Главное Авторские колонки Вакансии Образование
848 4 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Защита с помощью двухфакторной аутентификации

Интересная информация об одном из самых распространенных способов защиты (двухфакторной аутентификации), к которому в последнее время появился повышенный интерес со стороны пользователей.
Мнение автора может не совпадать с мнением редакции

В классическом понимании двухфакторная аутентификация - это когда первый шаг аутентификации происходит через два устройства (ввод логина-пароля на компьютере и получение кода через смс).

На самом деле двухфакторной аутентификацией также является авторизация обоих процессов с одного устройства, но по разным каналам (интернет и смс).

Зачем это нужно

Чаще всего такая аутентификация нужна в случаях, когда:

  • на аккаунте пользователя хранятся важные/личные данные, которые он хочет максимально защитить от взлома;
  • совершается важная операция (перевод денег, оформление документов, и.д);
  • требуется идентификация личности или других данных через подтверждение телефонного номера;
  • есть желание убедить пользователя в надежности услуг сервиса.

Как это сделать

  • Классическое решение - собственная реализация. Это трата времени на разработку и администрирование. Причем на создание качественного стабильного решения уходит больше двух месяцев.
  • Второе - это покупка коробочного решения. Которое снимает проблему с разработкой, но создает проблему с администрированием.
  • Третье - это облачное решение, которое не требует разработки и обслуживания. Минус данного решения - отсутсвие возможности принимать финальное решение в направлении развития сервиса.

Итоги

Двухфакторная аутентификация уже сейчас пользуется большой популярностью у аудитории, поэтому ее использование в том или ином виде является практически стандартом для некоторых типов проектов.

Для качественного и быстрого внедрения лучше использовать облачный сервис с хорошем фидбеком. При выборе сервиса также стоит обратить внимание на простоту использования и качество каналов доставки пинкода.

Интересно? Подписывайся на проект и следи за новостями!

-1
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
PushAll
Платформа мгновенных уведомлений.
Олег Карнаухов
эм...а какой смысл именно чисто в вашем проекте, если к примеру через моё решение можно слать и пин-коды и уведомления на какие либо устройства через push.

Да смс это очень хорошо, но почему не делать тоже самое через push-уведомления?
У меня аккаунт привязан к гуглу, без доступа к гугл аккаунту привязать новое устройство не получится. Устройства можно удалить из личного кабинета, если устройство потеряно.
По-моему это даже безопаснее смс.

Кстати спасибо, что натолкнули на идею. Неплохо решение.
Ответить
Тембр
Делитесь аудиозаметками с подписчиками и слушайте интересных людей.
Ilia Donskikh
Пуш — это когда нужно приложение установить, чтобы получить сообщение. СМС — это когда вы купили симку к телефону.

Кроме этого у пинкода есть такие параметры, как срок действия, количество повторений на ввод и т.д. А потом его еще надо проверить, а не только отправить :)

Свои соображения о преимуществах микросервисной архитектуры в бизнесе я расскажу попозже, в другой публикации :)

У меня есть желание добавить Пуш для определенной аудитории. Можем скооперироваться в этом направлении, если захочешь.
Ответить
PushAll
Платформа мгновенных уведомлений.
Олег Карнаухов
1. С таким же успехом можно сказать, что СМС это когда нужен телефон всегда под рукой. Пуши можно слать и без приложения через Push API в хром. И на компе и на смартфоне.
2. Это все должно быть на стороне уже сайта. Сайт пусть генерирует свой код, время действия и т.д. по своим правилам. Создавать целый сервис ради создания пинкодов?
Что может быть проще — сгенерировал код у себя на сервере, там же его проверил, и проверил не просрочен ли. Одна табличка в бд.
У вас же как я понял, человек будет переходить к вашему виджету или вроде того проверяться на вашем сайте, и уже после этого сервис должен доверить, что вы на своей стороне все проверили и т.д.

В моем же случае пользователь вводить пин-код сразу на стороне того сервиса где он хочет авторизировать, проверка замкнута в нем.
3. Насчет этого хотел бы тоже с вами переговорить. Если уж делаете проект. видимо есть на него спрос. Вы можете через мой сервис как раз рассылать эти пинкоды пользователям.
Ответить
Тембр
Делитесь аудиозаметками с подписчиками и слушайте интересных людей.
Ilia Donskikh
1. Я тут не вижу смысла припираться. Ты пишешь сервис для пуш-уведомлений, я этому только рад и обязательно им воспользуюсь, если будут гарантии по доставке.

2. Это называется микросервисная архитектура. Одна из причин ее возникновения в том, что внедрение новых функций в общий код нелинейно усложняет разработку продукта (это время, которое можно тратить на разработку клевых ништяков и совершенствование существующих). Это хорошая причина, чтобы не держать все функции в основном продукте. Чтобы ответить на вопрос как это работает с точки зрения клиента достаточно просто зайти на сайт проекта, твое предположение не верно и по поводу архитектуры проекта (Rails + PG и Sinatra + Redis) и по поводу его использования. Скажу только, что все процессы клиент проводит на своей стороне через REST-API.

3. Напиши, пожалуйста, в скайп: donivrecord.
Ответить
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.