PHP 2-Faktor-Authentifizierung programmieren

[mw197]

Hallo,

Ich möchte meine Anwendungen auf PHP 7 umstellen und gleichzeitig auch die Sicherheit per 2-Faktor-Authentifizierung erhöhen.
Viele Anwendungen machen das ja mit SMS und der Zusendung eines PINs aber das kann ich aus technischer Sicht nicht so einfach umsetzen. Einen externen Dienst möchte ich dazu auch nicht verwenden, da ich nicht weiß, was die dann mit den ganzen Handy-Nummer und so machen.

Ich dachte mir nun, ich schicke eine PIN an die hinterlegte E-Mail eines Anwenders. Diese können sie ja am Smartphone abrufen.

Spricht da irgend etwas gegen? Oder gibt es von eurer Seite eine bessere Idee?

Würde mich über Tipps freuen. Programmierung und Umsetzung ist kein Problem, nur halt ein paar Ideen zur sinnvollen Umsetzung wären gut.

Danke im Voraus!

 

[blablub1212]

Es gibt einen großen Dienst, den quasi jedes Unternehmen nutzt um diese 2-Faktor-Authorisierung per SMS abzuwickeln. Dieser findest du unter: https://www.twilio.com und ich kann dir nur empfehlen, dass du das ebenfalls über diesen Dienst abwickelst.

Per Email halte ich persönlich für wenig sinnvoll, denn meist ist deine Seite wohl nicht der Angriffspunkt, sondern eher direkt die Email-Adresse eines potentiellen Opfers oder es werden schlicht auf beiden Plattformen das gleiche Passwort verwendet. Daher hat ein Angreifer eines von beiden, dann kann er sich einloggen und ebenfalls Dank Pin per Email gleich die 2-Faktor-Authtentifizierung umgehen.

 

[master.rv]

Hi,

wie wäre es mit diese Methode? http://www.phpgangsta.de/kein-hexenwerk-smsmms-mit-php-versenden

 

[mw197]

Danke euch, externe Anbieter kommen aber nicht in frage aus rechtlichen Gründen. Aber das mit der E-Mail klingt schon plausibel, blablub y

 

[asdfman]

https://tools.ietf.org/html/rfc6238

 

[tRITON]

Du kannst auch ein GRPS Modem kaufen und mit einer Sim-Karte mit deinem Server über eine Serielle Verbindung anschließen (USB->Seriall Adapter geht auch) und das Modem dann per Serieller Schnittstelle und AT-Befehlen ansprechen. So kannst du selbst die SMS versenden.

 

[ice-breaker]

E-Mail ist als 2. Faktor absolut ungeeignet, da es kein 2. Faktor ist: Du kannst dein Passwort (1. Faktor) per Email resetten und schickst einen einmaligen Code (2. Faktor) auch an die Email-Adresse? absolut kein Sicherheitsgewinn.

Ich kann mich asdfman's Vorschlag nur anschließen: TOTP ist simpel implementiert, kostet absolut kein Geld und der Nutzer muss nur den QR-Code mit seinem Smartphone und einer entsprechenden App fotografieren und die generiert ihm alle 30 Sekunden einen neuen Code (2. Faktor): http://jacob.jkrall.net/totp/


@triton: und ist in den AGB jedes Mobilfunkvertrages untersagt...