Sterowanie za pomocą SUPLI to już od dawna coś więcej niż niewinne sterowanie pojedynczą żarówką gdzieś w pokoju. Dużo osób ma już niemal całe pomieszczenia/domy sterowane przez suple oraz urządzenia "wrażliwe" typu grzałki, pompy wody lub czujniki w ważnych miejscach - dostęp osoby trzeciej do takich danych może wiele powiedzieć o domowniku (np. jego obecność w domu) czy też może narobić wiele poważnych problemów (sterowanie grzałkami, pompami)
Dobrym rozwiązaniem jest po zalogowaniu przez przeglądarkę prostym kliknięciem dodać możliwość rejestracji telefonów/urządzeń - jest to mega wygodne i ogranicza jakąkolwiek konfigurację np. w aplikacji do minimum. Ale moim zdaniem dostęp do cloud.supla.org powinien być dodatkowo zabezpieczony pod względem logowania.
Teraz przychodzi @ o nieudanym logowaniu, ale jeśli ktoś zna hasło to może być zalogowanym a użytkownik może o tym nie wiedzieć.
Weryfikacja SMS to zapewne dodatkowy koszt, więc może po prostu dodać drugi etap logowania poprzez podanie kodu weryfikacyjnego (który można dowolnymi generatorami uzyskać - chociażby przy użyciu google authenticator). Klucze fizyczne do u2f to też ciekawy temat ale pewnie mało osób go posiada.
Po włączeniu takiej dwuetapowej weryfikacji można by również jednorazowo wygenerować kilka kluczy zapasowych - które by służyły do zalogowania w przypadku kiedy zapomni się hasła/straci dostęp do emaila czy też straci możliwość wygenerowania kodu do dwuetapowego logowania. Obecnie chyba jedyną opcją odzyskania konta to reset przez emaila - a co w przypadku utraty dostępu do emaila?
Gdyby do tego dorzucić opcję zapamiętania danego urządzenia (np. komputera domowego) dwuetapowe logowanie byłoby potrzebne tylko raz - a potem dla użytkownika byłoby "po staremu" - jednak dużo bezpieczniej gdyż nawet znając hasło nikt nie dostanie się do cloud.supla.org
Może warto w przyszłości coś takiego wprowadzić? Co o tym sądzicie? Zapraszam do dyskusji
Dwuetapowe logowanie do cloud.supla.org
Już jest to dodane w Issues
https://github.com/SUPLA/supla-cloud/issues/303
https://github.com/SUPLA/supla-cloud/issues/303
Coraz więcej moich znajomych skłania się w kierunku Supli, dzisiaj rozmawiałem z przyjacielem i zwrócił uwagę na brak 2FA w cloud - dlaczego tak jest? Nie jest to planowane?
Zawsze pozytywny
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Chętnie podbiję temat.
Dokładnie tak, szczególnie, że co chwila słychać o jakiś wyciekach baz danych (sam padłem ofiarą, przez źle składowane dane i zabezpieczenia w fiemie gdzie pracuje i każdy musiał wymieniać dowody), więc jestem trochę przewrażliwiiony na tym punkcie teraz. 2FA staram sie ustawiać w każdym seriwsie, który jest choć troche bardziej ważny dla mnie. A Supla to w zasadzie jest coś nawet bardziej prywatnego niż mail, bo to steruje moimi fizycznymi urządzeniami w domu.
Dokładnie tak, szczególnie, że co chwila słychać o jakiś wyciekach baz danych (sam padłem ofiarą, przez źle składowane dane i zabezpieczenia w fiemie gdzie pracuje i każdy musiał wymieniać dowody), więc jestem trochę przewrażliwiiony na tym punkcie teraz. 2FA staram sie ustawiać w każdym seriwsie, który jest choć troche bardziej ważny dla mnie. A Supla to w zasadzie jest coś nawet bardziej prywatnego niż mail, bo to steruje moimi fizycznymi urządzeniami w domu.
Jest w issue już jakiś czas
https://github.com/SUPLA/supla-cloud/issues/303
https://github.com/SUPLA/supla-cloud/issues/303
Faktycznie "jakiś"
Zawsze pozytywny
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Pozwolę sobie rok później wrócić i zapytać czy coś w tej materii się rusza?
Zawsze pozytywny
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Trochę Shelly + Supla + Zamel + Tradfri z Ikea z żarówkami + google home.
Na razie inne priorytety. Czeka w kolejce.
- uchnast.michal
- Posty: 1074
- Rejestracja: wt cze 04, 2019 11:37 am
Długie hasło, np: "KochamSuplęNajbardziejNaŚwiecieToNieŻarcik" i hashcat.net wymięka
Jeśli 2FA jest w kolejce to oznacza, że prędzej czy później ale się pojawi.
Tak wiele się dzieje, każdy na coś czeka. Fakt, z argumentem dotyczącym bezpieczeństwa ciężko polemizować ale wystarczy odrobina świadomości i odpowiedzialności.
Czy Google Authenticator https://pl.wikipedia.org/wiki/Google_Authenticator nie byłby rozwiązaniem? Jest dostępny również na App Store.
Tutaj został opisany sposób działania: https://www.codementor.io/@slavko/googl ... -du1082vho
i klasa PHP: https://github.com/Voronenko/PHPOTP - licencja MIT
Jeśli 2FA jest w kolejce to oznacza, że prędzej czy później ale się pojawi.
Tak wiele się dzieje, każdy na coś czeka. Fakt, z argumentem dotyczącym bezpieczeństwa ciężko polemizować ale wystarczy odrobina świadomości i odpowiedzialności.
Czy Google Authenticator https://pl.wikipedia.org/wiki/Google_Authenticator nie byłby rozwiązaniem? Jest dostępny również na App Store.
Tutaj został opisany sposób działania: https://www.codementor.io/@slavko/googl ... -du1082vho
i klasa PHP: https://github.com/Voronenko/PHPOTP - licencja MIT
e-talking............
Byłem tam - Supla Offline Party 2023
Byłem tam - Supla Offline Party 2023