Executando verificação de segurança...
1

Autenticador de dois fatores

Utilizando o tabnews gostei muito da simplicidade de registrar, comentar e criar postagem, mas como li hoje no tabnews sobre um problema de segurança, me veio a mente que são poucos os lugares que se preocupam com a criação de contas e postagens de forma automatizada, por isso o autenticador de fois fatores é um bom mediador entre pessoas reais e API "robos" que criam e comentam e fazem outras coisas automatizadas.
Pensando nisso acredito que a comunidade aqui e outros iniciantes em programação podem olhar com um olhar critico quanto a essa questão, não só para impedir rôbos, mas como também proteger os usuários autenticos de que suas contas não sejam invadidas com facilidade.
hoje pensando nisso realizei em um dos sites que estou desenvolvendo os seguintes passos.

  • o usuário se autentica via login, o sistema envio um email com números aleatórios ou hash para seu email cadastrado.
  • salvo em uma tabela temporaria o email da sessão e o token que envie por email.
  • na tela que aparece após o login, com o email em sessão ao inserir o token faço outra verificação nesta tabela temporaria entre o email e o token, e existe uma rotina que apaga essa linha em 5 minutos após o envio do email, para não gerar lixo nem o token ser reaproveitado.
    Assim sempre que o usuário registrado for logar no site ele precisa receber o email com o token para continuar o processo de autenticação.
    (Login -> Se usuario existe ->gera o token e envia por email -> se o usurio inserir o token -> autorizado.)
    Acho que será promissor para tabnews, e para todos os nossos novos sistemas.
Carregando publicação patrocinada...
2
1

Francamente? Detesto esse modelo de autenticação como usuário, no dia a dia. Acredito que o telefone celular do usuário seria o ideal... Até pela segurança das pessoas que aqui estão participando. O gmail utiliza esse recurso quando você acessa por outro dispositivo.

2

Do ponto de vista de segurança, autenticação por número de celular é extremamente não aconselhável. SIM Swap é uma realidade e no brasil é um problema sério.

Além disso:

  • É extremamente caro. Cada mensagem de texto custa dinheiro.
  • É fácil remover o chip e usar em outro celular, burlando autenticação do usuário no aparelho.
  • Outros pontos que não convem citar aqui, achei esse artigo bom suficiente caso queira entender um pouco melhor do assunto.
2

Como usuário também detesto esse modelo de autenticação. Ao invés dessa forma, seria interessante, na minha opinião, utilizar o modelo de autenticação adotada pelo Discord, por exemplo. Na autenticação de dois fatores do Discord, utiliza-se o Authy. É bem intuitivo, só não sei se tem custos altos.

1

ótima observação, eu fiz o post pois sempre joguei nas loterias caixa no caixa online, e senpre ficava inseguro de ser tao simples login e senha somente, mas atualmente eles enviam um codigo por email, mas sem confirmar se voce é voce, basta colocar o cpf e recebe o email, e depois voce coloca a senha, penso ser a forma mais prarica e facil de se implantar, outra forma barata masi nao tao simples de se fazer é com o auth.
e sua observação sobre o celular realmente nao é tão bom.