Github – robthree/twofactorauth: php library for two factor authentication (tfa / 2fa)

OATH или другая сертификация. Является ли членом OATH?

Начнем с того, какие стандарты в мире двухфакторной аутентификации существуют. Тут все просто: решение построено в соответствии с

или нет. Соответствие стандартам, а значит и безопасность, заверяет ОATH-сообщество, подвергая решение разнообразным тестовым проверкам. Помимо этого, многие компании стремятся стать участниками данного сообщества, чтобы поднять свой престиж. Членство бывает двух видов: Coordinating и Contributing. Первый вид позволяет даже вносить предложения для развития стандарта.

Детальный анализ

VASCO

Contributing Members, их решение сертифицировано.

SafeNet (Aladdin)
Contributing Members, их решение сертифицировано.

RSA (EMC)
Не может являться членом OATH, потому что применяет свой проприетарный алгоритм. Хорошо это или плохо? Введите в поисковике «rsa токен взлом» и узнаете почему RSA заменила миллионы токенов. Однако, токены с уязвимостями до сих пор можно приобрести в Интернете.

Gemalto
Coordinating Members — высшая степень участия, их решение сертифицировано.

Yubico
Contributing Members, их решение сертифицировано.

McAffe
Не является членом OATH, их решение не сертифицировано, но на их сайте проскочила фраза о поддержке стандартных токенов: «any OATH-based token».

Protectimus
Coordinating Members — высшая степень участия, их решение сертифицировано.

DUO Security
Не является членом OATH, но поддерживает стандартные OATH-токены.

smspasscode
Не является членом OATH.

Feitian
Contributing Members, их решение сертифицировано.

Отсутствие лишней бюрократии (регистрация, служба поддержки, доступ к материалам, прайс-лист)


В данном разделе пойдет речь о том, насколько быстро можно узнать о ценовых предложениях, получить ответ на интересующий технический вопрос, приступить к работе с системой.

Детальный анализ

VASCO

Очень крупная компания и от этого есть определенные неудобства для конечных пользователей. На их сайте очень много ссылок и информации, которая, зачастую, не приносит пользы. Ответ на запрос по почте (я говорю не о шаблонном письме, в котором они пишут, что рады моему интересу к их компании) может пройти более, чем через полгода. Это реальный факт.

SafeNet (Aladdin)
У меня есть личный печальный опыт внедрения данного решения и общения с их службой поддержки по техническим вопросам. До сих пор в скайпе куча контактов их техподдержки. После 3-х месяцев попыток решить мой вопрос с локальным представителем, пришлось обратиться в их основной офис. Компания страдает от проблем, присущих крупным организациям: чтобы узнать цены и/или получить SDK, необходимо делать запросы и ждать.

RSA (EMC)
Очередной монстр с миллиардными оборотами. Крупнее их только IBM (шутка).
Для любых вопросов нужно связываться с их представителями, потому что на сайте найти полезную информацию сложно.

Gemalto
Еще одна компания с 10 000 работниками и миллиардными доходами. Если что-то найдете на их сайте при помощи поиска, то считайте, что Вам повезло.

Yubico
У них все просто: купил токен одним кликом и скачал сервер, который находится в открытом доступе. Они обещают для своих токенов бесплатную аутентификацию в их облачном сервисе пожизненно.

McAffe
Заполнив десяток полей, Вы можете получить доступ к их системе в демо-режиме. Как и у некоторых предыдущих компаний, на сайте много маркетинговой информации (описание кейсов применения, преимуществ их решений и т.д.), которая носит слабый информативный характер.

Protectimus
Самая простая регистрация (почта и пароль). В результате Вы сразу получаете рабочий аккаунт на продакшине. На счет кладут 25 долларов для тестирования системы. Хорошо описан процесс интеграции через API. Все материалы доступны без регистрации и на русском, и на английском языках. На вопросы отвечают шустро.

DUO Security
Простая регистрация (6 полей). Хорошо описан процесс интеграции через плагины. Все материалы доступны после регистрации.

smspasscode
Доступен только демо-режим. Форма регистрации содержит 8 полей. Также надо указывать номер своего телефона, по которому они перезвонят. Документацию по интеграции через API не нашел на сайте. Триальный период надо заказывать.

Feitian
На сайте легко найти информацию о токенах и о программной части, но о том, как это купить и сколько стоит нет ни слова. Значит — надо писать, звонить, ждать ответ…

Вид предоставления услуг: SaaS или платформа

Как видите, статья получается объемной. Думаю, что для первой части уже достаточно информации.На данный момент у нас определились ряд лидеров, но в конечном результате они могут измениться, т.к. на данный момент рассмотрены только 4 критерия (а первый пункт не учитывается).

До скорого…

Installation

The best way of installing this library is with composer:

php composer.phar require robthree/twofactorauth

License

Licensed under MIT license. See LICENSE for details.

Logo / icon under CC0 1.0 Universal (CC0 1.0) Public Domain Dedication (Archived page)

Requirements

Optionally, you may need:

Usage

For a quick start, have a look at the getting started page or try out the demo.

If you need more in-depth information about the configuration available then you can read through the rest of documentation.

Ближайшие планы

Если у Вас есть пожелания по функциональности, пожалуйста, отпишитесь в комментариях.

Как добавить двухфакторную аутентификацию в wordpress

Пароли могут быть взломаны. Двухфакторная аутентификация является одним из способов избежать этого. Ее использование подразумевает то, что пользователям придется подтверждать свою личность с помощью кода, который будет отправлен на мобильный телефон или любое другое устройство.

Поэтому даже если пароль был украден, хакер не сможет получить доступ к вашему сайту без специального кода. Он может отправляться на указанный при регистрации номер телефона, электронную почту, в приложение и т. д.

Проверочный код может быть получен одним из следующих способов:

В данной статье мы приведем лучшие плагины WordPress для двухфакторной аутентификации.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Плагин двухфакторной аутентификации для WordPress, который прост в настройке и использовании. Он имеет удобный пользовательский интерфейс, поддерживает различные методы аутентификации, поддержка TOTP HOTP, защита от перебора, блокировка IP-адресов, поддержка нескольких плагинов для создания форм, совместимость в GDPR и многие другие полезные функции.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Плагин Two-Factor поддерживает четыре метода аутентификации. Вы можете отправлять коды на адрес электронной почты, использовать одноразовый пароль на основе времени (TOTP), универсальный двухфакторный FIDO (U2F) и резервные коды подтверждения.

Вы также можете активно участвовать в проекте и следить за прогрессом на Github. Плагин Two-Factor поддерживает 15 языков и имеет более 10 тыс. активных установок.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Плагин прост в настройке и использовании. При возникновении проблем в его работе разработчик готов помочь вам через форумы поддержки WordPress.org.

Плагин WordPress 2-Step Verification поставляется с множеством функций: поддержка нескольких сайтов, отправка кода на электронную почту, через SMS и резервные коды.

В случае потери мобильного телефона или проверочного кода вы сможете использовать простое восстановление через FTP. На момент написания статьи плагин не поддерживал новый блочный редактор Gutenberg.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Плагин Rublon Two-Factor Authentication прост в использовании. Нужно только установить плагин и подключить его к Rublon API с помощью системного токена и ключа безопасности.

После этого вы получите ссылку для подтверждения по электронной почте. Затем остается лишь настроить всего несколько параметров.

Rublon поддерживает несколько методов двухфакторной аутентификации: электронная почта, SMS, QR-код, push-уведомления и TOTP. Кроме этого вы сможете вносить в белый список доверенные устройства, исключая необходимость прохождения двухфакторной аутентификации при последующих входах в систему.

Данный плагин поддерживает пять языков. А эксперты по безопасности прекрасно отзываются о нем.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Это полноценный движок, который позволяет отправлять SMS прямо из панели администрирования WordPress. Плагин поставляется с бесплатной и простой в использовании функцией двухфакторной аутентификации.

Преимущества GatewayAPI:

  • Возможность добавления пользовательских данных в SMS.
  • Импорт списка получателей из файла CSV.
  • Осуществление массовой рассылки.
  • Сегментация и группировка получателей.
  • Шорткоды.
  • Повторна авторизация при каждом входе в систему или запоминание устройств на 30 дней.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Плагин, доступный на Codecanyon, за 19 долларов. После его установки на сайте при входе в систему генерируется одноразовый пароль, который отправляется на мобильный телефон пользователя. Доступ к сайту предоставляется только после ввода кода, который действует только в течение строго определенного периода времени.

Данный плагин защитит вас от атак методом перебора. И даже если вы забудете выйти из системы, 5sec Google Authenticator автоматически выполнит выход.

А в случае потери смартфона для входа в систему с помощью логина и пароля может быть использован уникальный URL-адрес сайта.

ПОСМОТРЕТЬ ДЕМОУЗНАТЬ БОЛЬШЕ И СКАЧАТЬ

Чтобы использовать этот плагин, нужно установить его, активировать и подписаться на сервис. При регистрации вам будет предоставлен доступ к ключам безопасности. Затем вы сможете указать роли пользователей, для которых необходимо включить двухфакторную аутентификацию.

Пользователи смогут аутентифицироваться несколькими различными способами. А также использовать одноразовые коды, доставляемые сервисами обмена сообщениями на мобильные телефоны, генерируемые аппаратным токеном или мобильным приложением Duo.

Это были некоторые из лучших плагинов двухфакторной аутентификации для WordPress. Надеемся, что вы нашли наиболее подходящий для себя. Но мы рекомендуем плагин Google Authenticator от miniOrange.

Пожалуйста, оставьте свои комментарии по текущей теме материала. Мы очень благодарим вас за ваши комментарии, лайки, отклики, дизлайки, подписки!

Дайте знать, что вы думаете по этой теме в комментариях. За комментарии, лайки, дизлайки, подписки, отклики огромное вам спасибо!

Постановка задачи

Было решено сделать супер универсальный и надёжный модуль двухфакторной авторизации по смс, который легко встроить на любой сайт, и продавать его по подписке! Да здравствует стартап!

Для переносимости и безопасности решено всё, что можно, вынести на сервер отправки смс и в JavaScript, чтобы на сервере сайта было как можно меньше кода. После вдумчивых размышлений получилась вот-такая архитектура.

Похожее:  Разобрался с работой с AD из PHP... - Моя работа - понимать... — ЖЖ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *