Подключение многофакторной аутентификации Мультифактор в .NET Core

[KonstantinYan]

Да, это нормально, потому что сайт проверяет логин и пароль, а второй фактор отдает на сторону. Можно в jwt добавить свою подпись, чтоб не доверять никому (zero trust).

[b_oberon]

Из оферты на сайте multifactor.ru:
2.4.4. Лицензиар вправе в любой момент проверять ход использования Лицензиатом ПО, пользовательский опыт и Среду функционирования Программы за пределами Системы, Лицензиат не вправе ссылаться на конфиденциальность в качестве основания для отказа в предоставлении доступа к своим техническим средствам, которые участвуют в использовании Программы, и данных, необходимых Лицензиару для осуществления своих прав по контролю за использованием ПО и мониторингу его работоспособности.
3.5. ПО предоставляется Лицензиату «как есть» (as is) в соответствии с общепринятым в международной практике принципом. Это означает, что за проблемы, возникающие в процессе доступа, обновления, поддержки и эксплуатации ПО (в т. ч. проблемы совместимости с другими программными продуктами), несоответствия результатов использования ПО ожиданиям Лицензиата, а также за любые последствия, вызванные использованием или неиспользованием ПО Лицензиатом, Лицензиар ответственности не несет.

Простите, вы это серьезно? Во-первых, я по доброй воле никого со стороны не пущу копаться в своих информационных системах и что-то там проверять. Особенно если это достаточно важные системы, чтобы делать для них 2FA.

Во-вторых, странно доверять критичные сервисы компании, которая снимает с себя всю ответственность.

[KonstantinYan]

С пунктом 2.4.4 пережестили, согласен. Уберу.
3.5 в публичной оферте только так.

[AI4]

Если сайт вначале проверяет пароль, а потом отправляет пользователя за дополнительной аутентификацией, то это не двухфакторная, а двухэтапная аутентификация. Что, вообще говоря, защищает хуже, чем нормальный 2ФА

[KonstantinYan]

Почему не двухфакторная?

[avbykov]

Она двухфакторная, но не одноэтапная, что является не лучшей комбинацией
А именно одноэтапная мультифакторная аутентификация так или иначе становится стандартом безопасности у регуляторов, например

[b_oberon]

KonstantinYan, наверное, стоило бы указать, что вы являетесь генеральным директором multifactor.ru.

[KonstantinYan]

Да, спасибо за уточнение.

[alexsandr0000]

Я бы не стал доверять отечественным компаниям, с учетом того, что к ним может прийти товарищ майор и получить доступ к вашей системе, без суда и следствия. Да и цены, мне кажется, какие-то неадекватные. В Azure достаточно неплохо сделана авторизация, да куча других сервисов по вполне приемлемым ценам

[Orky]

Нужно понимать, что в данном случае не происходит замены логина в системе, а лишь дополнительная проверка подлинности входящего в систему пользователя. Таким образом без спроса в систему никто не зайдёт.
Если же говорить про аналогичные зарубежные сервисы, думаю, к ним ровно так же может прийти ФБР и попросить доступы.

[Orky]

Ну, насчёт уровня доверия дело спорное, понятно, что в безопасности нужно и важно быть параноиком, но я вижу, что по тарифам сервис в первую очередь ориентируется на среднего размера компании, в которых нужно что-то уже решать с дополнительными слоями безопасности.
А истории с «дать на лапу» в первую очередь бьют по репутации, что в рамках сервиса, настроенного на долгосрочное нахождение на рынке, не лучшее решение, как мы все тут понимаем.

[b_oberon]

Насколько я понимаю, цены указаны за месяц использования, так что по тарифам сервис стоит примерно как okta, а в некоторых случаях даже дороже.

[KonstantinYan]

Я раньше делал проекты по безопасности платежных сервисов, там очень жесткие требования, в том числе такие, которые исключают возможность одному админу иметь безраздельный доступ и решать кому выдать (или не выдать) доступ в обход стандартных процессов.

С финансированием в проекте все хорошо.

В России мало ИТ-сервисов по сравнению с западным рынком в том числе потому, что много хейтеров ;)