleSec pourrait être intéressant, même si je ne l'ai pas essayé, donc je ne suis pas sûr de sa stabilité.

Pas très; car ils n'ont même pas de version et n'ont commis aucun code cette année.
Cette URL est maintenant 404. J'ai trouvé une discussion Usenet en français via la recherche Google. Le résultat de la recherche "snippet" a noté avec une certaine surprise que Triplesec n'avait pas été mis à jour depuis 7 ans. Google a dû prendre la garde de ce groupe Usenet car Google m'a également donné un 404. C'est étrange, car Apache répertorie toujours "Apache Triplesec" comme marque dans le pied de page de son site Web.
#10
  0
user53105
2014-08-02 11:53:54 UTC
view on stackexchange narkive permalink

En tant que consultant pour les solutions d'authentification et d'autorisation, j'ai examiné plusieurs produits utilisant OTP, la biométrie et d'autres systèmes de réponse aux défis. Je trouve que Snorkel-TX d'Odyssey Technologies Limited est une solution de sécurité complète et bien conçue pour les applications Web. C'est rentable par rapport à de nombreuses autres solutions. Il peut être implémenté en très peu de temps sans aucune modification de codage de l'application Web.

#11
-1
inf0sec
2014-01-16 03:00:55 UTC
view on stackexchange narkive permalink

Pourrais-je recommander LaunchKey car ils fournissent une véritable authentification multi -factor en tant que service et que leur API et leurs applications mobiles sont toutes gratuites. Il convient également de noter que l'authentification multifacteur combine les 3 types de facteurs d'authentification possibles (connaissance, possession, héritage) et est considérée comme plus sûre que deux facteurs qui n'utiliseraient que 2 des 3. De du point de vue de la sécurité, vous devriez rechercher l'authentification multifacteur plutôt que la 2FA.

Bonjour inf0sec. Lorsque vous êtes affilié à un produit que vous recommandez, conformément à nos règles, vous devez divulguer votre affiliation dans le corps de votre message, sinon vous risquez de le signaler comme spam. Plus d'informations ici: http://security.stackexchange.com/help/behavior


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...