Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: logowanie - dodatkowe uwierzytelnianie
Forum PHP.pl > Forum > PHP
TomASS
8.04.2011, 07:55:42
Cześć!

Mam zamiar prezentować użytkownikom bardzo "prywatne dane" (dokumenty). Chciałbym wprowadzić dodatkowe zabezpieczenie od loginu? Czy ma może ktoś jakiś pomysł? Filtracja adresów IP odpada (użykownicy często zmieniają lokalilzację), VPN także odpada, karty inteligentne niestety też sad.gif

Może wysyłanie jakiegoś "tokena" SMSem?
Może wpisanie dodatkowej danej "NIP/PESEL" (ale to każdy może poznać).
Numer ostatniego dokumenty (ale co z pierwszym logowanie, oraz co jeśli użytkownik zapomniał)

sad.gif
modern-web
8.04.2011, 13:32:23
Potwierdzenie logowania mailem? Chyba najłatwiejszy i najbardziej `realny` sposób...
Ewentualnie możesz pokombinować np. z kodami bezobsługowymi -> patrz DotPay.pl albo Platnosci.pl ale to już kosztuje...
Więc jak już mówiłem; najlepiej tak:

1. podanie usera i hasła
2. losowanie np. 8. znakowego kodu i zapis do bazy w pustej kolumnie (np. key)..
3. wysłanie kodu na maila użytkownika
4. użytkownik odbiera maila z kodem
5. wpisuje pole w odpowiednim miejscu na stronie
6. zalogowany!
7*. możesz skasować w tym momencie zawartość tego pola dla danego usera ale nie musisz... zależy od tego czy w punkcie 2. będziesz wykonywał INSERT, czy UPDATE. W zasadzie bezpieczniej byłoby kasować tę zawartość za każdym razem ale nie nie ma to większego znaczenia jeśli zostanie nadpisana zanim dojdzie do kolejnej weryfikacji kodu.

Pozdrawiam wink.gif
TomASS
8.04.2011, 14:12:04
Pomysł dobry, dołożyłbym jeszcze kodowanie tych "haseł".
Czekam na więcej pomysłów smile.gif
modern-web
8.04.2011, 20:34:07
To rzecz oczywista. Wszystkie tego typu dane powinno się odpowiednio zaszyfrować.
Jeśli chcesz zwiększyć bezpieczeństwo na poziomie przesyłu danych to polecam certyfikat SSL - niestety to także kosztuje; nie dość, że sam certyfikat to jeszcze specjalny serwer... no ale jak kto lubi wink.gif
Jeśli chodzi o inne zabezpieczenia... znalazłoby się jeszcze kilkadziesiąt sposobów ale pamiętaj, że:
1. im więcej zabezpieczeń tym więcej luk;
2. użytkownik musi mieć jak najłatwiej... sam chyba przyznasz, że nie uśmiechałoby Ci się wpisywanie 10 różnych haseł by na 2 min zalogować się do jakiegokolwiek panelu... prostota też jest istotna;

Ogólnie... SMS / mail - to jedyne 2 opcje jakie polecam. SSL to standard przy udostępnianiu bardzo ważnych informacji.
Dodatkowo odpowiednie szyfrowanie i brak luk w zabezpieczeniach.

Pozdrawiam smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.