2-Faktor Authentifizierung

Xb2.Net von Boris Borzic

Moderator: Moderatoren

Antworten
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 20081
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 59 Mal
Danksagung erhalten: 29 Mal

2-Faktor Authentifizierung

Beitrag von Manfred »

Hat das schonmal jemand unter xb2net gemacht, oder macht es?
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kannste sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 8494
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 24 Mal
Danksagung erhalten: 101 Mal
Kontaktdaten:

Re: 2-Faktor Authentifizierung

Beitrag von Tom »

Was denn genau, Manfred? Zwei-Faktor-Authentifizierung bedeutet ganz allgemein nichts weiter als dass man nicht nur eine Tür hat, sondern zwei. Man kombiniert also beispielsweise eine klassische Benutzernamen-Passwort-Anmeldung mit einem Code, den das Backend generiert und per Mail oder SMS an die Telefonnummer/Mailadresse sendet, die mit dem Benutzernamen verbunden ist, fertig. Diesen Code fragt man dann in einem zweiten Dialog ab. Wir bieten das per Mail und per SMS an, und per Push, wenn unsere Mobilanwendungen genutzt werden. Das Verfahren ist aber sehr simpel und leicht umzusetzen (außer Push, das ist im Vorfeld ein bisschen hakeliger, dann aber sehr unproblematisch - es ist jedoch nötig, dass man eine eigene Anwendung auf dem jeweiligen Telefon hat).
Herzlich,
Tom
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 20081
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 59 Mal
Danksagung erhalten: 29 Mal

Re: 2-Faktor Authentifizierung

Beitrag von Manfred »

Hi Tom,
ich glaube Du hast da schon das Problem angesprochen.
"Eigene Anwendung auf dem Phone."
Das hatte ich schon vermutet.
Eigentlich geht es darum, das Meldungen über das Web gemacht werden, die aber aus Datenschutzgründen sicherlich sensibel behandelt werden müssen. Ich mache mich derzeit erstmal ein wenig kundig, worauf man da achten muß und wie man sowas umsetzen sollte/könnte/müßte bei einer Anmeldung am entsprechenden Server.
Wobei es aber vermutlich so gut wie nur über einen PC laufen wird und weniger über ein Tablet oder Smartphone.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kannste sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 8494
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 24 Mal
Danksagung erhalten: 101 Mal
Kontaktdaten:

Re: 2-Faktor Authentifizierung

Beitrag von Tom »

Hallo, Manfred.

Aber eine Mail (mit SSL) zu versenden, das wäre doch relativ sicher, oder? Das ist - neben Push - auch die Authentifizierungsunterstützung, die bei uns am meisten genutzt wird. SMS ist für die Anwender fast immer mit zusätzlichen Kosten verbunden, deshalb nutzen das vergleichsweise wenige.

Push funktioniert nur, wenn es eine eigene Anwendung auf den Telefonen gibt. Außerdem muss man einen Push-Service nutzen, etwa Googles FCM. Die Adressierung aus der Desktop-App oder dem Backend ist ziemlich simpel, das ist ein POST mit einigen Parametern (JSON). Aber man braucht eben einen Empfänger, und das ist nicht das Telefon selbst, sondern eine Anwendung, die bei FCM registriert ist bzw. von dort einen Pushhash zugewiesen bekommen hat. Theoretisch lässt sich z.B. mit React Native via Expo Snack eine kleine Anwendung recht schnell bauen, aber bis die so weit ist, dass sie auf Push reagiert, braucht es dann doch noch ein, zwei Minuten in der Lernkurve. :wink:
Herzlich,
Tom
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 20081
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 59 Mal
Danksagung erhalten: 29 Mal

Re: 2-Faktor Authentifizierung

Beitrag von Manfred »

Danke Tom,
eine App für ein Phone würde dann natürlich Android und IOS beinhalten. Das mit der Mail stand/steht auch im Raum und sieht mir auch schnell machbar aus. Vielleicht erzeugt man dann einen QR Code oder was auch immer, der dann eingescannt wird.. Mal schauen.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kannste sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Martin Altmann
Foren-Administrator
Foren-Administrator
Beiträge: 15749
Registriert: Fr, 23. Sep 2005 4:58
Wohnort: Berlin
Hat sich bedankt: 31 Mal
Danksagung erhalten: 26 Mal
Kontaktdaten:

Re: 2-Faktor Authentifizierung

Beitrag von Martin Altmann »

Wozu QR-Code?
Ein 8stelliges Buchstaben/Zifferngemisch, dass der User eingeben muss.
Er meldet sich mit seinen Zugangsdaten auf Deiner Webseite an. Dann wird die Mail an die für ihn hinterlegte Mailadresse gesandt und eine Webseite angezeigt, an der er das eben verschickte Passwort eingeben muss. Sobald er das erledigt hat, ist er eingeloggt.

Viele Grüße,
Martin
:grommit:
Webseite mit XB2.NET und ausschließlich statischem Content in Form von HTML-Dateien: https://www.altem.de/
Webseite mit XB2.NET und ausschließlich dynamischem Content in Form von in-memory-HTML: https://meldungen.altem.de/

Mitglied der XUG Osnabrück
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 20081
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 59 Mal
Danksagung erhalten: 29 Mal

Re: 2-Faktor Authentifizierung

Beitrag von Manfred »

QR Code war zur BEstätigung gedacht, das er die Mail erhalten hat.
Was meinst Du mit 8stelliges Buchstaben/Zifferngemisch? Das soll der User angeben um die Mail zu erhalten?
Ich verstehe das nicht, was Du meinst.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kannste sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 8494
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 24 Mal
Danksagung erhalten: 101 Mal
Kontaktdaten:

Re: 2-Faktor Authentifizierung

Beitrag von Tom »

1. Ein Benutzer meldet sich bei Deinem Programm an. Der erste Faktor stimmt - Benutzername und Passwort.
2. Dein Programm generiert eine temporäre (!) Zahlenfolge, die an die Mailadresse des Benutzers gesandt wird.
3. Dein Programm zeigt ein ZWEITES Fenster an (oder ein zusätzliches Eingabefeld im Anmeldedialog), in dem dieser Zahlencode eingetippt werden muss - innerhalb einer bestimmten Zeit, sonst verliert er seine Gültigkeit, oder/und nach drei falschen Eingabeversuchen. Das ist dann der zweite Faktor. Den Code kann man auch per SMS versenden, das geht dann schneller.

Einen QR-Code brauchst Du nicht. Und Du weißt schon, dass QR-Codes einfach nur beliebige Zeichenfolgen in einer anderen Darstellung sind, ja? Aber Du kannst die Zahlenfolge natürlich QR-codieren, dann müsste der Nutzer auch noch die Möglichkeit haben, direkt im Eingabefeld die Kamera zu aktivieren. :wink:
Herzlich,
Tom
Benutzeravatar
Manfred
Foren-Administrator
Foren-Administrator
Beiträge: 20081
Registriert: Di, 29. Nov 2005 16:58
Wohnort: Kreis Wesel
Hat sich bedankt: 59 Mal
Danksagung erhalten: 29 Mal

Re: 2-Faktor Authentifizierung

Beitrag von Manfred »

ah ok,
ist auch erstmal nur ein Gedankengang. Sozusagen Vorbereitung auf die nächste Zeit, wenn es dann kommen wird.
Gruß Manfred
Mitglied der XUG Osnabrück
Schatzmeister des Deutschsprachige Xbase-Entwickler e.V.
großer Fan des Xbaseentwicklerwiki https://wiki.xbaseentwickler.de/index.p ... Hauptseite
Doof kannste sein, man muß sich nur zu helfen wissen!!
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14192
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 7 Mal
Danksagung erhalten: 35 Mal
Kontaktdaten:

Re: 2-Faktor Authentifizierung

Beitrag von Jan »

Genau so wie Tom das beschreibt macht das z. B. Google. Die wahlweise eine Mail oder SMS schicken mit der Ziffernfolge oder mich anrufen und mir die durchs Telefon sagen.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 8494
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 24 Mal
Danksagung erhalten: 101 Mal
Kontaktdaten:

Re: 2-Faktor Authentifizierung

Beitrag von Tom »

Grundsätzlich: Zwei-Faktor-Authentifizierung (2FA) bedeutet lediglich, dass es zwei voneinander unabhängige Sicherheitsmechanismen geben muss. Meistens hat man nur einen Mechanismus, etwa die PIN bei der Bankkarte oder das Passwort bei einem Forum. Ein zweiter Faktor wäre aber nicht einfach ein zusätzlicher, gleicher Mechanismus an gleicher Stelle (also z.B. eine zweite PIN oder ein zweites Passwort), sondern eine gesonderte Möglichkeit, die Person zu authentifizieren, die unabhängig von der ersten und für sich alleine, aber in Verbindung mit der ersten funktionieren muss. Es müssen also zwei unterschiedliche und voneinander unabhängige Faktoren genutzt werden. Welche das sind, ist technisch relativ egal. Wenn sich jemand mit Benutzernamen und Passwort anmeldet und ich sende ihm eine Mail mit einem Code, dann stellt der Zugang zum Mailprogramm, über den ich ja keine Kontrolle habe, der aber seinerseits abgesichert sein müsste, den zweiten Faktor dar. So ähnlich verhält es sich mit einer SMS oder Push-Message an ein Handy, das ja seinerseits mit einem Code, per Face-ID oder mit einem Fingerabdrucksensor gesichert ist - nicht der Code ist der Sicherheitsfaktor, sondern der Zugang zum Telefon! Da sehr unwahrscheinlich ist, dass jemand an meine Passwörter kommt und zusätzlich mein Handy nebst Zugangscode geklaut hat, ohne dass ich beides bemerkt habe, generiert man deutlich mehr Sicherheit. So ähnlich ging es mit TANs beim Online-Banking: Ich hatte meine Zugangsdaten, aber zum Überweisen und für andere Vorgänge brauchte ich ein zusätzliches System. Die Systeme waren aber nicht unabhängig voneinander, da sie an gleicher Stelle verifiziert wurden, und jemand, dem der Ordner mit Zugangsdaten und TANs geklaut wurde, der war am Arsch.

Es gibt übrigens Apps und Services für die mittelbare Zwei-Faktor-Authentifizierung in webbasierten Diensten, zum Beispiel "Authy" (https://www.twilio.com/docs/verify) oder den "Google Authenticator". Das kann man sehr leicht in entsprechende Frontends integrieren, sogar in eigene Portale, die man mit CXP oder Xb2.Net gebaut hat. In einer klassischen Desktop-Software würde ich mit sowas aber nicht arbeiten.
Herzlich,
Tom
Antworten