Page 1 of 2 1 2 LastLast
Results 1 to 15 of 19

Thread: Eigen twee weg authenticatie

  1. #1
    Senior Member Wok's Avatar
    Join Date
    Dec 2002
    Location
    Alkmaar
    Posts
    2,085

    Eigen twee weg authenticatie

    Ik heb een verzoek om een tweeweg authenticatie te maken, zonder tussenkomst van een derde partij (bv. google)

    Hoe zet ik zoiets op een eigen server, zodat prive ook echt prive is.

    Peter
    10.4.2, Delphi2010, of Lazarus 2.2.0

  2. #2
    Het hangt er een beetje vanaf welke stappen je wilt en kunt gebruiken van 2FA.

    Pin + sms code
    Wachtwoord + usb stick of card (rf?)
    Etc. + etc.

  3. #3
    Senior Member Wok's Avatar
    Join Date
    Dec 2002
    Location
    Alkmaar
    Posts
    2,085
    Pin en sms lijkt me een goed uitgangspunt.

    De achterliggende gedachte, is dat de authenticatie plaats vind binnen het eigen netwerk, zonder dat je het internet het op moet om een authenticatie server te benaderen.
    De mij bekende methode's lopen via gemalto of google authenticator.
    10.4.2, Delphi2010, of Lazarus 2.2.0

  4. #4
    Dan is dat gewoon een kwestie van programmeren. Na een correct wachtwoord een random code sturen naar het bekende 06 nummer en alleen verder gaan met inloggen als die code ook correct ingegeven wordt.

  5. #5
    Quote Originally Posted by Wok View Post
    Als je een eigen authenticator app maakt, moet je je gegevens ook kunnen uitlezen van een eigen database, firemonkey voorziet hier niet in.
    Die authenticatie doe je natuurlijk ook niet op een extern device (mobiel). Je moet dat weer terugsturen naar een server die dan de authenticatie doet.

    Maar goed... het is dus maar voor welke elementen je kiest. De rest is gewoon implementeren.

    (Waarom voorziet firemonkey overigens niet in het uitlezen van een eigen database?)

  6. #6
    Senior Member Wok's Avatar
    Join Date
    Dec 2002
    Location
    Alkmaar
    Posts
    2,085
    Quote Originally Posted by rvk View Post
    Waarom voorziet firemonkey overigens niet in het uitlezen van een eigen database?
    Geen idee, maar het zou wel een enorme vrijheid geven om je mobile app's te voeden, vanuit een willekeurige database.
    b.v. MySql werk wel op je computer (met firemoney) maar niet als app op je mobiel.
    Met rest zou het wel moeten kunnen maar daar heb ik nog geen goed werken geheel gevonden.
    Kmbmw kan het wel, maar dan heb je weer 3th party, en kosten..
    10.4.2, Delphi2010, of Lazarus 2.2.0

  7. #7
    Als je het hebt over het raadplegen van een eigen mysql server over internet moet je dat ook helemaal niet willen.

    En als je geen 3rd party wilt kun je je eigen REST servertje in elkaar draaien.

    En als het alleen om authenticatie gaat kun je zelfs volstaan met een simpele PHP pagina die communiceert met je backend database en een json antwoord.

  8. #8
    Je kunt Google Authenticator gebruiken.

    https://www.codementor.io/slavko/goo...tion-du1082vho
    https://tools.ietf.org/html/rfc4226

    1. Genereer een URL voor de user om te scannen in Google Authenticator
    2. In je app maak je een invoerscherm voor een 6 cijferig One Time Password. De user voert hier de code van Google Authenticator in.
    3. Client side kun je de code valideren (ook al is het gebruikelijk dat dit server side gebeurt)

  9. #9
    Counting your refs Paul-Jan's Avatar
    Join Date
    Feb 2002
    Location
    Lage Zwaluwe
    Posts
    2,160
    Hou er ook rekening mee dat SMS niet meer als veilig wordt aangemerkt. Uiteraard is het een hele verbetering boven "geen tweede factor", en als je je al bewust bent van de risico's en die voor jouw doelgroep niet relevant vindt: zeker SMS kiezen. Het is alleen zo dat als je iets van een security review laat doen je daarop wel wordt afgerekend.

  10. #10
    Wat is het risico van SMS?

  11. #11

  12. #12
    Sta nog niet aan op deze zondagochtend Dank je wel.

  13. #13
    Nu werkt de ING tot de dag van vandaag nog steeds met TAN codes via SMS als je via iDeal iets besteld (ondanks dat ze al 2 jaar zeggen dit te gaan vervangen) dus zo wijdverspreid zal dit probleem nog wel niet zijn.

    En andere security elementen zijn ook te hacken. Wachtwoord of pin (wat eigenlijk altijd het primaire element is in 2FA) is ook ontzettend onveilig.

  14. #14
    mov rax,marcov; push rax marcov's Avatar
    Join Date
    Apr 2004
    Location
    Ehv, Nl
    Posts
    10,357
    Ik vraag we wel af hoe secuur die software generators op mobiele telefoons optie is. En dan nog meer als je zowel je actie (aankoop, geld overmaken) als je 2fa authenticatie via hetzelfde device afhandelt.

  15. #15
    Hi

    Aan alles zit een risico of een kans dat iets onderschept wordt..maar hoever ga je. Je gebruikt het binnen je eigen netwerk dus dat verkleint de kans al.
    Ik gebruik al jaren een oplossing op basis van sms en bevalt nog steeds goed. Er wordt een code en controle cijfer gegenereerd en encrypt opgeslagen.
    De code wordt per sms verzonden. Na ontvangst wordt deze ingevuld, gecontroleerd en gevraagd om het controle getal en klaar.

    Helaas is niets veilig tegenwoordige en enigste dat je kunt doen is het wat lastiger maken. Het werkt natuurlijk alleen als je server/netwerk
    goed gehardend zijn.

    Greetz Peter

Page 1 of 2 1 2 LastLast

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •