Seneste forumindlæg
Køb / Salg
 * Uofficiel Black/White liste V3
Login / opret bruger

Forum \ Programmering og webdesign \ Hjemmeside design
Denne tråd er over 6 måneder gammel

Er du sikker på, at du har noget relevant at tilføje?

Alternativ til Passwords?

Af Monsterbruger MalloDK | 21-09-2014 09:29 | 1909 visninger | 12 svar, hop til seneste
Så jeg sidder og er i gang med at udvikle en hjemmeside til en kunde, og sikkerhed er selvfølgelig én af mine største bekymringer, da det nu er en webshop der er tale om. Den er opsat i WordPress, men vi kender jo alle det gamle trick med lige at gå op og ændre URL'en til /wp-admin Så jeg har fundet et smart plugin/app, der fungerer ved at synkronisere en individuel bølge på skærmen, med kameraet på din telefon. På den måde er det udelukkende dig der kan logge ind, da din telefon er påkrævet for at kunne logge ind. Jeg ser dette som et vældig fint alternativ til svære passwords, og vil gøre hele denne process meget nemmere for min kunde som er i slut 50'erne. Ydermere kan man bruge det som FaceBook login, gennem en Chrome Extension. Og flere services er under udvikling. Så hvad siger i? - Virker det sikkert, eller tror i det er ligeså vattet og nemt at bryde som NemID? https://getclef.com[...]
--
Carpe Diem.
#1
MalloDK
Monsterbruger
21-09-2014 09:36

Rapporter til Admin
http://www.quora.com[...] Det skal lige siges, at i denne udtalelse fra én af deres direktører, ser måden de opbevarer data ud til at være ret heftig. 2048-bit kryptering, når en standard online-transaktion ligger på 128/256bit(SSL).
--
Carpe Diem.
#2
Charly
Ultra Supporter
21-09-2014 09:41

Rapporter til Admin
Du kan altid ændre wp-admin til noget vilkårligt, hvis du vil. Hvordan ved pluginnet er det lige netop er din telefon, der benyttes? Jeg kan ikke lige gennemskue den logon-proces, du beskriver.
--
ITX: i7 4770k Gigabyte 780 Bitfenix Prodigy
#3
MalloDK
Monsterbruger
21-09-2014 09:46

Rapporter til Admin
Den binder sig til hardwaren i nøjagtig DIN telefon. Du får et 32-cifret applikations-ID, samt en 30-cifret godkendelses-nøgle. Derudover har du mulighed for fuldstændig at fjerne /wp-admin, og udelukkende bruge Clef som login. Du kan også afslutte din session fra telefonen, og bestemme hvor lang tid den pågældende session skal vare. Jeg synes det virker som et godt bud på alternativer til Passwords. Jeg kan ikke umiddelbart se nogle riscici udover Chrome appen, der kræver adgang til ALLE data du lagrer. :/
--
Carpe Diem.
#4
JD-79
Junior Supporter
21-09-2014 11:00

Rapporter til Admin
Hvad sker der, hvis man mister sin telefon?
--
I5-2500K | Asus P8Z77-V | EVGA GTX 780 Classified | 16GB Corsair DDR3 1600 MHz | Seasonic SS-860XP | XSPC RX240 Cooling kit | Dell u2713hm
#5
|Smash|
Forumansvarlig
21-09-2014 11:05

Rapporter til Admin
Du kan bruge 2-faktor auth via f.eks. Google Authenticator eller SMS
--
Bazinga! Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede. FFHAU!
#6
MalloDK
Monsterbruger
21-09-2014 11:15

Rapporter til Admin
#4 Hvis man mister telefonen, kan man altid hente app'en på en anden telefon, og logge ind på samme konto med samme mail, og et 4-cifret PIN, og derfra deaktivere kontoen. #5 Ja, jeg bruger selv Google AUTH på f.eks UnoEuro, men for en ældre herre på 57 år, der dårligt aner hvad en telefon er, er det nok ikke smart at sætte ham ind i al den slags. Det skal være nemt, hurtigt, og sikkert. Og at køre din telefon hen over skærmen for at logge sikkert ind, sågar på ALLE dine mest besøgte websites, bliver da ikke nemmere. Det minder næsten om det nye "ApplePAY" bortset fra det ikke har en skid med NFC at gøre, men det at du bruger din mobil, til at opnå effekt andetsteds, er dælme smart :)
--
Carpe Diem.
#7
jkgeyti
Mega Supporter
21-09-2014 11:45

Rapporter til Admin
#6: Det kan godt være det er nemt at bruge når det er sat op og kører, men hold da op du kræver meget af "en ældre herre på 57 år, der dårligt aner hvad en telefon er". Dit system er med garanti det eneste denne herre kender, der bruger clef, så for at komme igang kræver det at: - Kræver smartphone - Kræver at telefonen er online - Kræver kendskab til pågældende styresystems app store - Kræver muligvis at du kan dit kodeord til din iphone-konto - Kræver opsætning af app'en. - Kræver oplæring i brug af app'en. Det skal med garanti vises mindst en gang, efter at alt er sat rigtigt op. Og den support skal du igennem hver 3. måned, når han har glemt hvordan det virker, har fået ny telefon ell. noget helt 3. Gode gamle adgangskoder er langt fra optimale, men er nemme at begribe. Det er åbenlyst for enhver, at hvis man ikke kan huske et kodeord, så finder man en måde at huske det på, der fungerer for en selv - for en tech-kyndig vil det måske være at gemme det i en elektronisk password vault, og for din ældre herre vil det µuligvis være at at skrive det ned, og gemme det i den hemmelige mappe bag skattepapirerne på hylden. Faktisk finder jeg, at den bedste løsning er at give kunder kryptiske kodeord med en sætning om hvordan kodeord normalt ikke er sikre nok. Jeg kunne ikke være mere ligeglad med om de bruger "hest" som kodeord, men hvis jeg giver dem et kodeord de ikke kan huske, og ikke kan ændre, så skriver de det ned - og så slipper jeg for emails hver 2. måned om at de har glemt at kodeordet var "hest".
--
http://www.jkg.dk[...]
#8
Skott-Pall-Triis
Ny på siden
21-09-2014 11:55

Rapporter til Admin
#6 Så alle kan få adgang hvis de kender din email? Det er jo ikke fordi en 4 karakter lang pinkode giver særlig mange muligheder. Så ligger det svageste led jo der i stedet for. Giver ikke meget mening.
--
#9
MalloDK
Monsterbruger
21-09-2014 12:02

Rapporter til Admin
#7 Jeg tror ikke rigtig du har prøvet systemet? Man installerer, og opsætter app'en ÉN gang, that's it. Ingen service, ingen undervisning, ingenting. Det er derfor det er så nemt. Opsætningen vil undertegnede naturligvis stå for, men jeg tror nu nok han overlever at skulle svinge mobilen forbi skærmen for at logge ind. Sikkerheden ligger i, at han IKKE skal huske én eller anden kryptisk kode som jeg giver ham, IKKE skal skrive den ned nogle steder overhovedet, og IKKE skal tænke på om andre logger på hans webshop. Med denne app er man både sikret mod at glemme koden, såvel som brute-force, keylogs, eller andre grimme ting. Det er 100% min overbevisning at vi før eller siden skifter de gamle nedskrevne adgangskoder ud, med ny moderne teknologi, med dette som eksempel.
--
Carpe Diem.
#10
MalloDK
Monsterbruger
21-09-2014 12:05

Rapporter til Admin
#8 Igen, AL form for login, og bruger-oplysninger binder sig til hardwaren. Ganske som et OEM OS. Det eneste du har mulighed for, er at deaktivere din konto. Så uanset om nogle så SKULLE få adgang, kan de ikke se dine passwords, eller logge ind. Selve systemet er stadig under udvikling, jeg ser blot masser af potentiale i det.
--
Carpe Diem.
#11
Gæsten
Gæst
21-09-2014 15:19

Rapporter til Admin
Jeg forstår ikke hvad du mener med "Nemt at bryde som NemId" Jeg tror det største sikkerhedsproblemer du kan have er huller i Wordpress selv. Du kunne jo eventuelt fjerne administrationsdelen og have den liggende på en anden server.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#12
jkgeyti
Mega Supporter
21-09-2014 18:32

Rapporter til Admin
#7: Jo - min pointe var at du tager ansvaret for opsætning fra kunden, hvorfor du risikerer at opsætte og vedligeholde flere gange, i tilfælde af nogen former for problemer, telefonopgraderinger, platformskift etc. Du låser kunden fast på bestemte platforme, og bestemt hardware. Det er måske ikke et problem, men det virker unødvendigt. Teknologien er vældig smart, og mens implementationen er ny, er ideen det langt fra. For 5 år siden var det fx bare QR koder. Clef er ikke open source, følger ingen standarder, så husk at tage stilling til hvad der sker i hele din hjemmesides levetid. Hvad med om 5 år, når Clef muligvis ikke længere eksisterer? Sammenlignet med andre, mindre polerede alternativer, har Clef har oven i købet den bagside, at det kræver at deres servere er online. Så ikke bare risikerer du at login-app'en ikke bliver opdateret, du risikerer at den bliver fjernet! Jeg skal selvfølgelig ikke fortælle hvad du skal gøre, men jeg ville godt nok personligt passe på med at "købe ind" til en relativt uprøvet teknologi, som kun ejeren selv siger er auditet. En anden detalje, bare til oplysning. De 2048 og 256 bit kan ikke sammenlignes. Den ene er til RSA, den anden til SSL. 2048 bit RSA kryptering er ikke velegnet til at kryptere store mængder data meget hurtigt, og symmetrisk kryptering ikke bruger en public/private arkitektur som du har brug for. Du bruger derfor din "meget sikre" 2048 bit RSA key til kryptere og dekryptere din "usikre" symmetriske 256 bit SSH key, som ellers bruges til data-kommunikation derfra. 2048 bit assymetrisk til udveksling af 256 bit symmetriske nøgler har været standard længe, og 1024 bit nøgler er ved at blive udfaset på nettet.
--
http://www.jkg.dk[...]

Opret svar til indlægget: Alternativ til Passwords?

Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login
NYHEDSBREV
Afstemning