Přihlašte se QR kódem

PHP QR Code - QR code generator, an LGPL PHP library

23. 4. 2015 14:12:55

V com sa to odlisuje od akejkolvek inej QR kniznice?

Tzn. v systeme si vygenerujem prihlasovaci link ktory iba zobrazim v QR formate...?

23. 4. 2015 14:12:55

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108516

23. 4. 2015 14:22:37

Napsal node;1189148
V com sa to odlisuje od akejkolvek inej QR kniznice?
PHP QR Code - QR code generator, an LGPL PHP library

Tzn. v systeme si vygenerujem prihlasovaci link ktory iba zobrazim v QR formate...?

Nejedná se o generátor QR kódu. QR kód se používá jako prostředek, jak oslovit mobilní (často soukromé) zařízení k vybavení soukromého klíče a podepsání výzvy a tím dojde k ověření identity namísto zadávání jména a hesla. Celé je to postaveno jako poskytovatel identity s protokolem OAuth 2.0.

Není to nic technologický výjimečného, asi jednotlivé části by bylo možné vyřešit jinak nebo líp. Jde jen o celkový systém, jehož ambicí má být stat se alternativním způsobem přihlášení vedle jméno+heslo, facebook login, google+ login. Stačí na webovku přidat tlačítko QR Login a zařídit získání identity přes OAuth jako třeba o google. Je to bezpečnější než jméno+heslo, podobný systém identifikace se používá například u SSH, kde je tento způsob intuitivní a velice oblíbený.

23. 4. 2015 14:22:37

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108515

krnac

(14 hodnocení)

23. 4. 2015 14:39:16

nějak tomu nerozumím, asi sem totálně blbej, to jako že budu mít vedle tlačítka login, ještě jedno na které kliknu, zobrazí se QR, já ho načtu do mobilu, a dále co....

23. 4. 2015 14:39:16

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108514

23. 4. 2015 14:46:08

Napsal krnac;1189157
nějak tomu nerozumím, asi sem totálně blbej, to jako že budu mít vedle tlačítka login, ještě jedno na které kliknu, zobrazí se QR, já ho načtu do mobilu, a dále co....

Zaptám se jinak, víte, jak funguje přihlášení pomocí Google+?

Po tom, co potvrdíte přihlášení poskytne Google+ unikátní ID vaší maličkosti na Google+. Stránka, kam se přihlašujete má k této identitě přidělený účet, který vám na tomto základě zpřístupní

Tohle funguje naprosto stejně. Akorát že ID vaší malíčkosti je uložena v telefonu a pokaždé, když oskenujete QR kód, je poskytnuta stránce, který vám na základě toho zpřístupní váš účet.

Třeba představte si, že se přihlašujete na Webtrh. Buď napíšete jméno a heslo, nebo kliknete na příhlášení přes QR. Kód naskenujete, otevře se stránka, která požadavek podepíše a odešle na server a server pak stránce Webtrh poskytne identitu a dojde k příhlášení bez nutnosti zadávat jméno a heslo. Přitom se nikdy nestane, že by vaši identitu mohl mít někdo jiný, nebo ji Webtrhu podvrhnout.

23. 4. 2015 14:46:08

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108513

23. 4. 2015 14:53:11

15241

Jinými slovy - QR kód je tam čistě jen na okrasu. Standardně se to řeší spíš tak, že se na webu klikne přihlášení a na mobilu rovnou vyskočí notifikace pro potvrzení. Samozřejmě až po zadání hesla na webu (jinak by to nebylo dvoufaktorové)

23. 4. 2015 14:53:11

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108512

23. 4. 2015 14:58:43

Napsal Souki;1189160
15241
(jinak by to nebylo dvoufaktorové)

Jste vedle jak ta jedle, ale nechci se hádat. Dvoufaktorové ověření znamená, že musíte splnit dvě věci. Dokázat že něco víte a dokázat že něco máte. V QR Loginu lze soukromý klíč zabezpečit heslem/pinem/passfrází. To je to co víte. To co máte je to zařízení. Z toho dvoufaktorové ověření. Výhodou je také to, že míru zabezpečení si volí uživatel sám.

Osobně nemám rád haterský příspěvky bez konstruktivní kritiky. OMG NO bez vysvětlení já říkám OMG na ten obrázek.

Je zajímavý, že víte, jak je to OMG, ale ještě jste si to nezkusil (protože koukám do logů a poslední test proběhl před 40 minutama)

23. 4. 2015 14:58:43

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108511

23. 4. 2015 15:03:29

QR kód je naopak méně bezpečný, protože se s každým požadavkem musí přenášet všechny informace (přestože zašifrované). Například v případě opisování čísla z mobilní aplikace to funguje takto:

- při prvním nastavení mobilní aplikace se do ní zadá soukromý klíč, který poskytne webová aplikace

- při dalším přihlašování k webu se pak spolu s heslem přidá číslo, které vygeneruje aplikace. Ta ho vygeneruje na základě soukromého klíče, který má uložený u sebe a nikam ho neposílá

Tento postup pak jde zjednodušit a odstranit opisování čísel.

- při první nastavení aplikace se uloží soukromý klíč

- při přihlašování pošle web push notifikaci na mobil. Uživatel to mobilu požadavek potvrdí a mobil odešle kód na web - komunikace je úplně stejná, jen se odstraňuje nutnost něco opisovat

23. 4. 2015 15:03:29

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108510

23. 4. 2015 15:04:30

Zeptám se jinak - v čem je skenování kódu lepší než postup, který jsem popsal?

23. 4. 2015 15:04:30

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108509

23. 4. 2015 15:06:45

Napsal Souki;1189164
QR kód je naopak méně bezpečný, protože se s každým požadavkem musí přenášet všechny informace (přestože zašifrované). Například v případě opisování čísla z mobilní aplikace to funguje takto:

Pořád musíte zadávat jméno a heslo. Člověče zkuste si to, ať se tady bavíme nad reálným příkladem

23. 4. 2015 15:06:45

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108508

Jiří Adámek

(20 hodnocení)

23. 4. 2015 15:08:44

Já to sice chápu, nicméně dle mého názoru je to zbytečně složité.

Běžně se to řeší přes generátor tokenů, které generuje aplikace v mobilu a to offline. Není potřeba nic skenovat, klikat.

Přesněji kliknu na ikonu appky, hned vidím jaký PIN mám zadat pro přihlášení. Otázka 5 sekund :-)

23. 4. 2015 15:08:44

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108507

23. 4. 2015 15:22:02

chápu zdroj nedorozumění. není to genrator tokenu. Ta identita plně nahrazuje celé přihlášení, není třeba do stránky cokoliv zadávat, kliknu oskenuju potvrdim a jsem tam

23. 4. 2015 15:22:02

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108506

23. 4. 2015 15:45:41

Napsal bredy;1189176
chápu zdroj nedorozumění. není to genrator tokenu. Ta identita plně nahrazuje celé přihlášení, není třeba do stránky cokoliv zadávat, kliknu oskenuju potvrdim a jsem tam

Pak to ale není dvou faktorové přihlašování.

23. 4. 2015 15:45:41

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108505

krnac

(14 hodnocení)

23. 4. 2015 16:24:34

Napsal bredy;1189159
Zaptám se jinak, víte, jak funguje přihlášení pomocí Google+?
Po tom, co potvrdíte přihlášení poskytne Google+ unikátní ID vaší maličkosti na Google+. Stránka, kam se přihlašujete má k této identitě přidělený účet, který vám na tomto základě zpřístupní
Tohle funguje naprosto stejně. Akorát že ID vaší malíčkosti je uložena v telefonu a pokaždé, když oskenujete QR kód, je poskytnuta stránce, který vám na základě toho zpřístupní váš účet.
Třeba představte si, že se přihlašujete na Webtrh. Buď napíšete jméno a heslo, nebo kliknete na příhlášení přes QR. Kód naskenujete, otevře se stránka, která požadavek podepíše a odešle na server a server pak stránce Webtrh poskytne identitu a dojde k příhlášení bez nutnosti zadávat jméno a heslo. Přitom se nikdy nestane, že by vaši identitu mohl mít někdo jiný, nebo ji Webtrhu podvrhnout.

Stále vám nerozumím, prosím stručně a jasně, př:

jak to dělám já, napíšu heslo a jméno, potom po mě stránka chce jedinečný kod který si vygeneruji v mobilu ten přepíšu do stránky a můžu se přihlásit.

Váš postup:

napíšu jméno a heslo, spustím QR čtečku, ta mi vygeneruje kod, který následně přepíšu, je to takto správně?

prosím ještě o vysvětlení vašeho textu:

Kód naskenujete: kam se naskenuje.

otevře se stránka: kde, v mobilu, nebo PC?

která požadavek podepíše a odešle na server: kde se podepíše, v mobilu nebo PC

nemůžete si myslet že co máte v halvě vy, chapou i méně zdatní těchto záležitostí.

23. 4. 2015 16:24:34

https://webtrh.cz/diskuse/prihlaste-se-qr-kodem#reply1108504