Да и по реализации это решение очень простое. Мне кажется такие вещи можно прикручивать хоть куда. Нужно лишь в профиль пользователей добавить галочку "Использовать одноразовые пароли", в таблицу с данными авторизации вставить новое поле (включено/выключено использование одноразовых паролей), и при входе проверять содержимое данного поля у входящего пользователя.
Помоему и просто и удобно
Спустя 6 минут, 53 секунды (28.05.2010 - 13:33) Guest написал(а):
Юзабилити не учитываешь, никому не нужно выполнять лишние действия...
Вот если сервис автоматом залазит на какой-то сервак типа почты и оттуда достает одноразовый пароль, тогда это хорошо...
С другой стороны много спама приходит
Вот если сервис автоматом залазит на какой-то сервак типа почты и оттуда достает одноразовый пароль, тогда это хорошо...
С другой стороны много спама приходит
Спустя 3 минуты, 18 секунд (28.05.2010 - 13:37) Kuzya написал(а):
Дак это же не постоянное решение. Лишь на некоторое время + использование по желанию
Спустя 4 минуты, 5 секунд (28.05.2010 - 13:41) Guest написал(а):
Ну для того, чтобы юзер себя чувствовал комфортно, придумали такую штуку как "запомнить пароль"... Ибо любого юзера будет доставать постоянно вводить комбинацию симловов дабы зайти на ресурс...
А ты предлагаешь юзеру еще и перед этим постоянно заходить на почту, смотреть на пароль (а он явно будет не типа "anna123", который юзер будет набирать за 2-3 секунды, а что-то типа "1g4h3n8ffgnj66_00"), и набирать набирать набирать...)))
кому это будет нужно?)
А ты предлагаешь юзеру еще и перед этим постоянно заходить на почту, смотреть на пароль (а он явно будет не типа "anna123", который юзер будет набирать за 2-3 секунды, а что-то типа "1g4h3n8ffgnj66_00"), и набирать набирать набирать...)))
кому это будет нужно?)
Спустя 6 минут, 29 секунд (28.05.2010 - 13:47) Kuzya написал(а):
Ну пароли можно простенькие сделать. Типа словарь загрузить на сервер и брать слова из него.
А нужно будет тем кто понимает суть угрозы. Кому не нужно - не будут пользоваться. Не принудительно ведь
А нужно будет тем кто понимает суть угрозы. Кому не нужно - не будут пользоваться. Не принудительно ведь
Спустя 1 минута, 33 секунды (28.05.2010 - 13:49) DedMorozzz написал(а):
насчёт "запомнить меня", то тем, кто пароли тырят, это не важно. Они уводятся после первого захода. А в остальном - жизне способно. Только длину пароля надобно указать символа 4. И если включён такой режим, кол-во попыток - максимум 5. После которых - ожидание в 15 минут и новый пасс в большее кол-во символов на мейл.
Спустя 10 минут, 19 секунд (28.05.2010 - 13:59) Guest написал(а):
ну про юзабилити никто не ответил))
Спустя 5 минут, 30 секунд (28.05.2010 - 14:05) jetistyum написал(а):
довольно юзабельно, в приват 24 действует такая штука - вводишь логин, пароль, приходит еще один пароль в смс на телефон - его вводишь - заходишь.
На счёт юзабельности - можно пожертвовать тем, что придется вводить код взамен того, что ты получишь дополнительный уровень безопасности, как предложил Kuzya - эта ф-я должна быть отключаемой - не хочешь - не включай, будет юзабельно, но твой пасс может утечь..
На счёт юзабельности - можно пожертвовать тем, что придется вводить код взамен того, что ты получишь дополнительный уровень безопасности, как предложил Kuzya - эта ф-я должна быть отключаемой - не хочешь - не включай, будет юзабельно, но твой пасс может утечь..
Спустя 1 час, 11 минут, 15 секунд (28.05.2010 - 15:16) Basili4 написал(а):
Французы я как слышал собираются вводить на своих сайтах иную систему авторизации. нужно фойти вставил в комп флешку. тебя сайт опазнал ты вошел. Как то так.
Спустя 3 минуты, 14 секунд (28.05.2010 - 15:19) DedMorozzz написал(а):
Гыгыгы, доступ к портам? Т.е. к железу твоего компа? Ладно десктопные приложения (сейчас практикуються электроные ключи, выглядят как флешка), но с вебом...чёт путаешь, иль это нововведение сродни открытий британских учёных.
Спустя 9 минут, 38 секунд (28.05.2010 - 15:29) Basili4 написал(а):
DedMorozzz Я так думаю что сами сайты не будут иметь доступ к железу скоре всего реализация будет через браузер. например на сайт просто будет отправлятся форма с индификатором. по защищенному каналу. Ведь такое можно реализовать
Спустя 4 минуты, 29 секунд (28.05.2010 - 15:33) DedMorozzz написал(а):
Ну а я разве буду доверь этому сайту? Вдруг он закачивает что-то мне. Иль отправляет, что-то кроме идентификационной информации? Не жизнеспособная идея.
Спустя 4 минуты, 41 секунда (28.05.2010 - 15:38) FatCat написал(а):
Цитата (Kuzya @ 28.05.2010 - 14:26) |
Ввели пароль на сайт - он тут же сменился и новый отослали вам на почту. |
ИМХО, имеет смысл делать параллельным модулем.
Например, при регистрации сразу вводить ДВА пароля: первичный и вторичный.
Например введу я первичный 11111, а вторичный 22222. По паролю 11111 я могу ходить всегда сколько угодно раз. Если же зайду по 22222, он сменится и вышлет мне новый вторичный на мейл - вторичный будет одноразовым.
Спустя 4 минуты (28.05.2010 - 15:42) Basili4 написал(а):
DedMorozzz
Ну на данном этапе вы же выходите в интернет.
Ну откуда знаете какую инфу ваш браузер передает и кому.
А мой FF день через день что все время обновляет. а что он обновляет кто его знает. И еще нет давно были проблемы с картинками в IE
Ну на данном этапе вы же выходите в интернет.
Ну откуда знаете какую инфу ваш браузер передает и кому.
А мой FF день через день что все время обновляет. а что он обновляет кто его знает. И еще нет давно были проблемы с картинками в IE
Спустя 8 минут, 36 секунд (28.05.2010 - 15:50) Kuzya написал(а):
FatCat, интересная идея Удобно, основной пароль всегда остаётся таким каким человек его помнит А временный - всегда временным
Спустя 3 часа, 18 минут, 56 секунд (28.05.2010 - 19:09) glock18 написал(а):
Не решит основной проблемы, так как первичный так и останется неизменным. меня лично бесит функция одноразовых паролей, но в делах касающихся финансов она имеет полное право на существование.
Спустя 6 минут, 52 секунды (28.05.2010 - 19:16) Kuzya написал(а):
А первичный и никто трогать не будет. Вы вводите когда надо вторичный, и он будет постоянно меняться. Перехватят его - не беда, он сразу после ввода становится недействительным