Uwierzytelnianie wieloskładnikowe
W tej chwili aplikacja nie obsługuje uwierzytelniania wieloskładnikowego. Wydaje mi się, że dodanie takiej funkcjonalności mogło by podnieść poziom bezpieczeństwa.
Do uwierzytelniania można użyć generatora OTP (np. Google Authenticator) lub tokenów sprzętowych (np. YubiKey).
-
Oficjalny komentarz
Dzień dobry,
w aplikacji działa weryfikacja dwuetapowa i jest opisana na stronie: https://www.infakt.pl/blog/jak-zadbac-o-bezpieczenstwo-swoich-danych/
Na ten moment nie planujemy wdrażania dodatkowego uwierzytelniania wieloskładnikowego.
Pozdrawiamy
Czynności dotyczące komentarzy -
> Łukasz Szczęsny
> W tej chwili aplikacja nie obsługuje uwierzytelniania wieloskładnikowego.
>
> Wydaje mi się, że dodanie takiej funkcjonalności mogło by podnieść poziom bezpieczeństwa.
>
> Do uwierzytelniania można użyć generatora OTP (np. Google Authenticator)
> lub tokenów sprzętowych (np. YubiKey).
Może być też Microsoft Authenticator ...
https://docs.microsoft.com/pl-pl/azure/multi-factor-authentication/end-user/microsoft-authenticator-app-how-to
Choć wydaje mi się, że najbardziej sprawdza się uwierzytelnianie z potwierdzeniem na SMS - gdyż proste i do zaimplementowania dla każdego.
Podobnie ma np. Google, Microsoft i inne popularne serwisy:
https://twofactorauth.org/
Użycie tokena sprzętowego (np. YubiKey) wiązałby się z dodatkowym wydatkiem ok. 200 zł - a w związku z tym, nie wiem, czy to aż tak byłoby popularne.
-
A kiedy będzie można zobaczyć uwierzytelnianie wieloskładnikowe na produkcji?:>
Mówiąc wprost, zabawa w SMS i przepisywanie jego treści jest strasznie niewygodne, wcale nie jest takie bezpieczne, a przez te 3 ostatnie lata (od zgłoszenia zapotrzebowania na funcjonalność) świat poszedł w tej materii mocno do przodu. -
Słabo, że nie ma takich planów, a to z kilku względów:
- pozwoliłoby to na obniżenie kosztów usługi o niepotrzebnie wysyłane SMSy
- przy obecnym modelu opartym o SMSy, klienci są narażeni na atak typu SIM SWAP (ciekawe co będzie przy pierwszym skutecznym ataku na Waszego klienta - czy taniej będzie pozostać przy SMSach, iść do prawników, później do sądu i płacić ewentualne odszkodowania, czy może już dziś zacząć pracę nad tą funkcjonalnością?):
https://niebezpiecznik.pl/tag/sim-swap-fraud
Zaloguj się, aby dodać komentarz.
Komentarze
Komentarze: 10