問題タブ [two-factor-authentication]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
laravel - Laravel: 二要素認証の AuthController の変更
Laravel 5.1 の組み込み AuthController を使用しています。antonioribeiro/google2faを統合して QR コードを生成し、キーを検証しました。postLogin 関数にも変更を加えたので、認証情報が確認された後、ユーザーは TFA キー入力フォームにリダイレクトされます。
私の質問は、TFA キーの応答をどこでどのように処理する必要があるかです。アプリのセキュリティが損なわれないようにするためのベスト プラクティスは何ですか。
bitbucket - Sourcetree は 2 要素認証で bitbucket を追加します
bitbucket アカウントで 2 要素認証を有効にしました。現在、Osx 上の Atlassian Sourcetree アプリが機能せず、bitbucket にログインできません。
Bitbucket の 2 要素認証を使用するように SourceTree を構成するにはどうすればよいですか?
spring - クレデンシャルを保存する Spring 2 要素認証
Spring アプリケーションに 2 要素認証を実装しようとしています。
望ましい状況
ユーザーに最初にユーザー名とパスワードを使用してログインしてもらいたいのですが、それらが正しい場合は、システムにランダムキーを生成させ、それをユーザーにメールで送信してもらいます。その後、システムは、トークンを入力してシステムにログインするだけでよいページにユーザーをリダイレクトする必要があります。
これまでに得たもの (疑似コード)
ユーザーが login.jsp ページに入ります。ユーザー名/パスワードでログインすると、システムは CustomMade AuthenticationException を送信します。AuthenticationFailureHandler では、例外に対して getAuthentication を実行します (非推奨であることは承知しています)。ただし、ユーザー名を使用してユーザーにトークンを送信します。その後、( request.getSession().setAttribute を使用して) セッションに例外を配置し、最後にシステムが login.jsp をリロードします。
Login.jsp はセッションで例外を確認し、トークン入力フィールドを表示します。ユーザーはトークン入力フィールドに入力してログインします。システムは、セッションの資格情報と指定されたトークンを使用してユーザーを認証します。
質問
ユーザー名/パスワードをセッションに保存するのは悪い習慣だと思います。私が考えた2つの可能な解決策:
ユーザー名/パスワードを確認した後。ユーザー名を静的変数または DB に保存します。ユーザーがトークンを入力しているときに、ユーザー名が変数/db にあるかどうかを確認し、トークンを確認します。トークンが正しい場合は、ユーザーでログインします。
ユーザー名/パスワードを確認した後、低い役割でユーザーをログインさせます。低い役割では、ユーザーはトークン ページにしか移動できません。有効なトークンを入力すると、システムはユーザーに新しい権限を与えます。
実装するのに最適なソリューションは何ですか?
ruby-on-rails - Rails アプリケーションの 2 要素認証
アプリケーションに別のセキュリティ層を追加することを考えています。二要素認証 (2FA) は、私が取り組みたいもののようです。
何が良い 2FA を決定するのか知りたいですか? また、どちらがおすすめですか?私は現在Deviseを使用していないため、独立したサードパーティ/gemが役立ちます.
authentication - OATH トークンを使用した Azure MFA
この質問に明確に答えられるものは何も見つからなかったので、ここで質問します。探している答えが見つかったら、コミュニティと共有します。
Azure オンプレミス多要素認証を実装中です。すべて順調です。双方向の SMS は非常にうまく機能します。Authenticator アプリは、私の iPhone でうまく動作します。FortiGate デバイスを VPN 接続用の Two Factor と通信させることさえできました。
私の上司はセルラー ネットワークに依存することを望んでおらず、モバイル デバイスの大部分が BlackBerry のものであるため、私は現在、OATH トークンを実装する方法を見つけようとしています。
私が完全に理解していないのは、ログイン時に何を入力するのですか?
シナリオ 1: OATH トークンしかなく、Authenticator アプリも PIN もないとします。ユーザー名とパスワードのプロンプトに何を入力しますか?
シナリオ 2: 電話に Authenticator アプリがインストールされているが、携帯電話の信号がない場合はどうなりますか? ユーザー名を入力してから、パスワード用にアプリで生成されたコードを入力できますか?
javascript - 2 要素認証の適切な実装 (バグが見つかった可能性はありますか?)
以前の雇用主のために Web スクレイパーを作成していましたが、ログインする必要があり、以前にそのユーザーでログインしたことがない場合は 2 要素認証も行いました。
ええと...私が見つけたのは、トークンをユーザー名とパスワードとともに渡した後、Webスクレーパーでは2要素認証を要求することは決してないということでしたが、ブラウザーでは要求されます。ログインしたことがない人のテストユーザー名/パスワードでこれを行ったことさえあります.
二要素認証でそんなに簡単に手に入るの?
(セキュリティ上の理由から) コードを公開しない場合、これが発生する可能性のある理由は何ですか?
これをより安全にする方法はありますか?2つの要素でJavaスクリプトの検証を実行しているだけで、私のWebスクレーパーにはJavaスクリプトがないため、ヒットすることはありませんか?
2 要素コード要件の最も適切で安全な実装は何ですか?