Dwuetapowe logowanie do cloud.supla.org

Masz pomysł na funkcjonalność lub koncepcję na rozwój projektu. Opisz wszystko tutaj.
Pawele
Posty: 176
Rejestracja: wt wrz 05, 2017 5:59 pm

Sterowanie za pomocą SUPLI to już od dawna coś więcej niż niewinne sterowanie pojedynczą żarówką gdzieś w pokoju. Dużo osób ma już niemal całe pomieszczenia/domy sterowane przez suple oraz urządzenia "wrażliwe" typu grzałki, pompy wody lub czujniki w ważnych miejscach - dostęp osoby trzeciej do takich danych może wiele powiedzieć o domowniku (np. jego obecność w domu) czy też może narobić wiele poważnych problemów (sterowanie grzałkami, pompami)

Dobrym rozwiązaniem jest po zalogowaniu przez przeglądarkę prostym kliknięciem dodać możliwość rejestracji telefonów/urządzeń - jest to mega wygodne i ogranicza jakąkolwiek konfigurację np. w aplikacji do minimum. Ale moim zdaniem dostęp do cloud.supla.org powinien być dodatkowo zabezpieczony pod względem logowania.

Teraz przychodzi @ o nieudanym logowaniu, ale jeśli ktoś zna hasło to może być zalogowanym a użytkownik może o tym nie wiedzieć.

Weryfikacja SMS to zapewne dodatkowy koszt, więc może po prostu dodać drugi etap logowania poprzez podanie kodu weryfikacyjnego (który można dowolnymi generatorami uzyskać - chociażby przy użyciu google authenticator). Klucze fizyczne do u2f to też ciekawy temat ale pewnie mało osób go posiada.
Po włączeniu takiej dwuetapowej weryfikacji można by również jednorazowo wygenerować kilka kluczy zapasowych - które by służyły do zalogowania w przypadku kiedy zapomni się hasła/straci dostęp do emaila czy też straci możliwość wygenerowania kodu do dwuetapowego logowania. Obecnie chyba jedyną opcją odzyskania konta to reset przez emaila - a co w przypadku utraty dostępu do emaila?

Gdyby do tego dorzucić opcję zapamiętania danego urządzenia (np. komputera domowego) dwuetapowe logowanie byłoby potrzebne tylko raz - a potem dla użytkownika byłoby "po staremu" - jednak dużo bezpieczniej gdyż nawet znając hasło nikt nie dostanie się do cloud.supla.org

Może warto w przyszłości coś takiego wprowadzić? Co o tym sądzicie? Zapraszam do dyskusji ;)
Awatar użytkownika
michael
Posty: 1299
Rejestracja: śr lis 09, 2016 8:00 am
Lokalizacja: Wojkowice

:mrgreen: :mrgreen: :mrgreen:
Awatar użytkownika
Vallhalen
Posty: 163
Rejestracja: pn gru 10, 2018 9:25 am
Lokalizacja: Rumia
Kontakt:

Coraz więcej moich znajomych skłania się w kierunku Supli, dzisiaj rozmawiałem z przyjacielem i zwrócił uwagę na brak 2FA w cloud - dlaczego tak jest? Nie jest to planowane?
Zawsze pozytywny :)
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Sagaceil
Posty: 3
Rejestracja: śr gru 19, 2018 10:54 pm

Chętnie podbiję temat.
Dokładnie tak, szczególnie, że co chwila słychać o jakiś wyciekach baz danych (sam padłem ofiarą, przez źle składowane dane i zabezpieczenia w fiemie gdzie pracuje i każdy musiał wymieniać dowody), więc jestem trochę przewrażliwiiony na tym punkcie teraz. 2FA staram sie ustawiać w każdym seriwsie, który jest choć troche bardziej ważny dla mnie. A Supla to w zasadzie jest coś nawet bardziej prywatnego niż mail, bo to steruje moimi fizycznymi urządzeniami w domu.
Awatar użytkownika
michael
Posty: 1299
Rejestracja: śr lis 09, 2016 8:00 am
Lokalizacja: Wojkowice

:mrgreen: :mrgreen: :mrgreen:
Awatar użytkownika
Vallhalen
Posty: 163
Rejestracja: pn gru 10, 2018 9:25 am
Lokalizacja: Rumia
Kontakt:

Faktycznie "jakiś" :twisted: :twisted:
Zawsze pozytywny :)
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Awatar użytkownika
Vallhalen
Posty: 163
Rejestracja: pn gru 10, 2018 9:25 am
Lokalizacja: Rumia
Kontakt:

Pozwolę sobie rok później wrócić i zapytać czy coś w tej materii się rusza?
Zawsze pozytywny :)
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Awatar użytkownika
pzygmunt
Posty: 18207
Rejestracja: wt sty 19, 2016 9:26 am
Lokalizacja: Paczków
Kontakt:

Na razie inne priorytety. Czeka w kolejce.
Awatar użytkownika
uchnast.michal
Posty: 1073
Rejestracja: wt cze 04, 2019 11:37 am

Długie hasło, np: "KochamSuplęNajbardziejNaŚwiecieToNieŻarcik" i hashcat.net wymięka :)
Jeśli 2FA jest w kolejce to oznacza, że prędzej czy później ale się pojawi.
Tak wiele się dzieje, każdy na coś czeka. Fakt, z argumentem dotyczącym bezpieczeństwa ciężko polemizować ale wystarczy odrobina świadomości i odpowiedzialności.
Czy Google Authenticator https://pl.wikipedia.org/wiki/Google_Authenticator nie byłby rozwiązaniem? Jest dostępny również na App Store.
Tutaj został opisany sposób działania: https://www.codementor.io/@slavko/googl ... -du1082vho
i klasa PHP: https://github.com/Voronenko/PHPOTP - licencja MIT
e-talking............
Byłem tam - Supla Offline Party 2023
bigthomas
Posty: 234
Rejestracja: pn sie 12, 2019 3:35 pm

pzygmunt pisze: ndz kwie 03, 2022 2:45 pm Na razie inne priorytety. Czeka w kolejce.
W dzisiejszych czasach bezpieczeństwo powinno mieć najwyższy priorytet.
ODPOWIEDZ

Wróć do „Pomysły i koncepcje”