問題タブ [two-factor-authentication]

Web アプリケーションに django-two-factor-auth で Django を使用しています。Twilio 経由で SMS を送信して確認できるようになりましたが、必要なときに SMS コードを再送信する方法がわかりません。つまり、「コードを受信して​​いませんか? 再送信してください!」をクリックします。

django-two-factor-auth ドキュメントを読みましたが、これを実装するための情報が見つかりませんでした。

どうにかして django-two-factor-auth を設定する必要がありますか、それとも lib をカスタマイズする必要がありますか (これはあまりやりたくないことです)。

手伝っていただけませんか？お時間をいただきありがとうございます:)

そこで、よく知られたウェブサイト (bitstamp.net) への 2 要素認証アクセス用の QR コードを受け取りました。

QR コードをスキャンすると、生の otpauth URI が得られます。

(上記のuseridは「000000」にしてシークレットがごちゃごちゃしてます…)

ここで、コマンドラインに次のように入力すると (Ubuntu 14.04、時計は最新です)

私は6桁の数字を取得します:

これは間違った番号です!!!

まったく同じ QR コードを (Android フォンで) Google Authenticator にスキャンすると、まったく異なる番号が返されます (Google Authenticator によって提供される番号は完全に機能し、bitstamp.net にログインできます)。

私は今完全に立ち往生しています ;( 誰か何か考えがありますか?

新しいプロジェクトの認証方式を設計しています。人々は を使用して Google / Facebook / Microsoft などのアカウントを介して認証できますOpenID。これらのプロバイダーはすべて、2 要素認証をサポートしています。

私の目標は単純です。ユーザーが OpenID プリンシパルを使用して登録またはログインするときに、認証サービスにクエリを実行し、ユーザーが 2 要素認証を有効にしているかどうかを確認したいと考えています。彼が両方のステップに合格した場合は、「ようこそユーザー」、そうでない場合は「申し訳ありませんが、このサイトは非常に安全であり、2 要素認証を有効にする必要があります」.

現在のサービスを使用してそれは可能ですか？Google ドキュメントを読みましたが、何も見つかりませんでした。OpenID Connect は、トークンの「2 段階認証」属性も、悪用される可能性のある「強度」属性もサポートしていないため、そのような情報を明らかにする可能性がある特定のプロファイル API に依存する必要があります。しかし、少なくとも Google API にはまだ何も見つかりませんでした。

u2f dev ガイドは、この部分を未指定のままにしています: www プレフィックスでサイトにアクセスする訪問者に対して、www プレフィックスのない単一ファセット AppId は機能しますか? ブラウザーはそれらを一致と見なしますか?

そうでない場合、U2F 展開には 2 つの選択肢があると思いますが、どちらもあまり快適な IMO ではありません。その理由を以下に説明します。

1. すべての Web ユーザーを www.example.com から example.com にリダイレクトしてから、「example.com」ファセットを使用します。
2. 少なくとも 2 つのファセットを記述する JSON リソースを提供します: www.example.com、example.com

さて、私は「www.」に対処しなければならないと言いました。明らかに快適ではありません。私の理論的根拠は、単一サイトの SSL 証明書 (EV 証明書のようなより厳格な証明書を含む) は、Web ユーザーに対して透過的に www プレフィックス URL を処理するというものです。U2F がこれをセキュリティ ホールと見なし、明示的な対処方法を要求する理由がわかりません。

マルチテナントの Windows Azure アプリがあります。これを使用して Office 365 ユーザーを認証し、ユーザーのカレンダーへのアクセスを許可します。

今日、次のようなサポートの質問がありました。

新しい Office 365 ログインをテストするとき、2 要素認証ユーザーはテストしませんでした。しかし、このシナリオでは Microsoft 側に問題があるように思えます。

ユーザーの 2 要素認証をサポートするために、何か特別なこと (Azure アプリの設定など) を行う必要はありますか?

次のロジックを実行して、Web セキュリティを使用する ASP.Net MVC ページに 2 段階認証を実装しました。

1) ユーザーが初めてログインし、[ログイン] ページで [次へ] をクリックすると、ユーザーは検証されます。

セキュリティ Q を入力するように求められる第 2 段階の検証ページにリダイレクトされます。それが正しければ、新しい Cookie (Cookie2) が作成され、ユーザーは次を使用してログインされます。

その後、彼は自分のホームページにリダイレクトされます。

2) 次にアプリにログインしようとすると、2 番目のステップで作成された Cookie (Cookie2) が存在するかどうかのチェックがあります。存在する場合はホームページに直接リダイレクトされ、存在しない場合は再びセキュリティ Q を入力するよう求められます。

したがって、ここに実装が表示されている場合、実際には、ユーザーが 2 段階認証を有効にした場合にのみ、ユーザーをアプリにログインさせています。これを実装するために、Cookie を作成し、パスワードをセッションに保存しています。

これをより良い方法でコーディングできるかどうか誰か教えてもらえますか?セッションと Cookie を使用せずにこれを行うことができると思います。

どんなアイデアや提案も大歓迎です。

ありがとう、

白

django_two_factor_auth を正常にインストールしました。トークン ログイン、バックアップ トークン、および Twilio 経由の SMS はすべて正常に動作しているようです。ただし、私のユーザーは、ログインのたびにトークンを入力する必要があることを容認しません。

私のニーズは、以下で説明されているものと似ています: https://github.com/Bouke/django-two-factor-auth/issues/56

検証が成功した後、OTP 検証を 30 日間延期するオプションをユーザーに提供したいと考えています。

このために、django_agent_trust をインストールしました。django_agent_trust がインストールされている場合、AuthenticationTokenForm にパッチを適用して BooleanField を追加しました。

(two_factor/forms.py、AuthenticationTokenForm 内)

また、django_agent_trust の django_agent_trust.trust_agent API を使用して、is_trusted フラグを無条件に設定およびリセットすることができました。

問題は、ユーザーが選択した BooleanField の値をどこで取得するかを考え出すことです。フォーム ウィザードのどこかで迷ってしまいました。

あなたの議論が理にかなっていると思うなら、私の全体的なアプローチの知恵を疑問視する答えを受け入れます. 私がここに欠けているものはありますか？