MFA - narzędzia do autoryzacji
Dzień dobry,
chciałbym zaproponować alternatywne metody autoryzacji MFA podczas logowania się do inFakt. Obok dostępnego już SMSa, może warto uwzględnić takie narzędzia jak np. Microsoft Authenticator.
Czy są takie plany?
-
Oficjalny komentarz
Dzień dobry,
monitorujemy i analizujemy sugestie przesyłane przez naszych Klientów. Na ten moment jednak nie planujemy wprowadzania powyższego zabezpieczenia. Obecnie sugerujemy korzystanie z weryfikacji dwuetapowej przy użyciu kodów SMS.
Pozdrawiamy!
Czynności dotyczące komentarzy -
Dzień dobry,
Widziałem, że prośby o inny sposób MFA przewijają się w sugestiach. Bardzo proszę o poważne podejście do tego tematu zanim przeczytamy o InFakcie na Niebiezpieczniku.
Integracja z FIDO2 jest naprawdę prosta, zwłaszcza że dla Ruby jest dużo gotowców, np. https://github.com/cedarcode/webauthn-ruby
-
Dzień dobry,
Dziękuję za odpowiedź. Mimo wszystko, prosiłbym o rozważenie wprowadzenia zmiany w bliskim czasie, kody SMS nie są uważane za bezpieczną metodę 2FA. Po wpisaniu w Google "2FA SMS" dostajemy masę artykułów na ten temat, kilka z brzegu:
https://www.icsynergy.com/2020/01/reconsider-using-sms-mfa-needs/
https://plblog.kaspersky.com/2fa-practical-guide/9940/
https://blog.sucuri.net/2020/01/why-2fa-sms-is-a-bad-idea.html
Pozdrawiam
-
Pani Małgorzata Rys,
jak widać coraz więcej osób zgłasza się i popiera tę propozycję. Proszę jeszcze raz rozważyć implementację takiego rozwiązania w inFakt.
Pozdrawiam i wszystkiego dobrego w nowym roku.
-
Adam Hatak, wygląda to tak, jakby całkowita roczna opłata szła teraz wyłącznie na utrzymanie i zyski dla firmy, czy może raczej przede wszystkim na zysk. Idąc dalej, sprawia to wrażenie jakoby infakt nie planował rozwoju żadnych nowych funkcjonalności, bo żadnych od dłuższego czasu nie widać. Nawet ewidentne UXowe/funkcjonalne babole, poprawki na góra kilka godzin, nie są robione.
Jednym słowem - bierzcie co jest, albo spadajcie do kogo innego. Drogi Infakcie, z takim podejściem dość szybko wyrośnie Wam konkurencja, która Was zje. Na tym forum mamy ewidentny przykład jak traktujecie feedback od klientów, albo raczej jak ich centralnie olewacie.
Infakcie, weźce sobie do serca potrzebę ciężkiej pracy i zarazem jako noworoczne postanowienie na 2021.
-
Poza wspomnianym wyżej OTP, równie dobrą opcją zdecydowanie byłaby możliwość zatwierdzania tych akcji poprzez potwierdzenie na telefonie z zainstalowaną aplikacją. Można nawet wprowadzić do tego FaceID/czytnik linii papilarnych itd. (dokładnie jak to ma miejsce w aplikacjach wielu różnych banków).
-
Dzień dobry,
dziękuję za sugestię, na ten moment wykorzystujemy weryfikację dwuetapową, więcej szczegółów na https://www.infakt.pl/blog/jak-zadbac-o-bezpieczenstwo-swoich-danych/. Natomiast sama kwestia bezpieczeństwa jest dla nas ważna, pracujemy nad kolejnymi usprawnieniami, nie tylko w zakresie logowania - szczegóły wkrótce. Pańską sugestię, za którą jeszcze raz dziękuję, przekazałem do odpowiedniego zespołu.
Pozdrawiam -
Drodzy użytkownicy Infakt,
Czy Wam też mechanizm potwierdzania operacji z użyciem SMS szwankuje od kilku ostatnich miesięcy?
Zalogować się mogę, bo tutaj SMSy przychodzą bez problemu. Schody zaczynają się przy tych odpowiedzialnych za potwierdzenie wystawienia faktury. Nie dochodzą i trzeba czasowo wyłączać dwuskładnikowe uwierzytelnianie.
Będę wdzięczny za Wasze odpowiedzi. -
Piotrze,
To co obserwuję to czasem SMSy nie są wysyłane, muszę ponowić logowanie i za drugim, trzecim razem wiadomość z kodem jest dostarczana.
Wdrożenie rozwiązania opartego o kody w aplikacji na pewno byłoby wygodniejsze. A nawet potwierdzanie logowania w aplikacji inFakt byłoby również w porządku. -
Niestety, dalej 2FA po SMSie nie działa jak powinno i inFakt nawet nie komunikuje, co się z tą sprawą dzieje.
Co więcej wiadomo, że 2FA to nie MFA i że to dodatkowy wydatek, żeby przeprowadzić implementację, która działa poprawnie i nie generuje użytkownikom problemów.
Nie mniej, obserwując rynek, chyba warto przeanalizować podjęcie takiego wysiłku i wyprzedzić konkurencję.
Banki zaczynają aktywnie wchodzić w temat.
https://www.cashless.pl/13238-ing-wprowadzi-u2f -
Dzień dobry,
dziękuję za komentarz; nie mamy większej liczby zgłoszeń, które wskazywałyby na nagminne/większe ilości nieprawidłowości z wysyłką sms. Niemniej jednak planujemy w tym zakresie zmianę na takie rozwiązanie, które stosowane jest również przez banki. Jeszcze raz powtórzę, że bezpieczeństwo jest dla nas bardzo ważne. Pracujemy nad tym, nie chcę tu deklarować dat, czy planowanych rozwiązań, przekażę tylko, że pod uwagę brane jest również rozwiązanie typu Authenticator, natomiast co do kluczy U2F - tego rozwiązania nie planujemy.
Pozdrawiam
Zaloguj się, aby dodać komentarz.
Komentarze
Komentarze: 20