Two-factor authentication für eigenes Webprojekt

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11812

12.12.2017 - 18:36

Ich würde ein LAMP Eigenbauprojekt gerne um optionale 2FA erweitern.

Hat die Community hierfür Erfahrungsberichte oder Empfehlungen?
Sinn / Unsinn, auf was aufpassen, explizite Produktempfehlungen?

Freue mich auf Input

Punisher

Bukanier

Registered: Sep 2002
Location: Disneyland
Posts: 1857

12.12.2017 - 18:43

Zuerst musst du dich für eine Technik entscheiden. SMS sind outdated und unsicher eingestuft (zu leicht abzufangen).

Ich würds über den Google Authenticator oä machen (https://www.codementor.io/slavko/go...ation-du1082vho) oder auf hardware token setzen

Neo1010

.

Registered: May 2003
Location: -
Posts: 1209

12.12.2017 - 18:46

Zitat aus einem Post von Punisher
Ich würds über den Google Authenticator

this..

Google-Auth und fertig

Lord Wyrm

topquote owner since '17

Registered: Jan 2005
Location: wean
Posts: 1316

12.12.2017 - 18:49

Würde hier 2FA mittels Google Authenticator realisieren.

Hier gibts einige gute Anregungen

Google Authenticator available as a public service?

Is there public API for using the Google Authenticator (two factor authentication) on self-running (e.g. LAMP stack) web apps?

Link: stackoverflow.com

Punisher

Bukanier

Registered: Sep 2002
Location: Disneyland
Posts: 1857

12.12.2017 - 18:49

Zitat aus einem Post von Neo1010
this..

Google-Auth und fertig

Google-Authenticator != google auth

ich meine nur die token Generierung. Natürlich kann er ein simples authenticate by google account machen (oauth2 oä), dann entscheidet aber der user ob er 2FA aktiviert

aber ev. meinen wir eh das selbe

Neo1010

.

Registered: May 2003
Location: -
Posts: 1209

12.12.2017 - 19:28

meine eh auch den authenticator

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

12.12.2017 - 19:42

Was ihr als "Google Authenticator" betitelt heißt im Allgemeinen TOTP.

Neo1010

.

Registered: May 2003
Location: -
Posts: 1209

12.12.2017 - 19:58

Zitat aus einem Post von -=Willi=-
Was ihr als "Google Authenticator" betitelt heißt im Allgemeinen TOTP.

der Google-Authenticator kann beide

(HOTP und TOTP)

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11898

12.12.2017 - 21:14

Fuer (T|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponenten: https://johannes.truschnigg.info/bl...mit-libpam-oath

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

12.12.2017 - 22:23

Zitat aus einem Post von COLOSSUS
Fuer (T|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponenten: https://johannes.truschnigg.info/bl...mit-libpam-oath

Ich mach es z. B. mit einem YubiKey.

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16624

13.12.2017 - 00:04

Geht auch mit freeOTP von Redhat.

Totp ist dafür imho das richtige. Allerdings musst du dir überlegen wie die User zum seed kommen und wie sie ihren Account erneut ausrollen wenn sie ihre App gelöscht haben oder ein neues Smartphone haben. Daran scheitert es imho oft.

Punisher

Bukanier

Registered: Sep 2002
Location: Disneyland
Posts: 1857

13.12.2017 - 08:18

Zitat aus einem Post von COLOSSUS
Fuer (T|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponentenh

Zitat aus einem Post von Punisher
Ich würds über den Google Authenticator oä machen

steht eh schon da, Vorteil vom google authenticator ist, dass er bereits von vielen anderen großen Websites verwendet wird, und User nicht zig Token tools brauchen. Jeder andere (vertrauenswürdige) Token Generator ist natürlich wie bereits geschrieben genau so valide

Bearbeitet von Punisher am 13.12.2017, 08:20

Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11812	12.12.2017 - 18:36 Ich würde ein LAMP Eigenbauprojekt gerne um optionale 2FA erweitern. Hat die Community hierfür Erfahrungsberichte oder Empfehlungen? Sinn / Unsinn, auf was aufpassen, explizite Produktempfehlungen? Freue mich auf Input
Punisher Bukanier Registered: Sep 2002 Location: Disneyland Posts: 1857	12.12.2017 - 18:43 Zuerst musst du dich für eine Technik entscheiden. SMS sind outdated und unsicher eingestuft (zu leicht abzufangen). Ich würds über den Google Authenticator oä machen (https://www.codementor.io/slavko/go...ation-du1082vho) oder auf hardware token setzen
Neo1010 . Registered: May 2003 Location: - Posts: 1209	12.12.2017 - 18:46 Zitat aus einem Post von Punisher Ich würds über den Google Authenticator this.. Google-Auth und fertig
Lord Wyrm topquote owner since '17 Registered: Jan 2005 Location: wean Posts: 1316	12.12.2017 - 18:49 Würde hier 2FA mittels Google Authenticator realisieren. Hier gibts einige gute Anregungen Google Authenticator available as a public service? Is there public API for using the Google Authenticator (two factor authentication) on self-running (e.g. LAMP stack) web apps? Link: stackoverflow.com
Punisher Bukanier Registered: Sep 2002 Location: Disneyland Posts: 1857	12.12.2017 - 18:49 Zitat aus einem Post von Neo1010 this.. Google-Auth und fertig Google-Authenticator != google auth ich meine nur die token Generierung. Natürlich kann er ein simples authenticate by google account machen (oauth2 oä), dann entscheidet aber der user ob er 2FA aktiviert aber ev. meinen wir eh das selbe
Neo1010 . Registered: May 2003 Location: - Posts: 1209	12.12.2017 - 19:28 meine eh auch den authenticator
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	12.12.2017 - 19:42 Was ihr als "Google Authenticator" betitelt heißt im Allgemeinen TOTP.
Neo1010 . Registered: May 2003 Location: - Posts: 1209	12.12.2017 - 19:58 Zitat aus einem Post von -=Willi=- Was ihr als "Google Authenticator" betitelt heißt im Allgemeinen TOTP. der Google-Authenticator kann beide (HOTP und TOTP)
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11898	12.12.2017 - 21:14 Fuer (T\|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponenten: https://johannes.truschnigg.info/bl...mit-libpam-oath
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	12.12.2017 - 22:23 Zitat aus einem Post von COLOSSUS Fuer (T\|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponenten: https://johannes.truschnigg.info/bl...mit-libpam-oath Ich mach es z. B. mit einem YubiKey.
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16624	13.12.2017 - 00:04 Geht auch mit freeOTP von Redhat. Totp ist dafür imho das richtige. Allerdings musst du dir überlegen wie die User zum seed kommen und wie sie ihren Account erneut ausrollen wenn sie ihre App gelöscht haben oder ein neues Smartphone haben. Daran scheitert es imho oft.
Punisher Bukanier Registered: Sep 2002 Location: Disneyland Posts: 1857	13.12.2017 - 08:18 Zitat aus einem Post von COLOSSUS Fuer (T\|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponentenh Zitat aus einem Post von Punisher Ich würds über den Google Authenticator oä machen steht eh schon da, Vorteil vom google authenticator ist, dass er bereits von vielen anderen großen Websites verwendet wird, und User nicht zig Token tools brauchen. Jeder andere (vertrauenswürdige) Token Generator ist natürlich wie bereits geschrieben genau so valide Bearbeitet von Punisher am 13.12.2017, 08:20

Two-factor authentication für eigenes Webprojekt

Forum Index > Software > Coding Stuff

Redphex

Punisher

Neo1010

Lord Wyrm

Punisher

Neo1010

-=Willi=-

Neo1010

COLOSSUS

-=Willi=-

Smut

Punisher