Frage:
2-Faktor-Authentifizierung - kostengünstige Lösung für ein Web-Startup
Kim Stacks
2011-02-27 19:33:21 UTC
view on stackexchange narkive permalink

Meine lokale Bank verwendet eine 2-Faktor-Authentifizierung, bei der Kunden ein Passwort UND eine einmalige PIN eingeben, die per SMS an ein Mobiltelefon oder von einem Sicherheitstoken-Gerät übermittelt wird.

Ich bin es Ein Web-Startup im E-Commerce-Bereich durchführen.

Ich habe bereits https für wichtige Seiten wie die Anmeldung implementiert. Ich habe eine kostengünstige SSL-Zertifizierungsstelle mit den Initialen GD gewählt.

Dies mag in der Zukunft liegen, aber was ist für mich eine kostengünstige Lösung, um einen 2-Faktor zu implementieren Authentifizierung wie meine lokale Bank für meine Benutzer?

Welcher Anbieter würde eine kostengünstige Lösung bieten, genau wie ich mich für meine SSL-Zertifikate an GD gewandt habe?

@keisimone - Wenn Sie sagen, dass Sie https für wichtige Seiten implementiert haben, haben Sie sichergestellt, dass Sie in Ihrer https-Sitzung keine Token / Cookies usw. aus Ihrer http-Sitzung verwenden? Darüber hinaus müssen Sie möglicherweise Ihre Messung der „Kosteneffizienz“ erläutern, da dies sehr unterschiedlich sein kann. Betrachten Sie die RSA-Token nach Industriestandard als kostengünstige Hardwarelösung?
@Rory - Ich weiß nicht, ob ich keine Token / Cookies aus der http-Sitzung verwenden soll. Kannst du mir ein Beispiel geben? Klingt nach etwas, das ich vielleicht übersehen habe.
Ist es falsch, einfach zu sagen, dass kostengünstige Mittel so billig wie möglich sind, ohne die wichtigsten Sicherheitsaspekte der Implementierung der 2-Faktor-Authentifizierung zu beeinträchtigen?
@keisimone - Lesen Sie diesen Artikel über Feuerschafe kurz durch. http://en.wikipedia.org/wiki/Firesheep, was nützlich ist, wenn nicht 100% relevant. Wichtig ist, dass alle in der unverschlüsselten Sitzung verwendeten Elemente als anfällig eingestuft werden. Wenn Sie sich also bei einer sicheren Sitzung anmelden, sollten Sie neue Sitzungscookies für die sichere Sitzung erstellen.
@Rory Ich glaube nicht, dass irgendjemand RSA-Token als kostengünstig ansieht ... (Leistungsstarkes Produkt, aber die Kosten sind nicht die Stärke).
@AviD - Ich weiß, aber es war nur, um das OP dazu zu bringen, darüber nachzudenken, was ein vernünftiger Preis wäre.
@keisimone - Um sicherzustellen, dass Cookies nicht zwischen Sitzungen geteilt werden, müssen Sie (1) https-weit verwenden und (2) das SECURE-Flag für alle Cookies aktivieren.
@D.W. Ich habe einige Websites bemerkt, die manchmal HTTP-Verkehr zulassen, aber wenn es um die Checkout-Seite geht, verwenden sie https. Warum sollten sie das tun, wenn Sie sagen, dass der Weg, um sicherzustellen, dass Cookies nicht zwischen Sitzungen geteilt werden, die Verwendung von https auf der gesamten Website ist? Eine andere Frage. Was ist das Aktivierungs-SECURE-Flag für alle Cookies?
@keisimone - Viele Websites verwenden gemischte http / https, weil es billiger ist oder weil sie denken, dass es billiger sein wird (es ist möglicherweise nicht wirklich so), oder weil sie sich der Risiken nicht bewusst sind oder nicht glauben, dass ihnen schlimme Dinge passieren werden. Was das SECURE-Flag betrifft, googeln Sie "Was ist das sichere Flag für Cookies?" Und Sie finden viele Erklärungen (z. B. [1] (https://secure.wikimedia.org/wikipedia/en/wiki/HTTP_cookie#Secure_cookie) ), [2] (http://www.windowsitpro.com/article/security/are-your-web-application-cookies-secure-.aspx), [3] (http://www.cookiecentral.com/ faq / # 3.3)). Verwenden Sie Google - es ist Ihr Freund!
Vielen Dank, D.W. Ich wollte gerade eine Frage zu session.secure_cookie in den php.ini-Einstellungen stellen. Sieht so aus, als wäre es dasselbe wie die SECURE-Flagge. :) :)
@Rory,, das einen Code über SMS sendet, ist nicht wirklich 2 Faktor ... Es * ist * außerhalb des Bandes und erhöht somit die Sicherheit, aber ein zweiter Faktor ist es nicht.
Elf antworten:
Ben
2011-05-15 17:26:09 UTC
view on stackexchange narkive permalink

Wenn Sie bereit sind, Ihre Benutzerauthentifizierungsfunktion an eine andere Person zu delegieren, ist die Zwei-Faktor-Authentifizierung von Google eine gute Option.

Ich verwende die Zwei-Faktor-Authentifizierung von Google mit Google Mail und kann Ihnen sagen, dass es sich um eine gut implementierte und gut durchdachte Plattform handelt.
Ich würde die Google 2-Faktor-App unterstützen, die für IPhone, Android, BB + mehr verfügbar ist. Der Code ist Open Source und Sie können SMS oder Telefonanrufe als Backup hinzufügen?
Ich habe die Dokumente gelesen. aber nicht sicher, ob es bedeutet, dass meine Nutzer ein Google-Konto haben müssen?
Scott Pack
2011-02-28 02:16:24 UTC
view on stackexchange narkive permalink

Ich würde empfehlen, sich PhoneFacter anzuschauen. Ich habe sie mir in der Vergangenheit angesehen und fand es ein sehr interessantes Konzept. Ähnlich wie Ihre Bank verwenden sie Telefone als zweiten Faktor und bieten entweder SMS- oder direkte Sprachanrufe zur Überprüfung an.

Ob sie "kostengünstig" sind, hängt natürlich davon ab, was diese Wörter für Sie bedeuten .

Dieser PhoneFactor ist interessant. Funktioniert es für nicht US-amerikanische Unternehmen? und hast du es schon mal benutzt? Entweder als Kunde eines Unternehmens, das die Dienste von PhoneFactor gekauft hat, oder als Kunde von PhoneFactor selbst?
Ich habe nur eine E-Mail an PhoneFactor. Hoffentlich arbeiten sie für Unternehmen außerhalb der USA. Vielen Dank.
Sie sollten in der Lage sein, eine kostenlose Version (10 Benutzer oder weniger) von Phone Factor zu erhalten. www.phonefactor.com - Ich benutze dies in einem viel größeren Sinne und ich mag es wirklich. Es kann Sie anrufen und eine PIN benötigen oder einfach # drücken, oder es kann auch Texte senden (glaube ich)
Knox
2011-02-28 19:07:56 UTC
view on stackexchange narkive permalink

Obwohl ich sie nicht persönlich verwendet habe, habe ich aus verschiedenen Quellen sehr gute Dinge über YubiKey gehört, einen winzigen Hardwareschlüssel, der an einen USB-Anschluss eines Computers angeschlossen ist und im Grunde ein Einmalkennwort enthält Dies ändert sich jedes Mal, wenn es verwendet wird.

Wenn Sie sie verwenden, hoffe ich, dass Sie zurückkommen und Ihre Erfahrungen aktualisieren.
Ich sehe mir alle Möglichkeiten an. Vielen Dank, dass Sie Knox. Ich bevorzuge etwas, das Benutzer bereits haben, anstatt ihnen ein anderes Gerät zu geben, das sie verlieren oder missbrauchen können. Ich habe Leute gesehen, die keine USB-Geräte verwenden können. Sie existieren, ob Sie es glauben oder nicht.
Ich habe einen Yubikey für den persönlichen Gebrauch gekauft. Ich denke, der Grund, warum Banken (zumindest in Großbritannien) etwas Ähnliches nicht verwenden, ist, dass es nicht technischen Anwendern und den Entscheidungsträgern der Banken nicht sofort klar ist, wie es funktioniert.
Ich benutze einen Yubikey. Wenn die Verfügbarkeit eines USB-Anschlusses für Endbenutzer kein Problem darstellt, ist dies eine sehr schöne 2-Faktor-Option. Ich würde sie Leuten zur Verwendung in einer solchen Umgebung empfehlen, vielleicht nicht, wenn Sie iPads oder andere verkrüppelte Geräte verwenden möchten.
Karl Anderson
2011-04-26 23:02:03 UTC
view on stackexchange narkive permalink

Bei Duo Security bieten wir eine Zwei-Faktor-Lösung, die Sprach-, SMS-, Mobilgeräte- und Hardware-Token verwenden kann. Unsere Open-Source-Clients web und unix können Ihnen auch dabei helfen, Ihre Optionen zu bewerten (sowohl unsere als auch andere und Ihre eigenen). Haftungsausschluss, ich bin ein Duo-Entwickler.

AviD
2011-02-28 01:35:15 UTC
view on stackexchange narkive permalink

Kann ich etwas vorschlagen, das etwas weniger Standard ist, und eine softwarebasierte biometrische Authentifizierung in Betracht ziehen?
Ich kenne einige (Stealth-) Startups, die in diesem Bereich arbeiten ... dies kann Dinge wie Tastaturdynamik beinhalten , Fingerabdruckerkennung über Webcam, andere ...

@AviD - das klingt interessant ...
Mein Verständnis von Biometrie ist, dass sie ein sehr schlechtes Sicherheitstoken darstellen, da sie nicht geheim und leicht zu replizieren sind.
@growse, Ich glaube nicht, dass Sie sich darin irren. Biometrie ist von Natur aus eine "nah genug" Lösung (im Gegensatz zu "etwas, das Sie haben" oder sogar einem Passwort, bei dem eine genaue Übereinstimmung möglich und erforderlich ist). Ich bin der Meinung, dass Biometrie normalerweise eher der "Identifizierung" als der "Authentifizierung" näher kommt ... Das heißt, als zweiter Faktor können sie viel Wert hinzufügen - obwohl sie oft nicht geheim sind, ist es nicht immer einfach zu replizieren (und das hängt von der Implementierung ab, sollte es Schutz vor "Wiederverwendung" geben). Der Punkt ist, es ist viel billiger als ein Hardware-Token ....
Es ist ein guter Punkt - ich kann verstehen, dass sie für bestimmte Anwendungen eine gute Anwendung haben können. Ich bin nur vorsichtig, weil ich ein ungerechtfertigtes Maß an Vertrauen in die Biometrie als Zeichen gesehen habe, bei dem die Leute glauben, alle Sicherheitsprobleme zu lösen.
@growse, oh absolut. Lösen Sie auf keinen Fall "alle Sicherheitsprobleme", nicht einmal die Authentifizierung - ich sehe dies als eine Art Kompromiss, da die Anmeldeinformationen "einfach" sind. Credential * Management * hingegen wird zu einem sehr heiklen Geschäft. Darüber hinaus basiert die Biometrie immer auf einer gleitenden Skala, d. H. "Wir * denken *, dass Sie es wirklich sind, mehr als wir denken, dass dies nicht der Fall ist". Es kommt wirklich zu einem Kompromiss zurück, und da Software-Biometrie verfügbarer ist - und jetzt sogar billiger als HW-Token (früher das Gegenteil) -, sehe ich in den meisten Fällen eine viel geeignetere Lösung.
Paweł Dyda
2011-04-28 00:05:09 UTC
view on stackexchange narkive permalink

Schade für mich, ich kenne die Kosten nicht, aber vielleicht möchten Sie die Cloud-basierte Zwei-Faktor-Authentifizierung von Ex-VeriSign versuchen. Die Website behauptet, es sei kostengünstig.

Nun, im Gegensatz zu vielen anderen Diensten hat Ihr Vorschlag den Test der Zeit überstanden und wird immer noch unterstützt. Die URL funktioniert auch noch! Keine "Schande über dich"! Die Kostenstruktur finden Sie hier http://www.symantec.com/verisign/vip-authentication-service/renewals-upgrades-licensing
Eric Falsken
2011-05-15 14:34:27 UTC
view on stackexchange narkive permalink

Obwohl keine Antwort, werde ich sie hier posten. Ich hoffe sehr, dass alltägliche E-Commerce-Websites NICHT standardmäßig die 2-Faktor-Authentifizierung verwenden. Es sollte für Benutzer immer optional sein, es sei denn, es besteht eine hohe Haftung (inakzeptables Risiko + Kosten) gegenüber Ihrem Unternehmen. Ich hasse sie und sie sind auf Reisen schrecklich nervig. Dies verlangsamt meine Web-Erfahrung, während ich auf eine Textnachricht oder E-Mail warte und den einmaligen Code transkribiere. Meine schlimmste Erfahrung war der Versuch, im Ausland einen SMS-Bestätigungscode und mein Telefon beim Roaming zu erhalten.

Hier ist mein Vorschlag: Verwenden Sie die Überprüfung von E-Mail-Adressen und HTTPS, bis Sie Zeit und Geld haben, um weiterzugehen. Fügen Sie es dann wie OpenID als Option hinzu.

Selbst die auf Telefonnummern basierende 2-Faktor-Authentifizierung hängt von der Identifizierung der Telefonnummer des Benutzers ab. Ich kenne Leute, die Ihnen lieber eine Kreditkarte geben möchten, um ihre Adresse zu überprüfen, als ihre Telefonnummer einer zufälligen Website zu geben. Vor allem, wenn Sie im E-Commerce-Bereich sind. Betrachten Sie die Identitätsprüfung als zusätzlichen Schritt zur Registrierung und nicht als zusätzlichen Schritt zur Anmeldung.

Die Probleme, die Sie erwähnen, liegen alle in der Implementierung. Zum Beispiel benötigen einige Zwei-Faktor-Produkte den zweiten Faktor nur, wenn Sie sich von einer neuen IP-Adresse oder mit einem neuen Cookie anmelden. Die kennwortbasierte Authentifizierung ist schrecklich fehlerhaft, daher hoffe ich, dass mehr Websites zwei Faktoren verwenden. Hoffentlich finden wir einen Sweet Spot zwischen Benutzerfreundlichkeit und Sicherheit.
VP.
2011-07-05 03:38:28 UTC
view on stackexchange narkive permalink

SMS war noch nie ein qualitätsgesicherter Kanal, da er hauptsächlich im "Feuer und Vergessen" -Modus funktioniert. Die Zustellgeschwindigkeit hängt von vielen Faktoren ab, die außerhalb der Kontrolle des Absenders liegen. Außerdem müssen Sie die aktuelle Telefonnummer des Benutzers pflegen und über ein sicheres Verfahren zum Ändern verfügen. Darüber hinaus sind die Kosten für eine SMS immer noch relativ hoch. Ich habe nicht getestet, ich weiß nicht, wie viel es kostet, aber die Lösung sieht interessant aus, das Problem, wie bei SMS, dass Sie das Mobiltelefon als Voraussetzung für die Nutzung Ihrer Website erzwingen. die Lösung: http://www.cronto.com/visual_cryptogram.htm

Bruno
2011-05-15 20:50:26 UTC
view on stackexchange narkive permalink

Apache TripleSec könnte von Interesse sein, obwohl ich es nicht ausprobiert habe, daher bin ich mir nicht sicher, wie stabil es ist.

Nicht sehr; da sie nicht einmal eine Veröffentlichung haben und dieses Jahr keinen Code festgeschrieben haben.
Diese URL lautet jetzt 404. Ich habe über die Google-Suche eine Usenet-Diskussion in französischer Sprache gefunden. Das Suchergebnis "Snippet" stellte mit einiger Überraschung fest, dass Triplesec seit 7 Jahren nicht mehr aktualisiert wurde. Google muss das Sorgerecht für diese Usenet-Gruppe übernommen haben, da Google mir auch einen 404 gegeben hat. Es ist seltsam, da Apache "Apache Triplesec" immer noch als Marke in seiner Website-Fußzeile auflistet.
user53105
2014-08-02 11:53:54 UTC
view on stackexchange narkive permalink

Als Berater für Authentifizierungs- und Autorisierungslösungen habe ich mir verschiedene Produkte mit OTP, Biometrie und anderen Challenge-Response-Systemen angesehen. Ich finde, dass Snorkel-TX von Odyssey Technologies Limited eine umfassende und ausgereifte Sicherheitslösung für Webanwendungen ist. Es ist kostengünstig im Vergleich zu vielen anderen Lösungen. Es kann in sehr kurzer Zeit ohne Codierungsänderungen an der Webanwendung implementiert werden.

inf0sec
2014-01-16 03:00:55 UTC
view on stackexchange narkive permalink

Könnte ich LaunchKey empfehlen, da sie eine echte Multi -Faktorauthentifizierung als Dienst bieten und ihre API und mobilen Apps alle kostenlos sind. Es sollte auch beachtet werden, dass die Multi-Faktor-Authentifizierung alle 3 möglichen Auth-Faktor-Typen (Wissen, Besitz, Inhärenz) kombiniert und als sicherer angesehen wird als der Zwei-Faktor, der nur 2 der 3 verwenden würde Aus Sicherheitsgründen sollten Sie MFA anstelle von 2FA verfolgen.

Hallo inf0sec. Wenn Sie mit einem von Ihnen empfohlenen Produkt verbunden sind, müssen Sie gemäß unseren Regeln Ihre Zugehörigkeit im Text Ihres Beitrags offenlegen. Andernfalls besteht die Gefahr, dass diese als Spam gekennzeichnet werden. Mehr hier: http://security.stackexchange.com/help/behavior


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...