Python как создать двухфакторную авторизацию

-
В этом туториале вы научитесь использовать Pyotp для генерации 2FA кодов.

3 года назад я написал мини туториал про то как использовать pyotp для создания кодов. Но туториал получился не полным тк я не показал как все работает.

Обычно пользователи используют приложения авторизации вроде Authenticator для двух факторной авторизации. Такие приложения обычно поддерживают два протокола otp: TOTP, и HOTP. Подробнее как они работают мы разбирать не будем, просто нужно понимать что TOTP генерирует какую-то последовательность цифр на основе случайно сгенерированного ключа, и unixtime времени. Новый ключ появляется каждые 30 секунд.

Простые действия над PyOTP

Чтобы установить PyOTP нужно:

pip install pyotp

Чтобы использовать нам нужно, импортировать pyotp, и придумать секретный ключ, например "pythonforbeginers". Этот ключ потом пользователь будет вводить в Authenticator:

import pyotp
totp = pyotp.TOTP('base32secret3232')
totp.now()

Функция .now выводит 6 значный код авторизации на момент исполнения. Так же можно валидировать коды через функцию verify:

totp.verify(785367)

Эта функция выводит True либо False. Вы можете добавить код base32secret3232 в Authenticator, и получать точто такие же коды, как и totp.now(). Для работы с totp вам не требуется интернет подключение, тк коды генерируются на основе unixtime:
Unix-время — Определяется как количество секунд, прошедших с полуночи 1 января 1970 года;
Если на обоих устройствах стоит одинаковая дата, то они будут синхронизировано генерировать эти коды.

Когда происходит регистрация можно использовать отдельную таблицу, которая имеет связь OneToOne с вашей таблицей пользователей, в ней вы будете хранить коды. Чтобы генерировать рандомные коды при регистрации пользователей, вы можете использовать

pyotp.random_base32()

Эта функция ввыводит рандомное значение которое можно использовать с Authenticator. Тк Authenticator поддерживает только base32 коды, лучше использовать этот готовый метод.

Чтобы пользоватся 2FA авторизацией в вашем веб проекте, вы должны добавить поле например "otp_code" к запросу на авторизацию, и когда пользователь посылает запрос на авторизацию вы должны проверить логин:пароль, получить id пользователя, затем по OneToOne связи выйти на код этого пользователя в таблице. Далее проверьте код через totp.verify, если это тоже правильно то можно авторизовать пользователя.

В реальном мире вам нужно будет защищатся от 2 типов атак: replay атака, и bruteforce.

Допустим что пользователь спалил свой код в конференции Zoom при авторизации, теперь кто-то может быстро зайти по этому коду в течение 30 секунд, поэтому при успешной авторизации нужно добавить код в черный список. Но как по мне такой сценарий маловероятен, и это лишь вина пользователя так что про replay атаку можно забыть.

Но об bruteforce нужно позаботится, тк TOTP даёт 6 значные коды, это всего лишь 999 999 комбинаций. Примерно столько запросов нужно отправлять будет за 30 секунд чтобы взломать 2FA код, поэтому нужно добавить throttling, чтобы например в минуту можно было отправить максимум 5 запросов с 1 IP адреса + максимум 20 запросов в день с одного 1 IP. Throttling есть во всех популярных библиотеках, например в DRF https://www.django-rest-framework.org/api-guide/throttling/ 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DOS атака при помощи Python

-
Изображение
Для атак вида "DOS" используют один мощный сервер который посылает жертве столько запросов, что жертва не успевает обработать их и выдаёт ошибку 503 либо 504. Для атаки нужна многопоточность, то есть нужно чтобы скрипт отправлял запрос не ожидая завершения предыдущего. В Python для этого есть библиотека "therading". Пример простейшего скрипта для доса: # coding: utf8 import threading import requests def dos (): while True : requests . get( "http://example.com" ) while True : threading . Thread(target = dos) . start() Скрипт рекомендую запускать только на мощных компьютерах а ещё лучше на VPS сервере. Вот наш скрипт в действии: Так же советую попробовать новый ддос скрипт который использует вместо потоков асинхронный код
Далее...

Ведем телеграм канал через питон

-
Изображение
Для создания ботов существует библиотека  aiogram . Но не всегда обязательно использовать ботов, вить иногда вам просто нужно посылать сообщения в канал с собственного имени. Для этого больше всего подходит библиотека  pyrogram . Устанавливаем её: pip install pyrogram Далее нужно создать телеграм приложение, от которого будут посылатся запросы. Создать приложение можно на  https://my.telegram.org/apps . После регистрации приложения должна появится такая форма: Как посылать сообщения в канал  from  pyrogram  import  Client api_id =  12345 api_hash =  "0123456789abcdef0123456789abcdef" with  Client( "my_account" , api_id, api_hash)  as  app:     app.send_message( "me" ,  "Greetings from **Pyrogram**!" ) Вместо api_id и api_hash нужно подставить свои данные, полученные при регистрации. Далее нужно ввести свой номер телефона, и ввести код который пришел на него. В этой же директории будет файл  my_account.session . В нем содержится сама сейсия. В сох
Далее...

Django migrations не видит изменения моделей

-
Изображение
В некоторых случаях python manage.py makemigrations может выдавать сообщение No changes detected: Если у вас на самом деле были изменения в моделях, но Django не видит изменений это свидетельстует о проблеме. В моих случаях решения были такие: Приложения нету в INSTALLED_APPS Если вы не добавили свое приложения в него, то Django неможет видеть ваши модели. Нарушена структура приложения Иногда вам хочется удалить папку migrations, чтобы с нуля создать все миграции. Так делать нельзя, это плохая практика. Так можно делать только когда вы разрабатываете локально, и не хотите создавать кучу лишних миграций. А просто создать все заново. При удалении папки migrations у вас будет выходить такое сообщение постоянно. Чтобы исправить, нужно создать самому папку migrations, и в ней создать файл __init__.py. При помощи __init__.py питон понимает что это не просто папка, а модуль питона.
Далее...