로그인 시, 2차 인증 (Two Factor Authentication)을 하도록 합니다.

 

인증 수단은 OTP(구글 otp 혹은 기타 otp 앱), 이메일, 문자(SMS)가 있습니다.

 

이메일, 문자같은 경우 라이믹스에 설정해두신 발송 방식으로 발송됩니다.

 

 

auth_img1.png.jpg

▲ 유저가 직접 마이페이지에서 2차 인증 사용 여부와 사용 수단을 설정할 수 있습니다.

 

auth_img2.png.jpg

▲ 로그인시 인증 번호를 입력합니다. 또한 인증 메일/SMS는 재전송이 가능합니다.

캡챠를 사용할 수 있을경우, 캡챠 인증을 합니다.

 

adm1.png.jpg

▲ 관리자 페이지입니다

 

 

※ 본 모듈은 YJSoft님(feat. 람보님)의 GoogleOTP 모듈을 개량하여 만들었습니다

 

유용하셨다면 커피 한잔이라도 후원해주세요 : ***

 

다운로드 / 깃허브 : https://github.com/Waterticket/xe-module-otp

 

글쓴이 리버스

profile
모듈 제작하는 현역 대학생 리버스입니다!

== 판매중인 모듈 ==
미션] https://xetown.com/thirdparties/1511787
길드] https://xetown.com/thirdparties/1387146
  • profile
    궁금했던 내용인데 구글 OTP 앱 삭제전 반드시 OTP 를 비활성화 하세요. 라는 주의가 어떤 의미인지 그리고 만약 비활성화가 무엇인지 모르겠지만 그것을 하지 않고 앱을 삭제하면 어떻게 되는지 알 수 있을까요?
  • profile profile
    비활성화 -> 2차 인증 수단을 변경하거나, 2차 인증을 끄라는 의미입니다. 좀 더 풀어서 설명을 적어두어야겠네요

    그리고 만약 위에 설명한 비활성화 작업을 하지 않고 GoogleOTP 앱을 삭제하면, OTP 번호를 알 수가 없으니 차후 로그인이 안되겠죠?
  • profile profile

    구글OTP 앱을 재설치 하고 다시 연동 시키면 안되기 때문에 꼭 해제를 하고 삭제를 해야 한다고 이해하면 될까요?

    연동을 하기 위한 로그인이 안되서 재 연동 시도 자체를 못하게 되는 거군요.

     

    이런 경우를 대비하기 위해 저 key? 라고 하나요. 그걸 보통 백업하는 안내를 하던데 key 를 알려주는 것은 어떨까요?

    별도로 인증키 같은거 메모장에 기록해 놓곤 하거든요.

  • profile profile

    아뇨 그런 의미는 아닌데, 구글 OTP에 구글 계정을 연동해주시지 않으신 분들은 앱을 삭제하면 등록해둔 정보도 날아가는 경우가 많더라고요

     

    이렇게 되면 로그인이 안되서 다시 연동을 못하니 문제가 발생하는 거죠..

    QR코드를 인식해서 등록한 정보는 변경되지 않으므로, 저장해둔 정보가 날아가지만 않는다면 굳이 비활성화 하지 않으셔도 됩니다.

    원본 모듈에 있던 문구라서 거의 그대로 가져왔는데, 수정을 거쳐야할 것 같네요

     

    +) 모듈 Todo에 이메일 등으로 비밀번호 초기화 하듯이 OTP 인증을 초기화하는 작업이 있던데, 해당 기능이 개발된다면 없어져도 되는 문구가 되겠네요

  • profile profile
    네 메일인증같은 서비스로 해체하여 다시 인증 받아야 합니다.
  • profile profile

    저 qr코드만 보고는 인증키문자열을 파악하기 어려운데 쉽게 추출할 수 있을까요? 아예 출력을 해주면 좋을 것 같은데요. 최초 1회만 출력해주고 복사할 기회를 준다던가...

     

    뭐 OTP 앱에서 확인 가능 할 것 같긴 합니다만...  앱을 살펴봐야겠네요.

    앱에서 입력된 인증키 확인은 안되네요.

    저는 다른 서비스 구글 OTP 인증키 를 백업했던게 있어서 이걸 자연스럽게 생각할 수도 있겠습니다.

  • profile profile
    음, 어차피 문자열을 제공한다고 해도 그걸 사용해서 QR코드를 쉽게 복구할 수 있는것도 아닐뿐더러, 보안 문제 발생 가능성만 높아질듯 합니다

    차라리 메일 인증 등을 통해서 2차 인증을 꺼버릴 수 있도록 해버리는게 관리하기도 편하고, 보안 문제도 발생하지 않을것 같습니다
  • profile profile
    폰을 바꿀 때는 구글 OTP에서 다른 폰으로 안전하게 키를 전송하는 기능이 있으니 그걸 이용하시면 됩니다. 저는 평소에도 안 쓰는 폰에 정기적으로 복사해 두고 있어요.

    외국 서비스들은 OTP 분실시 사용할 수 있는 제2의 암호 같은 것을 따로 제공하면서 어디다가 적어두라고 하는 경우도 있는데, 그걸 지원한다면 더욱 편리하겠네요.
  • profile profile
    구글 OTP인증키또는 QR코드를 따로 저장하거나 그러면 오히려 보안상 위험부담을 더 주게 되므로 굳이 쓰나마나한 기능이 됩니다.

    적어도 범용성으로 적용되는 프로그램에 한해서는 무조건 보수적으로 들어가야 문제가 없습니다.

    라이믹스 비밀번호 지정하는 것의 타입이 깐깐한 이유도 그 이유 때문입니다.

    보안키를 잃어버려 해당 키값이 없으면 본인이 인증했던 메일을 통해서 재 인증하여 OTP를 다시 인증하도록 하는편이 좀 더 나을 수 있겠습니다.
  • profile profile
    메일 전송이 안되는 사이트도 일부 있으니, 리셋 암호를 제공하는게 괜찮아보이네요

    인증화면에서 리셋하기 누르면 기존에 제공한 리셋암호 입력하고, 2차 인증을 해제하도록..
  • profile profile

    저는 반대로 생각합니다. 연동 기회를 최초 1회 기회를 주고 이후 상시로 보여주지 않는 방식이 좋고 어디에서도 해제 할 수 없는게 보안이 제일 높다고 봅니다. 다른 수단으로 해제는 편의는 높지만 보안은 떨어지는것이죠.

     

    이메일 등으로 OTP사용중을 해제하는 기능은 보안에 더 안좋아 보입니다.

    그래서 다른 서비스들은 연동할때 qr코드를 보여줄때 보안키를 백업해두라고 같이 보여줍니다.

    이후 연동 후에는 다시 누구도 해당 qr이나 인증키는 열람이 안됩니다. 본인 조차도요.
    그래서 뭔가 준비도 못한채 앱을 다시 설치할 경우를 대비해서 인증키는 백업을 해두게 되는것이구요.

    물론 어떠한 방식을 채택하는지는 개발자 분께서 결정을 하신 것이고 구글이나 다른 서비스에서 하는 방식이 좋다는 것은 제 의견일 뿐입니다.

     

    가상자산 거래 해보시면 가상화폐 지갑 생성할때 지갑마다 열쇠가 되는 문자 세트를 부여하죠. 이 문자 세트는 꼭 어딘가에 저장을 해야 나중에 지갑 복구할 수가 있는 것이랑 같은 방식이죠.

  • profile profile

    OTP 분실시 사용할 수 있는 제2의 암호 같은 것

    제가 본건 그건 아니고 그냥 저 QR코드가 가지는 인증키 자체를 백업하라고 알려줍니다.  OTP앱 새로 설치하고 인증키로 등록할 수 있구요.

  • profile profile

    저도 이런 방식이 보안에 더 유리하다고 봅니다. 열쇠는 본인이 가지고 있어야 하고 열쇠가 없다면 할수 없는 상태가 되는게 좋다고 봅니다.

    보통 의외의 사고가 나는게 어떤 수단을 뚫은 다음 그것을 이용해서 다른 잠긴걸 또 풀고 하는 것에서 발생하죠.
    개인이 어딘가에 메모해 놓은 것을 탈취해서 그 정보로 무엇을 한다는 것은 사실상 불가능에 가까운 것이라 봅니다.

  • profile

    내용 중 일부가 커뮤니티 규칙 40조5호(홍보성 내용)에 해당되어 삭제되었습니다.

  • profile profile
    단순 후원링크도, 타 사이트 링크가 들어가면 무조건 배제되는군요

    그냥 무료 공유는 중지하겠습니다
  • profile profile
    https://xetown.com/thirdpartynews
    홍보성 내용 업로드가 가능한 게시판은 따로 표시가 되어 있습니다. 그냥 게시판 잘못 찾으신거죠.
  • profile profile

    커뮤니티 규칙 70-3조에 따르면 자신의 웹사이트에 대한 언급은 홍보에 해당합니다. 홍보성 내용을 넣으려면 "홍보 가능 게시판"에 게시하시기 바랍니다. 이 게시물의 경우 포인트 마켓 또는 서드파티 장터가 적합할 수 있습니다. 무료 자료의 경우에도 서드파티 장터에 게시할 수 있습니다.

     

    그리고 Github 저장소의 URL은 해당되지 않음을 알려드립니다.

  • profile ?
    단순히 게시판을 잘못 찾은거라면 게시물을 이동했으면 어땠을까 생각해봅니다
  • ? profile
    ? 저는 운영진이 아니므로 저에게 이야기하셔도 아무 의미 없습니다만.
  • profile ?

    아 오해가 있으시네요. 운영진에게 뭘 바라고 한말이 아니구요.
    이게시물에 달린 댓글을 보다가
    YJSoft님의 생각을 쓰신
    "홍보성 내용 업로드가 가능한 게시판은 따로 표시가 되어 있습니다. 그냥 게시판 잘못 찾으신거죠."
    라는 댓글을 읽게 되었습니다.
    YJSoft님의 댓글 내용중 그냥 게시판을 잘못 찾은거라는 부분에대한 제생각을 저또한
    "단순히 게시판을 잘못 찾은거라면 게시물을 이동했으면 어땠을까 생각해봅니다"
    라는 내용의 댓글로 담아 보았습니다.
    그러니 YJSoft님 댓글에 대댓으로 쓰는데 당연하다고 생각했습니다.

    커뮤니티 규칙을 찾아봐도 제가 못찾는 운영진에게 아닌사람에게 대댓글을 달면 안된다는 규칙을 보이지가 않네요

     

    그냥 글읽고 댓글 단건데 혼란을 드려 죄송합니다.

  • profile
    음.. 여러분들이 토론하던,... 유용한 자료가 될 수도 있었겠는데, 아쉽네요.
  • ?
    앗 공유중지...너무 늦게 왔네요.
  • profile
    오늘 설치하고 확인해보니 qr 코드를 일반 카메라 어플로 스캔하면 인증키 확인이 되네요~
    otp에서 스캔하기 전에 카메라 어플로 한번 인증키를 확보하면 되는데 이게 저와 같은 사람만 알겠죠 ㅋㅋ
  • profile

    혹시나 놓치실까 싶어 추가 댓글로 답니다.
    라이믹스 전용 함수를 사용하셨으므로 더이상 XE 전용 자료라고 주장할수 없게 되었습니다. 따라서 LGPLv2 라이선스로는 애초에 배포가 불가능합니다. (자세한 내용은 https://github.com/rhymix/rhymix/issues/1371 에 정리되어 있습니다)

     

    즉 혹시 재배포 계획이 있으시다면(사실 이미 제 저장소로 재포크하긴 했습니다만) GPL로 라이선스 변경하셔야 합니다.

  • profile profile
    라이선스에는 신경을 쓰고있지 않았네요

    GPL과 LGPL은 호환된다고 알고있었는데, 일단 변경해주셨으니 다음부터 신경써서 적용하도록 하겠습니다

    +) YJSoft님 모듈은 GoogleOTP를 위해서 모듈을 제작하신것 같아서 일부러 PR을 넣지 않았는데, 이럴줄 알았으면 모듈 영어 이름도 이차인증 관련으로 싹 바꿀껄 그랬습니다 ㅋㅋ
  • profile
    너무 좋은 정보네요~