Modul für zweifache Auth

Hi,

ich frage mich wozu das gut sein soll oder was Du Dir davon versprichst?
Das was Du da beschreibst scheint mir äussert Benutzer unfreundlich.
Oder meinst Du vielleicht einen two legged OAuth Mechanismus?

MfG

Robert

Hi Robert,

es geht um sehr sensible Daten, daher muß sichergestellt sein, daß der User, der sich dort einloggt, auch der ist, der er vorgibt zu sein.

Ein Passwort, welches der User natürlich idealerweise auf einen Zettel schreibt, damit er es nicht vergisst, ist da zu unsicher. Eine zweite Stufe, in der ein RandomPW generiert wird und an eine Adresse geschickt wird, die der User angibt, erhöht die Sicherheit ein wenig. Da mußte das PW und den Emailaccount (Oder Mobiltelefon) kapern.

Gruß
Chris

Also,

ich meine,
dass diese Vorgehensweise die Sicherheit Deiner Seite kein bisschen erhöht.
Oft verwenden User immer das gleiche Passwort, so kann es sein dass ein User das gleiche Passwort für die Seite hat,
wie für Seinen Email Account.
Wenn Deine User so sorglos mit Ihren Passwörtern umgehen wie Du meinst, (aufschreiben liegen lassen oder weitergeben, eingelogt bleiben) ,
bist Du sowieso auf verlorenem posten.
Es ist sehr einfach die Sitzungsdaten vom Benutzer zu bekommen, wenn man Zugriff auf den PC hat.

Du kannst das in einem eigenen Modul machen schau bei hook_user_login()
Bringen wird es nix, die Passwörter sind sehr sicher in der Drupal DB.

MfG

Robert

Hi Robert,

sorry, ich war die letzten zwei Tage nur unterwegs...

Der Trick bei dieser Idee ist, daß der User ein PW zugewiesen bekommt, also auch das erste PW vergibt er nicht selber.
Die Sicherheit kann ggf zusätzlich durch das Versenden des zweiten PW durch ein SMS Modem erhöht werden. Dann braucht ein "Angreifer" das erste PW und das Mobiltel des Users

Und ja, gegen Dummheit und Sorglosigkeit von Nutzern kann man nicht viel machen, aber ich denke, das dieser Weg dem User auch ein wenig mehr Sicherheit vermittelt.

Gruß
Chris

Hallo Chris,

nun ja es kann sein das dieser Weg mehr Sicherheit vermittelt,
allerdings ist es so wie ich bereits gesagt hatte, es gibt dadurch nicht mehr Sicherheit.
Es ist Irrglaube Du könntest sensible Daten ins Internet stellen und diese
wären sicher.

Was soll das bringen, dass er das erste Passwort nicht selber vergibt, sondern zugewiesen bekommt?
Jeder kann eine online anonyme Email anmelden indem er das erste Passwort bekommt.
Es gibt Länder die haben keine Meldepflicht für Mobilfunknummern ausserdem können die leicht gespooft werden.

Wenn Dein User einen Trojaner auf seinem PC hat kannst Du machen was Du möchtest.
Sobald der User eingeloggt ist kann jeder Seine Sitzungsdaten benutzen.
Sitzen die User im gleichen Netzwerk, reicht ggf. ein TCP Sniffer.
Gegen einen 0-Day Explouit wie damals Drupageddon wärst Du ebenfalls machtlos (Da hätte Dir das mit dem SMS auch nichts genutzt).

Des weiteren, sobald Leute sich bei Dir anonym mit Ihrer Handy Nummer registrieren können,
läufst Du Gefahr, dass Du SMS an Premium Nummern sendest!
Selbst bei Sicherheit auf IP Level, gebt es immer noch "man in the middle" Attacken
Bedenke, dass Hacker sogar den Bundestag hacken konnten.

Das sicherste wäre allenfalls ein getrenntes Netz zu haben, welches nicht übers Internet zugänglich ist(wie Banken Versicherungen, etc).
Oder, Du beschäftigst ein Team von Sicherheitsexperten,
welche täglich Benutzer, Daten sowie Angriffe konsolidieren.

Wenn es Dir allerdings nur ums vermitteln von Sicherheit geht, kannst Du das natürlich machen,
aber gegen fast alle bekannten Angrife bist du trotzdem machtlos, sorry.

LG

Robert

Hallo,

wie wärs denn damit?
https://www.drupal.org/project/ga_login

Damit hättest Du eine professionelle Lösung für das Problem.