Jak na zavedení dvoufaktorové autentizace pomocí SMS

16. 10. 2013 14:26:50

Jak moc nákladné by bylo zavedení dvoufaktorové autentizace pomocí SMS ve webové aplikaci? Vytvořena je v PHP, je v několika jazycích a zákazníci jsou z různých částí světa (byť ČR a obecně Evropa dominuje). Dnes existují paušální tarify, tak snad nějaké možnosti jsou.

Zajímala by mě praktická zkušenost s implementací, dále spolehlivost doručování SMS a eventuálně i orientační náklady (jednorázové, průběžné). Dále by mě zajímal způsob řešení situací, kdy zákazník tvrdí, že mu SMS nepřichází, zda mu v takovém případě umožnit přihlášení jiným způsobem. Děkuji.

---------- Příspěvek doplněn 16.10.2013 v 14:33 ----------

Ještě rozšířím otázku, zda se někdo někdy přihlašoval do internetového bankovnictví z nějaké exotické lokality, kde bývá špatné pokrytí signálem GSM (pralesy, pouště, tajgy apod.), zda autorizační SMS dorazila a podařilo se do IB přihlásit.

16. 10. 2013 14:26:50

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956387

trosa

(4 hodnocení)

16. 10. 2013 14:35:30

No, na nejake flat tarify bych zapomel, protoze:

1) nejsou neomezene - obvykle rekneme treba omezeni je kolem 10k sms a navic v podminkach je, ze je nezneuzivas k omchodni cinnosti a pod.

2) aby jsi vyuzil flat tarify, potrebujes SIM, k tomu se vaze modem a tam pocitej ze 1 SMS je cca 6-8 vterin. To ale znamena ze od kliknuti, nez se to ulozi do DB, nez si v DB nekdo SMS vsimne, nez ji posle a nesmi byt ve fronte jina, nesmi ti nikdo na to cislo volat (jde resit presmerovanim do schranky), nesmi ti nikdo posilat prichozi SMS (to ti pochopitelne blokuje komunikaci na modemu), nesmi ti prichazet dorucenka.

Suma sumarum si musis vzit nejake prime napojeni k operatorovi a tam pak pocitej do vlastni site obvykle kolem 60-80h, zalezi jak si to vyhadas. Do cizi site i 1,5 - 2kc. Doruceni pak v ramci vteriny. Ale opet - maji nejakou propusnost (treba 100sms / sec). Za vyssi se plati.

Takze jde to, ale nebude to nikdy levne. Proto to maji treba jen banky a tak, protoze si to tam zaplatis v poplatcich.

16. 10. 2013 14:35:30

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956386

buzuluk

16. 10. 2013 14:42:18

Aha, děkuji za uvedení do reality. Equa bank, Fio, Artesa... jsou bezpoplatkové a autentizaci pomocí SMS mají.

Co znamená 60-80h? "h" je hodina?

16. 10. 2013 14:42:18

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956385

testovaci2

16. 10. 2013 14:52:14

Napsal buzuluk;1010692
aha, děkuji za uvedení do reality. Equa bank, fio, artesa... Jsou bezpoplatkové a autentizaci pomocí sms mají.
Co znamená 60-80h? "h" je hodina?

nienienienie

16. 10. 2013 14:52:14

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956384

Jiří Adámek

(20 hodnocení)

16. 10. 2013 15:02:06

Lze to vytvořit, nicméně počítejte s tím, že jak již bylo řečeno, flat tarify nejsou neomezené, ale mají svůj pomyslný strop, kdy se o to začínají u operátora zajímat a pakliže vyhodnotí, že je služba zneužívána, tak Vám vše dofakturují. Tento strop je většinou nastaven na cca 10tis. SMS / měsíc. Tedy pro menší objemy to lze využít.

Cena za HW sms bránu: cca 3,5 tis Kč bez DPH

Cena za software: dle požadavků cca 2-5tis Kč bez DPH.

Co se týče samotné politiky, tj co se stane když SMS nepřijde apd, tak to je už samozřejmě na nastavení dané aplikace. Například v bance má člověk prostě smůlu nebo má k dispozici bankéře na telefonu.

PS: h = haler :-))

2trosa: Ty sekundy nejsou samozřejmě reálné. HW brána zvládne dle specifikací v řádu jednotek tisíc SMS za hodinu. Komunikace s DB apd. jsou zanedbatelné.

16. 10. 2013 15:02:06

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956383

Petr Parimucha

(16 hodnocení)

16. 10. 2013 15:08:11

Nešlo by využít raději Google Authenticator? Klient pro Android i iOS a bude to určitě spolehlivější než SMS.

16. 10. 2013 15:08:11

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956382

buzuluk

16. 10. 2013 15:19:46

Google Authenticator tam už mám, ale ne každý má smartphone (vč. mě).

16. 10. 2013 15:19:46

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956381

trosa

(4 hodnocení)

16. 10. 2013 17:54:28

pokud mas HW branu co zvladne tisice SMS za hodinu, prosim odkaz. Nic takoveho neznam (pokud se nebavime o HW brane co ma X modemu a tedy SIM karet). SMS pres modemy jsem posilal asi tak 6 let pres ruzne HW. Je pravda ze uz je to tak 5 let, tak je neco noveho nebo snad jine protokoly, ale nevim nevim...

16. 10. 2013 17:54:28

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956380

tuk

(2 hodnocení)

17. 10. 2013 11:40:03

O2 má (nebo alespoň před lety měla) API pro posílání SMS. Stačilo poslat POST na jejich webovou službu a od nich odešla SMS.

17. 10. 2013 11:40:03

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956379

(20 hodnocení)

17. 10. 2013 11:42:09

Me by zajimalo kde porad vsichni berou tu mystifikaci ze flat tarify nejsou neomezene, znam hned nekolik lidi/firem co pres to posilaji tisice zprav o skoro stejnem zneni a nikdy s tim nemeli problem...

17. 10. 2013 11:42:09

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956378

Jiří Adámek

(20 hodnocení)

17. 10. 2013 19:20:37

To není mystifikace, stačí si přečíst obchodní podmínky operátorů ;)

Hledat to konkrétně nebudu, ale viz článek. Kdo chce, ať si to najde.

http://mobil.idnes.cz/neomezene-tarify-o2-0o2-/mobilni-operatori.aspx?c=A130722_124258_mobilni-operatori_jm

17. 10. 2013 19:20:37

https://webtrh.cz/diskuse/jak-na-zavedeni-dvoufaktorove-autentizace-pomoci-sms#reply956377

carlos

(19 hodnocení)