1. Jfm Member

    2step authentication

    Topic geplaatst op: 27-11-2014 om 08:45

    Beste Versio,

    Sinds alleen een wachtwoord niet meer van deze tijd is, stel ik voor om 2step authentication te implementeren bij het inloggen via het klantenpaneel.
    Zo ver ik weet zijn er 2 gebruiksvriendelijke vormen van 2step authentication:
    1. TOTP, een op tijd gebaseerde authenticatie token die bijvoorbeeld op een smartphone kan worden ingesteld, elke 30 seconden een nieuwe code.
    2. SMS code, er wordt een SMS gestuurd naar het telefoonnummer van de klant.
    Deze codes moeten dan worden ingevuld nadat het inloggen met wachtwoord is gelukt.

    Nadelen:
    Voor TOTP zijn er verschillende apps gemaakt maar de tijd van de server en client moet het zelfde zijn. Dit kan worden opgelost door Google Authenticator(app voor smartphone die synchroniseert met UTC van Google die wat afwijkt) te gebruiken. De server kan de tijd ook ophalen bij Google maar daar is zo ver ik weet geen API voor, toch kan deze worden opgehaald via een header van een HTTP request.
    SMS-kosten voor Versio, SMS-kosten voor klant wanneer deze zich in het buitenland bevindt.

    Mvg,
    Jules

  2. Dennis Van Dalen Member
    Reactie geplaatst op: 11-11-2015 om 23:04

    Iemand enig idee of dit nog op de planning staat? Concurrenten doen het al wel

    Vond u dit antwoord nuttig?

  3. Gerald Versio medewerker
    Reactie geplaatst op: 11-11-2015 om 23:18

    Ja hier zijn wij reeds mee bezig en zal waarschijnlijk vanaf morgen al mogelijk zijn. Zodra dit mogelijk is zullen we dit als nieuwsbericht op de Versio website plaatsen.

    Vond u dit antwoord nuttig?

  4. Dennis Van Dalen Member
    Reactie geplaatst op: 11-11-2015 om 23:19

    Nice, wat een timing met mijn reply dan :p

    Vond u dit antwoord nuttig?

  5. golfer1 Member
    Reactie geplaatst op: 12-11-2015 om 12:13

    Interessant maar ik wil graag dat dit een keuze is en niet een verplichting.

    Vond u dit antwoord nuttig?

  6. Alex Versio medewerker
    Reactie geplaatst op: 12-11-2015 om 12:19

    Het zal inderdaad een optie zijn, hoeft dus niet te worden ingeschakeld als u dat niet wil.

    Vond u dit antwoord nuttig?

  7. Hendrik Geertsma Member
    Reactie geplaatst op: 26-01-2016 om 16:40

    Om dan nog even terug te komen op dit draadje; is het een idee/mogelijkheid om ook de implementatie voor YubiKeys (http://www.yubico.com/) toe te voegen?

    Vond u dit antwoord nuttig?

  8. Justin Versio medewerker
    Reactie geplaatst op: 26-01-2016 om 17:09

    Hallo Hendrik,

    Wij zijn helaas niet van plan ook yubikeys te implementeren in het systeem.

    Vond u dit antwoord nuttig?