Projekt

Obecné

Profil

Podání #20005

uzavřený

Trvalé přihlášení SSO

Přidáno uživatelem Stanislav Štipl před více než 5 roky(ů). Aktualizováno před více než 5 roky(ů).

Stav:
Dokončen
Priorita:
Normální
Přiřazeno:
Kategorie:
-
Začátek:
22.04.2019
Uzavřít do:
% Hotovo:

0%

Odhadovaná doba:

Popis

Ahoj,

jak dlouho vydrží přihlášení na auth.pirati.cz? Je nutné se přihlašovat několikrát denně, takže to efektivně brání používání 2FA. Prosím o zvážení navýšení.

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

  • Stav změněn z Nový na V řešení (diskutuje se)

Je tam nějaká rozumně krátká doba, protože pokud to někde člověk zapomene, tak se tím lze přihlásit úplně všude.

Samotná aplikace pak mají timeout delší, takže tam to takový problém není.

A využívání 2FA to nebrání, neb to tak já sám používám.

Aktualizováno uživatelem Stanislav Štipl před více než 5 roky(ů)

Když se přihlásím např. na Github a další služby, kde mám 2FA, tak to po mě již nikdy nechce znovu se přihlásit, dokud se neodhlásím nebo nevymažu cookies. A přitom taky slouží pro přihlášení k dalším službám.

Důvod se zapomenutým přihlášením chápu, ale reálně to prostě způsobí, že lidi, kteří si 2FA zkusí aktivovat, jej zase deaktivují, protože je to fakt otravné. Otázkou je, co je horší, jestli to, že někdo někde může zůstat přihlášen (což je jeho chyba, nemá se vůbec přihlašovat na cizím počítači), nebo to, že méně uživatelů bude používat 2FA.

Uměl by Keycloak checkbox "trvalé přihlášení", kdy při nezaškrtnutém checkboxu by přihlášení trvalo jako dosud a při zaškrtnutém by byla doba přihlášení výrazně delší?

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

2FA lze pro určité role vynutit, ta to se také v dohledné době stane.

Ohledně "trvalého přihlášení" ... tato možnost tam je, ale je deaktivovaná, a to zejména s ohledem na to, že se spousta lidí přihlašuje přes mobilní telefon ... kde pak již k odhlášení nikdy nedojde, protože si tam uloží i to heslo :D

Jednou z budoucích součástí NDA bude, že privilegované účty {adm,kodo,..?}.jmeno.prijmeni se nebudou smět přihlašovat přes zařízení, na kterém je současně 2FA token (typicky Google Auth).

Aktualizováno uživatelem Stanislav Štipl před více než 5 roky(ů)

Nevím, jestli správně rozumím argumentu s ukládáním hesla, ale myslím, že je to právě argument pro trvalé přihlášení :-)
Současný stav: Uživatel se nemůže trvale přihlásit, tak si místo toho uloží heslo do zařízení a deaktivuje 2FA, čímž to obejde
Navrhovaný stav: Uživatel zaškrtne trvalé přihlášení, nemusí si tedy ukládat heslo do zařízení a může mít aktivovanou 2FA, aniž by ho to výrazně omezovalo

Povínné 2FA pro určité role jsou dobrý krok, ale určitě chceš ukládat roli do uživatelského jména? Co když má uživatel více rolí? Role se v průběhu času mění. U administrátorů jasně, ale jinak?

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

Uživatel udělá to, že si uloží heslo, uloží si 2FA a tím pádem nemá smysl to řešit :-/

Ale minimálně to odhlášení je dobré v tom, že prostě musí aktivně potvrdit login - což při dlouhodobém přihlášení prostě nemusí - klikne na link, ono ho to rovnou přihlásí, a ani neví, že to za něj třeba udělalo nějakou akci :-/

Kdo chce, používat 2FA může, kdo nechce, ten ho používat stejně nebude.

Ohledně rolí v user name: těch rolí zase tolik nebude, ale prostě privilegované účty by měly být zvlášť oproti normálním "stranickým" ... u administrátorů rozhodně, u ostatních je to otázkou - zde to bude kompromis v používání.

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

  • Stav změněn z V řešení (diskutuje se) na Dokončen

Asi dostatečně prodiskutováno.

Aktualizováno uživatelem Stanislav Štipl před více než 5 roky(ů)

Prodiskutováno to je dostatečně, zbývá to jen povolit :-) (aspoň formou defaultně nezaškrtnutého checkboxu)

Jak si můžu uložit 2FA?

Pokud aplikace provádí akci hned po přihlášení, tak je to špatná aplikace.

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

2FA token nelze extrahovat, pouze deaktivovat a nahrát nový.

Také k dispozici: Atom PDF