Project

General

Profile

Požadavek #988

Jednorázové heslo

Added by Ondřej Fibich over 4 years ago. Updated 23 days ago.

Status:
Ve vývoji
Priority:
Normální
Category:
Bezpečnost
Target version:
Start date:
04/24/2015
Due date:
% Done:

100%

Estimated time:
8.00 h

Description

Při evidenci člena je nutné, aby bylo zadáno jeho budoucí systémové heslo, což není úplně jednoduchý krok z uživatelského pohledu. Člen nebo ten kdo jej eviduje musí vymyslet heslo a zdělit ho druhé osobě, což není bezpečné ani rychlé.

Cílem tohoto požadavku je zavést jednorázové hesla, které mají platnost do prvního přihlášení do FreenetISu. Po tomto přihlášení musí uživatel zadat nové heslo. Důležité na tom je, že úkon provádí sám a není zde nutná interakce dalšího člověka.

Ve FreenetISu by se to dotklo pouze formuláře pro přidání nového člena, který u polí s heslem bude obsahovat volbu pro vygenerování jednorázového hesla. Heslo následně technik může např. připsat na přihlášku nebo zaslat e-mailem (tady by šla udělat upozorňovací zpráva na vznik členství, která by to mohla obsahovat, ale to není předmětem tohoto požadavku).

Implementace

  • do tabulky users se přidá sloupec password_is_onetime TINYINT(1) DEFAULT 0
  • ve formuláři pro přidání člena/uživatele bude umožněno namísto zadání hesla zaškrtnou možnost "generovat jednorázové heslo", heslo se zobrazí v informačním boxu po odeslání formuláře
  • přibude odkaz na vygenerování jednorázového hesla v profilu uživatele, po stisknutí se zobrazí potvrzení zda tak chce učinit a pak se opět zobrazí vygenerované heslo v informačním boxu na profilu uživatele
  • vygenerované heslo je krátké max 6 znaků a je alfanumerické
  • po přihlášení s jednorázovým heslem je uživatel vyzván ke změně hesla, bez které není přihlášení dokončeno

Associated revisions

Revision 410613f3 (diff)
Added by David Raška over 4 years ago

refs #988: Added support for onetime passwords

History

#1

Updated by Ondřej Fibich over 4 years ago

  • Description updated (diff)
  • Assignee set to David Raška
#2

Updated by David Raška over 4 years ago

  • Status changed from Nový to Odeslaný
  • % Done changed from 0 to 100
#3

Updated by Ondřej Fibich over 4 years ago

Nelíbí se mi ta nová podmínky v My_Controller (je to jeden dotaz navíc pro všechny stránky systému), udělal bych to jinak. Ta změna one-time hesla by měla být součástí přihlášení:
  1. Přihlásím se a pokud nemám one-time heslo tak pokračuji dál.
  2. Jinak se nezapíše $_SESSION a je zobrazen formulář pro změnu hesla (jsem tam přesměrován). To že mám povoleno změnit one-time heslo udělám jinou SESSION proměnnou, která ukládá login a čas příhlášení s one-time heslem.
  3. Odešlu formulář se změnou a jsem přesměrován znovu na přihlášení. Pokud je čas přihlášení v SESSION delší než hodina tak přesměruji s chybou a nic nezměním.

Odkaz: "Generovat jednorázové heslo" bych nedával do profilů, ale do dialogu pro změnu hesla. Je tam podle mně zbytečný a místa tam není zrovna dost.

Nedával bych ten odkaz pro generování pokud bych si vygeneroval heslo sám, je to vlastně nesmysl, jelikož si stejně musím obratem vybrat nové heslo..

Pohraj si s checkboxem ve formuláři pro přidání členů. Jednou se mi pole s hesly to skryjí, jindy to tam zůstane...

Chybí překlad/něco je špatně (dej pozor na '.', Kohana to rozseká na více řetězců):

Password has been successfully changed.
Uživatelovo vygenerované heslo je: jAdN26

#4

Updated by David Raška over 4 years ago

Nedával bych ten odkaz pro generování pokud bych si vygeneroval heslo sám, je to vlastně nesmysl, jelikož si stejně musím obratem vybrat nové heslo..

No jo, ale co když si to heslo člověk zapomene opsat/zkopírovat před změnou na nové. To by ho už nebyl schopný změnit, pokud by nekontaktoval administrátora. A nebo tom možná špatně rozumím a mám to chápat, že si člověk sám sobě nemá možnost mět generovat jednorázové heslo vůbec?

#5

Updated by Ondřej Fibich over 4 years ago

David Raška napsal:

Nedával bych ten odkaz pro generování pokud bych si vygeneroval heslo sám, je to vlastně nesmysl, jelikož si stejně musím obratem vybrat nové heslo..

No jo, ale co když si to heslo člověk zapomene opsat/zkopírovat před změnou na nové. To by ho už nebyl schopný změnit, pokud by nekontaktoval administrátora. A nebo tom možná špatně rozumím a mám to chápat, že si člověk sám sobě nemá možnost mět generovat jednorázové heslo vůbec?

Jo já tam nevidím ten případ užití. Jedině, že by mně zrovna nenapadalo jaké heslo použít, ale to bych nepodporoval. One-time heslo bylo myšleno jako ulehčení interakce admin/technik -> člen (jak jsem psal, je to řešení pro typické: 1. "Jaké chcete heslo?" 2. "Já nevím.. (pomlka půl minuty)" 3. "To neobsahuje číslo" 4. "Aha.. (pomlka půl minuty)" atd.

#6

Updated by Ondřej Fibich over 4 years ago

Když kliknu na checkbox 2x, tak už nemůžu psát do polí..

#7

Updated by Michal Kliment 26 days ago

  • Status changed from Odeslaný to Ve vývoji
  • Assignee changed from David Raška to Filip Miškařík
#8

Updated by Ondřej Fibich 23 days ago

Co si tak pamatuji, tak merge request bylo potřeba pouze doladit a pořádně otestovat. Jinak by mělo být naimplementováno.

Also available in: Atom PDF