Two-factor authentication für eigenes Webprojekt

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/two-factor-authentication-fuer-eigenes-webprojekt_250315/page_1 - zur Vollversion wechseln!

Redphex schrieb am 12.12.2017 um 18:36

Ich würde ein LAMP Eigenbauprojekt gerne um optionale 2FA erweitern.

Hat die Community hierfür Erfahrungsberichte oder Empfehlungen?
Sinn / Unsinn, auf was aufpassen, explizite Produktempfehlungen?

Freue mich auf Input

Punisher schrieb am 12.12.2017 um 18:43

Zuerst musst du dich für eine Technik entscheiden. SMS sind outdated und unsicher eingestuft (zu leicht abzufangen).

Ich würds über den Google Authenticator oä machen (https://www.codementor.io/slavko/go...ation-du1082vho) oder auf hardware token setzen

Neo1010 schrieb am 12.12.2017 um 18:46

Zitat aus einem Post von Punisher
Ich würds über den Google Authenticator

this..

Google-Auth und fertig

Lord Wyrm schrieb am 12.12.2017 um 18:49

Würde hier 2FA mittels Google Authenticator realisieren.

Hier gibts einige gute Anregungen

Google Authenticator available as a public service?

Is there public API for using the Google Authenticator (two factor authentication) on self-running (e.g. LAMP stack) web apps?

Link: stackoverflow.com

Punisher schrieb am 12.12.2017 um 18:49

Zitat aus einem Post von Neo1010
this..

Google-Auth und fertig

Google-Authenticator != google auth

ich meine nur die token Generierung. Natürlich kann er ein simples authenticate by google account machen (oauth2 oä), dann entscheidet aber der user ob er 2FA aktiviert

aber ev. meinen wir eh das selbe

Neo1010 schrieb am 12.12.2017 um 19:28

meine eh auch den authenticator

-=Willi=- schrieb am 12.12.2017 um 19:42

Was ihr als "Google Authenticator" betitelt heißt im Allgemeinen TOTP.

Neo1010 schrieb am 12.12.2017 um 19:58

Zitat aus einem Post von -=Willi=-
Was ihr als "Google Authenticator" betitelt heißt im Allgemeinen TOTP.

der Google-Authenticator kann beide

(HOTP und TOTP)

COLOSSUS schrieb am 12.12.2017 um 21:14

Fuer (T|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponenten: https://johannes.truschnigg.info/bl...mit-libpam-oath

-=Willi=- schrieb am 12.12.2017 um 22:23

Zitat aus einem Post von COLOSSUS
Fuer (T|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponenten: https://johannes.truschnigg.info/bl...mit-libpam-oath

Ich mach es z. B. mit einem YubiKey.

Smut schrieb am 13.12.2017 um 00:04

Geht auch mit freeOTP von Redhat.

Totp ist dafür imho das richtige. Allerdings musst du dir überlegen wie die User zum seed kommen und wie sie ihren Account erneut ausrollen wenn sie ihre App gelöscht haben oder ein neues Smartphone haben. Daran scheitert es imho oft.

Punisher schrieb am 13.12.2017 um 08:18

Zitat aus einem Post von COLOSSUS
Fuer (T|H)OTP braucht man ueberhaupt keine Google-App bzw. -Komponentenh

Zitat aus einem Post von Punisher
Ich würds über den Google Authenticator oä machen

steht eh schon da, Vorteil vom google authenticator ist, dass er bereits von vielen anderen großen Websites verwendet wird, und User nicht zig Token tools brauchen. Jeder andere (vertrauenswürdige) Token Generator ist natürlich wie bereits geschrieben genau so valide