PIN Login

Hoezo krijgt het mannetje in het midden het plaatje niet? Volgens mij onderschept die gewoon alle data, dus ook het plaatje.
Verder natuurlijk de standaart riedel:
Hoezo geen <html>, <head> en <body> ?
Tabellen gebruik je niet voor lay-out / style'en.
Form post controleren met REQUEST_METHOD.

En dit dan?!

Ik vind het een heel leuk idee..

Ik vind het als gebruiker alvast niet zo leuk!

Nu moet ik 2 wachtwoorden gaan onthouden :(
1x een PIN en 1x gewoon wachtwoord..

NIET gebruiksvriendelijk...

Als je geen geld hebt voor SSL raad ik OpenID aan, en laat het inloggen over aan de grote OpenID providers (denk aan Facebook, Google, Live, ...) http://openid.net/ en https://rpxnow.com/ leesvoer.

Ik vind het een super leuk idee. Misschien een beetje slecht uitgevoerd, en er zullen altijd nadelen aan zitten, maar die zitten overal aan..

Ik had net een situatie waarbij ik geen cijfers op de plaatjes zag, bug dus. Na refresh weer wel. Verder goed idee, een wachtwoord veld heeft in dit geval toch eigenlijk geen zin meer? Niet ge-encrypt dus. Wel lastig met de mee kijkers nu. Iedereen die meekijkt weet gelijk je PIN:P

Ik vind het een leuke vinding, echt praktisch kan ik het echter niet vinden. Het is een heel gedoe dat inloggen op deze manier. Ik had de eerste keer ook niet door dat de cijfers van positie veranderden.

Maar de tussenpersoon kan inderdaad ook het plaatje zien en de posities berekenen. Al met al is er een extra stap voor alle partijen (ook de ongewenste). Eigenlijk zijn er maar twee opties:

1. https
2. Javascript verplichten (afhankelijk van je website kun je de gebruiker deze verplichting wel/niet opleggen), er was ooit iemand hier die hier mee aan het experimenteren was, geen idee waar dat gestrand is.

Waarom nog tabellen voor layout gebruiken anno 2009?

Heftig script, nice gemaakt en (ik denk) orgineel idee!

$inlog_id = 'test';
$inlog_pass = 'c548573b139216b4ee06e92bf241a502ee6deaec';
$inlog_pin = 'a310ff9854002c7f6bb60bf9cf6393a890916135';

Kleine bug? Dat moet ie toch niet outputten?

Het idee is leuk, alleen de code ziet er niet erg praktisch uit op het moment. Misschien is het verstandig hier een klasse van te maken zodat hij wat beter bruikbaar is.

En HTTPS is vaak wel betaald. Dit komt doordat je dan een officieel erkend certificaat krijgt. Als je OpenSSL gebruikt zoals de meeste mensen kun je gewoon zelf certificaten per domein aan maken.

Dit is dus absoluut niet veilig. Als je als man-in-the-middle een beetje bezig bent, kun je de request van Client naar Server onderscheppen (en zorgen dat die dus *niet* door wordt gestuurd) en in plaats daarvan zelf de request afmaken. Oftewel, dan ben je nog steeds ingelogd.

Leuk bedacht, alleen word een dergelijk systeem al heel lang gebruikt in RuneScape dacht ik zo?

Als je OpenSSL gebruikt krijgt de gebruiker in de browser een waarschuwing dat het certificaat niet ondertekend is, wat ook vervelend is voor de gebruikers want en de gebruiker krijgt een onveilig gevoel + extra handelingen om uitzonderingen etc toe te voegen.

@ Karl & @Storeman: Ja, volgens mij krijgt de Man-In-The-Middle ook het plaatje. Ik dacht daar gisteravond opeens aan toen ik mijn computer uitgezet had. Eigenlijk zinloos script dus, als deze het plaatje wel krijgt.

@ Hipska: Tja, een password en een PIN intoetsen kost wat extra tijd, take it or leave it.

@ Marcel: Geen bug. Bij het voorbeeld heb ik gemaakt dat je maximaal 10 cijfers in kunt vullen. Heb je meer, dan blokt hij de cijfers, maar laat wel gewoon de achtergrond zien. Je kunt dit zelf instellen.

@ Jey: Het was ook niet de bedoeling om een layout ervan te maken. Ja, ik gebruik bij een layout ook divs, maar de opzet was een PIN en voor testen vond ik het wel even handig om tabellen te gebruiken. Dit ben ik helaas vergeten aan te passen in het geposte script.

@ Danny: Nee, dat klopt, je hebt dan op 'Set' gedrukt. Dit geeft de waarden die in de DataBase gezet moeten worden. Zoals je kunt zien is mijn voorbeeld iets anders dan wat ik gepost heb. Want in mijn post kun je de PIN ook aanpassen, maar dit vond ik niet heel handig om als voorbeeld te gebruiken.

@ Jurgen: Ja, klopt, ik wilde het eigenlijk zo practisch mogelijk neerzetten, maar ik test al mijn scripts op een PHP4 (Zo oud!) server en daar is OOP nog niet goed uitgewerkt.

@ Richard van Velzen: Fout. Hij controleert ook op IP. Je hebt de sessie nodig om in te loggen. De Man-In-The-Middle moet zijn IP dan ook nog gaan veranderen om uberhaupt de sessie af te kunnen maken. En De-Man-In-The-Middle weet ook niet de gegevens, zodat hij ook niet later opnieuw in zou kunnen loggen.

Maar het grootste probleem is waarschijnlijk wel dat de Man-In-The-Middle ook tijdens het versturen van Server -> Cliënt het plaatje en de HTML kan opvangen. Is er een manier om dit tegen te gaan, denken jullie?

Edit:
Voor ik een <input type="image"> gebruikte, gebruikte ik gewoon een <img>. Dan gaf ik 10 hyperlinks dmv <map>. In de hyperlink stond een gehashde string die aan gaf welke plaats je klikte. Maar dit is zeker ook geen optie, want de Man-In-The-Middle kan ook de HTML lezen, zeker? Dan weet hij via een omweg ook welke coördinaten de gebruiker geklikt heeft. En dan kan hij dus in het opgevangen plaatje ook kijken welk getal hierbij hoort.

@Hipska: dat is pas lekker veilig, RPX kan gewoon de wachtwoorden onderscheppen.. (ookal ik dat niet legaal)

Het ziet er echt goed uit vind ik!

Ga dit denk skkr gebruiken bij mijn CRM systeem!

Ik ben een voorstander van gebruiksvriendelijkheid van website en in die categorie valt dit script zeker niet.

Allereerst al om eerder genoemde reden van het moeten onthouden van twee 'wachtwoorden'. Maar daarnaast vind ik het nog veel irritanter dat telkens na intoetsen van een cijfer van de pincode de afbeelding vernieuwd wordt en de cijfers weer op een andere plaats zitten.

Leuk bedacht, leuk uitgewerkt, maar geen script dat ik zou gebruiken. Neemt niet weg dat anderen er natuurlijk wel wat van kunnen leren.

@Steen: ik denk dat de ontwikkelaars van RPX (en het hele openID idee) genoeg te vertrouwen zijn om dit zo te laten hoor. Desnoods implementeer je zelf facebook connectie, live connectie, google connectie, openID connectie, hyves connectie, ...
Welke manier zal je het meest tijd besparen denk je?

@Miloan: Niet alleen 2 invullen heb ik het over, maar ook 2 ONTHOUDEN, en daar wringt het schoentje.

@ Hipska:

Nouja, mijn mobiel heeft een PIN die ik moet onthouden: Lukt
daarnaast heb ik nog een aantal wachtwoorden die ik moet onthouden voor computer login (Thuis / School): Lukt
En heb ik ook nog een heleboel wachtwoorden van internet te onthouden: Lukt.

En als het niet lukt is er vaak een: 'Wachtwoord vergeten'-functie. Maar deze gebruik je vaak pas als je al weken / maanden ergens niet bent geweest.

2 codes onthouden lukt mij wel - en nee, ik ben niet een of ander briljant persoon, dus ik vermoed dat de meeste mensen ook wel 2 codes kunnen onthouden.

Maar, inderdaad, je hebt meer kans op het vergeten van je inloggegevens als je 2 codes en een gebruikersnaam moet onthouden. Dat klopt.

Ik zeg ook dat SSL ook veiliger en beter is, maar via mijn manier lijkt me het handiger om ook de man achter je tegen te gaan, door een gewoon password te hebben. - Dit is echter een mening.

Enig idee hoe een man-in-the-middle attack echt werkt?? De client heeft *nooit* een verbinding met de server, de man-in-the-middle is een proxy tussen de twee en weet dus precies wat elke partij stuurt. Juist daarvoor is SSL uitgevonden, hoewel zelfs dat op deze manier te onderscheppen is. Het maakt het alleen _veel_ moeilijker, maar dit is echt belachelijk!

Ziet er interessant uit maar zorgt niet echt voor extra beveiliging.
Ik heb zelf ook veel nagedacht aan zulke systemen.

Zolang je geen beveiligde verbinding hebt is het altijd wel te onderscheppen, het maakt het hooguit íetsje moeilijker.

Om daarvoor het gebruikersgemak op deze manier te "verpesten" vind ik zwaar overdreven. + wie heeft er tegenwoordig nou javascript uitgeschakeld? Je kan het ook optioneel maken: Áls er javascript is die beveiliging inschakelen.

Dan nog, wat wil je verzinnen met javascript? Vroeg of laat moet er data van de server naar de client en weer terug. Je kan 1000 omwegen gebruiken maar 0 is 100% secure.

Wel leuk discussie topic... Verzin maar eens een manier om dat zo secure mogelijk te doen, ongeacht hoeveel technieken je ook gebruikt. Daarna kan je je focussen je manier simpeler te maken zonder dat het minder effectief wordt.

Wat je beter kunt doen i.p.v. dit is het wachtwoord clientside md5 coderen en zorgen voor een moeilijk wachtwoord.

Met Javascript zou dat dan moeten? Hier een script: http://pajhome.org.uk/crypt/md5/

Pfff ik heb de drie files gemaakt (functions.php, page.php en pin.php) maar als ik naar de site ga waar het zou moeten opstaan dan krijg ik dit te zien : http://www.dobme.net78.net/nl/log

Pfff ik heb de drie files gemaakt (functions.php, page.php en pin.php) maar als ik naar de site ga waar het zou moeten opstaan dan krijg ik dit te zien : http://www.dobme.net78.net/nl/log

Ten eerste je reageert op een script van 4 jaar oud... en ten tweede, er is geen index.php in je log directory waardoor hij de inhoud weergeeft... Is een server instelling (apache)