Cześć, pytanie natury dobrych praktyk. Mam na stronie rejestracje za pomocą normalnego formularza oraz poprzez fb/google. Teraz muszę dodać do logowania 2fa od google. Oczywistym jest, że po wpisaniu danych logowania w standardowy formularz, powinien być drugi krok z kodem 2FA, ale czy ten drugi krok też powinien być przy logowaniu przez fb/google?
Jak grzebie w pamięci, to chyba nigdy się nie spotkałem abym musiał się dodatkowo uwierzytelniać po logowaniu 1 kliknięciem przez sociale.
0
3
Pytanie co to za stronka i co robisz.
Do większości social media wystarczy jedno poświadczenie - wystarczy, że użytkownik może się zalogować na konto Google (tj. albo posiada aktywnego cookiesa na danym urządzeniu, albo musi się zalogować - wtedy w zależności od ustawień konta będzie musiał wklepać hasło i np. SMSa).
Natomiast istnieją pewne dziedziny, gdzie korzysta się z Google Authenticatora (lub Microsoft Authenticatora) - czyli takiej apki, w której wklepuje się dodatkowy kod. Z takich rozwiązań korzysta się przy stronkach firmowych.
0
GreenGo napisał(a):
Cześć, pytanie natury dobrych praktyk. Mam na stronie rejestracje za pomocą normalnego formularza oraz poprzez fb/google. Teraz muszę dodać do logowania 2fa od google.
2FA od Google czyli co?
Masz na myśli Google Authenticator (to wtedy nie powinieneś tego nazywać "2FA of Google", bo zamiast użyć Google Authenticatora możesz użyć dowolnej innej apki, która wspiera kody TOTP), czy rzeczywiście jakąś konkretną usługę Google'a?
Przez sociale raczej też nie kojarzę, żeby trzeba było jeszcze potwierdzać drugim składnikiem w apce (wtedy mogłoby się okazać, że najpierw musisz się zalogować do Google z drugim składnikiem, a po chwili apka poprosi cię o swoje potwierdzenie drugim składnikiem).
Na pewno to zależy od wymagań bezpieczeństwa. Można też robić tak, że dopiero konkretne akcje w systemie wymagają potwierdzenia drugim składnikiem.
2
Ja gdzieś się już spotkałem z MFA po logowaniu przez Google i uważam to za głupotę. Albo uważasz, że logowanie z użyciem ich konta jest ok dla tego co chronisz, albo przeciwnie i wtedy wcale nie dajesz użytkownikowi prawa do wyboru takiego konta do logowania.
0
Dzięki za wypowiedzi, choć wygląda na to, że nie ma jednej dobrej praktyki.
Tak, chodzi o Google Authenticatora. Ogólnie strona będzie przechowywać dane/dokumenty wielu firm w pewnym zakresie ich działalności. Klient chce aby każde konto było autoryzowane dwu etapowo, oraz chce mieć możliwość logowania również przez fb/google. Z jednej strony uważałem, że 2fa jest pewnym wyznacznikiem bezpieczeństwa, który jest +- równy autoryzacji poprzez konta społecznościowe i wtedy dodatkowe 2fa, już nie jest potrzebne. Z drugiej strony, jeśli ktoś nie wyloguje się z konta społecznościowego i ktoś inny dorwie się do jego komputera, to bez 2fa w każdym wypadku, dostanie się do jego konta na stronie. W takim razie przy moim case`ie chyba jednak powinienem użyć 2fa również po logowaniu via socials, dla świętego spokoju bardziej, bo jakoś swędzi mnie ten flow z tyłu głowy
1
@GreenGo: Sprawdź, czy można wpuszczać tylko konta google z włączoną MFA. Na 99% można wymuszać ponowne logowanie, jeżeli jest taka potrzeba, z MFA - kiedyś nie można było wymuszać, ale może to dodali. Użytkownika po koncie FB bym nie wpuścił nigdzie. W przypadku Google opcji uwierzytelniania jest sporo, TOTP, Authenticator, Yubi itd.