Ticket #757 (new Förbättring)

Opened 7 years ago

Last modified 5 years ago

Bättre säkerhet för medlemsregistret

Reported by: simon.bohlin@… Owned by: Todi
Priority: major Milestone:
Component: PirateWeb Keywords:
Cc:

Description

"naiv Single Sign-On" = ett loginnamn & ett lösen, oavsett protokoll eller partiserver

"bra SSO" = varje gång en partiserver vill kolla om jag är inloggad görs koll via valfritt protokoll mot loginserver (=PirateWeb.net). Dvs HTTPS, xmpp, irc, ppbot, medlemsregister, forum, hemsida-admin-funktioner, Trac, osv (i oändlighet?). Att tänka på i sammanhanget är att inte ens Launchpad.net fått detta att funka (deras moinmoin-wiki har ingen launchpad-SSO-integration) så sannolikt kommer vi i PP inte lyckas heller i den närmsta framtiden.

Alltså undersöker vi "naiv SSO". Vad hindrar oss att ha plaintext-lösen överallt?
(Krasst sett; folk har redan idag samma lösen överallt där de kan.)

Medlemsregistret!
Faktum är att folk redan nu kan tänkas ha samma lösen på PW som överallt annars på internet, dvs potentiellt _ingen_ säkerhet alls. Därför är det massor intressantare att säkra upp medlemsregistret, än att försöka förbjuda folk att använda "naiv SSO".

FÖRSLAG:
När man vill öppna just medlemsregistret så får man fylla i en sekundär kod.

*ANTINGEN* ett engångslösen som skickas per SMS (TODO: undersök vilka funktionärer som inte alltid har en påslagen mobil nära till hands?)

*ELLER* ett "lösen" som autogenereras och bygger på ordkombinationer som är lätta att minnas; typ mark-fotboll (i relation till fotboll som inte spelas på marken...??? Därav en komisk effekt som förenklar för folk att minnas lösenfrasen. Kan vara 2 eller 3 ord kanske, men enklast att generera 2 ord.)

(Har PP något mer känsligt system där icke-säkerhetsfreak loggar in ibland?)

Change History

comment:1 Changed 7 years ago by sikevux

  • Milestone set to 2012

comment:2 Changed 5 years ago by agnesson

  • Milestone Innan 2012 deleted

Milestone Innan 2012 deleted

Note: See TracTickets for help on using tickets.