Přihlašování pod drobnohledem / Login Under Scrutiny

Read in English below.

vpsAdmin vás nově bude informovat o tom, kdo a odkud se přihlašuje do vašich účtů. Autentizační server si pamatuje zařízení, ze kterých se přihlašujete a pokud jej ještě nezná, odešle se vám e-mail. Pokud tedy dojde k odcizení přihlašovacích údajů, aspoň budete hned vědět o tom, že se to stalo. E-mail dostanete i o neúspěšných pokusech o přihlášení.

Všem bych opět doporučil zvážit aktivaci dvoufaktorového ověřování přes TOTP. Dvoufaktorové ověřování lze nyní zjednodušit a u zapamatovaných zařízení si nastavit, za jak dlouho si TOTP kód opět vyžádat. Prakticky tedy stačí zadat TOTP i jen jednou za měsíc a stejně budete chránění před zneužitím odcizeného hesla.

Přehled zapamatovaných zařízení naleznete v Edit profile → Known login devices.

Do budoucna uvažujeme o povinném zavedení dvoufaktorové autentizace přes TOTP. Měl by někdo něco proti?

Když už vám heslo uteče, formulář na jeho změnu umožňuje ihned odhlásit všechny ostatní sezení, včetně přístupových tokenů. Máte tak jistotu, že nikomu jinému přístup k účtu nezůstal.

V nastavení profilu ve vpsAdminu přibylo nastavení jednotlivých autentizačních metod. Webové rozhraní používá OAuth2 a ten tedy musí být vždy povolený. Autentizace pomocí tokenů je původní mechanismus, který stále používá např. vpsfree-client, resp. příkaz vpsfreectl, případně vaše vlastní skripty pracující s API. Při vystavení nového přístupového tokenu vpsAdmin také odesílá e-mail.

vpsadmin-auth-settings

Pokud jste si někdy přes vpsfreectl vytvořili přístupové tokeny s delší platností a už je nepoužíváte, doporučuji udělat revizi aktivních přihlášení a nepotřebné tokeny zrušit. Seznam aktivních tokenů naleznete v sekci Edit profile → Sessions, filtr State s hodnotou “open”.

Autentizace přes HTTP basic je nyní ve výchozím stavu vypnutá. Skoro nikdo to nepoužívá a chystám se to úplně zrušit. U HTTP basic totiž není žádný koncept přihlášení, každý HTTP požadavek obsahuje jméno i heslo. Není tak jasné, kdy informovat členy o novém přihlašení a nejlepší je to nepoužívat.

Kdo z vás se přihlašuje do vícero účtů ve vpsAdminu, určitě vás potěší nová funkce přepínání uživatelů. vpsAdmin si pamatuje uživatelské jména, které používáte z daného prohlížeče, a stačí tak zadat heslo.

vpsadmin-switch-user

English

vpsAdmin will now notify you about who is logging into your accounts and from where. The authentication server remembers the devices you use to log in, and if a new device is detected, you will receive an email. This way, if your login credentials are stolen, you’ll be immediately aware of it. You will also receive emails about unsuccessful login attempts.

I recommend everyone consider enabling two-factor authentication via TOTP. Two-factor authentication can now be simplified by setting the time period for when TOTP codes should be re-entered on remembered devices. Essentially, you may only need to enter the TOTP code once a month, providing continued protection against stolen passwords.

You can find a list of remembered devices in Edit profile → Known login devices.

We’re considering making two-factor authentication using TOTP mandatory in the future. Would anyone object to it?

If your password gets compromised, the password change form allows you to immediately log out of all other sessions, including access tokens. This ensures that no one else retains access to your account.

The profile settings in vpsAdmin allow you to toggle individual authentication methods. The web interface uses OAuth2, which must always be enabled. Token-based authentication is the original mechanism still used by, for example, the vpsfree-client or the vpsfreectl command, as well as your own scripts working with the API. When a new access token is issued, vpsAdmin also sends an email notification.

vpsadmin-auth-settings

If you’ve created access tokens with longer validity through vpsfreectl and are no longer using them, I recommend reviewing active logins and revoking unnecessary tokens. The list of active tokens can be found in Edit profile → Sessions, filter State with the value “open”.

HTTP basic authentication is now disabled by default. Almost no one uses it, and I plan to remove it completely. With HTTP basic, there is no concept of a login session; each HTTP request contains the username and password. It is not clear when to notify members of new logins, so it’s best to avoid using it.

If you log into multiple accounts in vpsAdmin, you’ll appreciate the new user switching feature. vpsAdmin remembers the usernames you use from a given browser, so you only need to enter the password.

vpsadmin-switch-user

2 Likes

Ahoj,

dvoufaktorove prihlaseni je urcite dobra cesta, ale pak bych potreboval k jedne VPS priradit dva ucty, ktere ji mohou ovladat. Je neco takoveho mozne?

Diky!

ehm, na co by to muselo byt doslova “potreba”? prepinat ucty bez nutnosti se porad prihlasovat dokola uz jde ted a na tohle by tam muselo pristat tolik kodu, ze pro tech 5 lidi, co to tak nutne “potrebujou” to nevypada, ze by melo smysl…

Mame jednu rodinnou VPS a tu spravuji dva lide, v zavislosti na tom co je zrovna treba a kdo ma cas. Jasne, vetsina veci se resi primo uvnitr VPS, takze to neni kriticke, ale obcas ten pristup do vpsadmina potrebuji (zvlast treba kdyby se jednalo o nejakou recovery). Ted bohuzel sdilime jeden ucet, coz neni optimalni. Muzeme stejnym zpusobem sdilet i OTP seed, ale kdyz uz to vylepsujeme, tak by bylo spravne abychom kazdy meli svuj vlastni ucet.

rikam to hlavne proto, ze se tady postupne stava tak nejak zvykem, kdyz se resi nejaka nova feature, ze k tomu rovnou offtopic priplujou pozadavky prave presne stylem “diky, ale”, takhle bychom mohli pridavat specialitky do nekonecna a tak postupne dostavame moloch kodu, s kterym uz nikdy nikdo nehne, kdyby to treba bylo potreba reimplementovat od zakladu… pak tam spousta zakouti proste doslova “smrdi” po case :slight_smile: mnohem radsi bych byl za navrhy, co je mozne smazat…

1 Like

Ono těch autentizačních zařízení můžeš mít víc a k přihlášení stačí jedno. Takže v tvém případě by stačilo, aby tam měl každý aspoň jedno svoje, pokud jsem to správně pochopil :slight_smile:

1 Like

TOTP už používám dlouho a dává mi smysl mít 2FA jako povinný default. Ocenil bych ale možnost více různých druhých faktorů, než jen TOTP (konkrétně U2F/FIDO2 HW tokeny, resp. Webauthn).

4 Likes