Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 65
6 пункт — не метод авторизации вовсе.
На данный момент самым перспективным остается OpenID и со временем множество сайтов подтянутся за тем же ЖЖ и внедрят к себе эту технологию. Хорошо бы ввести ее у нас на том же Яндексе.
А самым оптимальным сейчас остается простая регистрация. Самая простая, какая может быть. Мы не имеем права требовать от пользователя никаких данных кроме логина и пароля. Добавлять о себе остальную информацию — его дело. Естественно, бывают исключения.
Но лучшая форма регистрации — два input'а для логина и пароля и еще один для ввода captcha.
На данный момент самым перспективным остается OpenID и со временем множество сайтов подтянутся за тем же ЖЖ и внедрят к себе эту технологию. Хорошо бы ввести ее у нас на том же Яндексе.
А самым оптимальным сейчас остается простая регистрация. Самая простая, какая может быть. Мы не имеем права требовать от пользователя никаких данных кроме логина и пароля. Добавлять о себе остальную информацию — его дело. Естественно, бывают исключения.
Но лучшая форма регистрации — два input'а для логина и пароля и еще один для ввода captcha.
Не знаю, для меня было бы идеалом что-нибудь из OpenID или Windows Card. Потому что зарегистрирован на многих ресурсах, да и не только ресурсах (мыло, пароли к панелям управления), везде пароли и логины у меня разные, так что иногда приходится мучительно вспоминать - какой именно пароль я использовал на данном ресурсе.
Юзайте Password Commander или аналоги и будет вам счастье:)
Лучше KeePass.
распишите тогда уж чем «6 пункт — не метод авторизации»
Может быть, я вас неправильно понял, но на яндексе уже давно есть OpenID сервер.
"Сервер", то есть провайдер OpenID. Но он не принимает авторизацию по OpenID. Собственно ради чего все и.
Проблема OpenID — не в малом числе провайдеров, а в малом числе сайтов, которые его принимают. Если б я мог комментировать Я.ру войдя по OpeID (поправьте, если уже есть такое), то было б круто (:
> Мы не имеем права требовать от пользователя никаких данных кроме логина и пароля.
А забытый пароль как восстанавливать, если нет подтверждённого адреса электронной почты?
А забытый пароль как восстанавливать, если нет подтверждённого адреса электронной почты?
Как пример чистой авторизации по ключам, является webmoney
Я как-то не понял принципиальной разницы между пунктами 2 и 4.
OpenID сервером может стать любой сервер. К примеру, мой блог. Соответственно, все пользователи, зарегистрированные на этом ресурсе, автоматически имеют OpenID аккаунт, и могут пользоваться им везде, где поддерживается OpenID.
OpenID сервером может стать любой сервер. К примеру, мой блог. Соответственно, все пользователи, зарегистрированные на этом ресурсе, автоматически имеют OpenID аккаунт, и могут пользоваться им везде, где поддерживается OpenID.
*OpenID сервером может стать любой сервер.
Опечатался. Имеется ввиду - любой сайт.
Опечатался. Имеется ввиду - любой сайт.
Фишка то в том, что свой логин пароль ты вводишь на их сейте, что небезопастно.
Ты ошибаешься.
Википедия
Зависимая сторона может обмениваться с провайдером идентификации двумя способами:
* checkid_immediate — машинно-ориентированный, в котором обмен информации между серверами идёт в фоне, без ведома пользователя;
* checkid_setup — где пользователь напрямую обращается к сайту провайдера идентификации, используя тот же браузер, с которого он заходит на сайт зависимой стороны.
Большей популярностью в интернет пользуется второй способ. Кроме того, checkid_immediate может откатиться к использованию checkid_setup, если операция входа не может быть проведена автоматически.
Сначала зависимая сторона и провайдер (необязательно) согласовывают shared secret или секретный код — описатель партнёра (associate handler), который зависимая сторона сохраняет. В режиме checkid_setup зависимая сторона переадресует браузер пользователя к провайдеру. В данном случае браузер Васи переадресуется на openid-provider.org, где провайдер сможет опознать Васю.
Википедия
Автор ошибается тогда: "Но тут сразу возникает вопрос доверия сайту, ведь зайдя под своей учеткой один раз - недобропорядочный администратор может сделать это еще раз - это минус."
Ой. Прости, я не так тебя понял с самого начала.
Я понял так, что ты говоришь это про OpenID. Соответственно, цитата с wiki, которую я привел - про OpenID. А ты говорил про jabber.
Извиняюсь. Плюс в карму за беспокойство :)
Фишка то в том, что свой логин пароль ты вводишь на их сейте, что небезопастно.
Я понял так, что ты говоришь это про OpenID. Соответственно, цитата с wiki, которую я привел - про OpenID. А ты говорил про jabber.
Извиняюсь. Плюс в карму за беспокойство :)
Авторизацию через полноценные цифровые сертификаты использует, например, сайт французской налоговой службы.
по поводу jabber.ru — вы так и не расписали «суть метода»
WebMoney авторизируется через сертификаты или ENUM. Крайне неудобно, нужно сказать.
А что насчёт авторизации через .NET Passport?
А что насчёт авторизации через .NET Passport?
Начало в статье хорошее. И середина тоже.
А вот при чтении концовки сложилось ощущение, что автору срочно потребовалось куда-то бежать, и поэтому статья не дописана.
Методы авторизации выбираются не с потолка, а зависят от требований безопасности. Если речь идёт о клиент-банке, то OpenID, при всех его достоинствах, безопасным не является. Фактически, в этом случае необходим сертификат, и не просто сертификат, а полученный в банке лично.
Логин/пароль без мыла сейчас тоже нигде не используются (по крайней мере, я очень давно не видел). Как я выше написал, электронный адрес нужен, чтобы восстановить забытый пароль.
Ну и в копилку: существует ещё один метод, проприетарный и для интранета. Тем не менее, там он используется в полный рост. Речь идёт об Active Directory + IE + Integrated Windows Authentication. Говоря человеческим языком, пользователь входит в винду под своим логином/паролем в домене, и без паролей автоматически авторизуется на интранетовских сайтах. Поскольку несколько методов авторизации можно включить одновременно (скажем, Basic + Digest + Integrated authentication), пользователь из локальной сети может заходить на сайт без пароля, а из интернет-кафе — через Digest аутентификацию.
А вот при чтении концовки сложилось ощущение, что автору срочно потребовалось куда-то бежать, и поэтому статья не дописана.
Методы авторизации выбираются не с потолка, а зависят от требований безопасности. Если речь идёт о клиент-банке, то OpenID, при всех его достоинствах, безопасным не является. Фактически, в этом случае необходим сертификат, и не просто сертификат, а полученный в банке лично.
Логин/пароль без мыла сейчас тоже нигде не используются (по крайней мере, я очень давно не видел). Как я выше написал, электронный адрес нужен, чтобы восстановить забытый пароль.
Ну и в копилку: существует ещё один метод, проприетарный и для интранета. Тем не менее, там он используется в полный рост. Речь идёт об Active Directory + IE + Integrated Windows Authentication. Говоря человеческим языком, пользователь входит в винду под своим логином/паролем в домене, и без паролей автоматически авторизуется на интранетовских сайтах. Поскольку несколько методов авторизации можно включить одновременно (скажем, Basic + Digest + Integrated authentication), пользователь из локальной сети может заходить на сайт без пароля, а из интернет-кафе — через Digest аутентификацию.
На хабрахабр удобная авторизация кстате
!
!
а еще есть авторизация по железкам - USB-брелки, например
ага, чтобы зайти на наш сайт закажите usb-брелок (который через 2 недели придет) ! lol
openid неплох, но не снимает проблемы, которая на мой взгляд сейчас становится достаточно актуальной - разведение виртуалов. Спам перестает работать, как следствие сейчас активно развиваются другие способы раскрутки, в частности видел логи одного форума, где один участник "рассказал" о ресурсе, а потом в течении некоторого времени ему отвечали "круто","спасибо" другие юзеры, с того-же московского adsl-ного IP, зарегистрированные с разницей в несколько минут, акция была относительно хорошо выполнена, виртуалы предварительно написали по несколько сообщений в разные ветки, с разной стилистикой сообщений. Теперь представим себе ситуацию когда такой виртуалмэйкер узнает о существовании tor... Наиболее адекватным решением против такого пиара мне видится связка логин/телефон, причем достаточно присылать на него пароль, а не java приложение. Да это решение не слишком секьюрно, но с одной стороны подавляющее большинство моих знакомых в той или иной степени используют одни и те же пароли во многих местах, у обычного юзера шанс пролюбить телефон находится на одном уровне вероятности с потерей email, а с другой стороны выловить пароль из gsm сложнее чем затроянить компьютер. Такое решение также позволит быстро и просто сменить пароль в случае его компрометации.
Кстати, в первом пункте наверное все же простая авторизация, а не регистрация.
А есть еще форма регистрации, которая называется "Извращенная" :-)
Vogue сейчас проводит конкурс и в пачки сигарет кладет вкладыши, на которых указана анкета, код, условия и сайт.
Я пошла на сайт (весь во флеше, табы естественно не работают). Жутко длинная форма. Ладно, заполнила, подошла к концу. В конце выяснилось, что бы получить логин и пароль надо заполнить еще и анкету во вкладыше (аналогична сайты) и сфоткать ее (!!!) или отсканить и отправить им. И только тогда ты получишь свой аккакаунт.
Стукнула того, кто эту хрень придумал :-(
Vogue сейчас проводит конкурс и в пачки сигарет кладет вкладыши, на которых указана анкета, код, условия и сайт.
Я пошла на сайт (весь во флеше, табы естественно не работают). Жутко длинная форма. Ладно, заполнила, подошла к концу. В конце выяснилось, что бы получить логин и пароль надо заполнить еще и анкету во вкладыше (аналогична сайты) и сфоткать ее (!!!) или отсканить и отправить им. И только тогда ты получишь свой аккакаунт.
Стукнула того, кто эту хрень придумал :-(
народ будет кричать о лишении конфиденциальности и тотальной слежке
Ничего не мешает поднять собственный OpenID провайдер. Как и mail-сервак, впрочем :)
я сойду с ума и потеряю работу, если каждый бухгалтер начнет поднимать серваки)
:)
Ну каждый бухгалтер пользуется в общем случае mail.ru вместо установки себе mail-сервака.
Думаю, с OpenID ситуация та же.
Короче, не потеряешь ты работу :)
Ну каждый бухгалтер пользуется в общем случае mail.ru вместо установки себе mail-сервака.
Думаю, с OpenID ситуация та же.
Короче, не потеряешь ты работу :)
"на момент написания опуса не метод работает" подправьте
Jabber сейчас у многих, аккаунты есть - удобноА если учесть тот факт, что любой аккаунт gmail — это суть тот же jabber, то картинка становится ещё более радужной и перспективной :)
Если Google Сделает OpenID будет круто.
У Вас попутано понятие авторизации с понятием аутентификации.
Авторизация — раздача прав.
Аутентификация — подтверждение, что я — это я.
Авторизация — раздача прав.
Аутентификация — подтверждение, что я — это я.
а ведь действительно. спасибо
у автора в статье тоже =) просто я когда писал статью - решил писать "форма авторизации", "методы авторизации", т.к. это довольно распространенные понятия простому пользователю, хотя вероятно тут более уместным было бы "аутентификация" во многих случаях. Так и думал что найдется кто-нибудь, кто про различия в этих понятиях напомнит. =)
А уяснить для себя различия в данных понятиях помогут например 2 статьи у вики:
http://ru.wikipedia.org/wiki/Аутентифика…
http://ru.wikipedia.org/wiki/Авторизация
А уяснить для себя различия в данных понятиях помогут например 2 статьи у вики:
http://ru.wikipedia.org/wiki/Аутентифика…
http://ru.wikipedia.org/wiki/Авторизация
Знаете, только не карайте сильно :), но все это по сути методы АУТЕНТИФИКАЦИИ в крайнем случае идентификации, но никак не АВТОРИЗАЦИИ.
Определение.
Разница между этими понятиями часто очень существенна. Хотя по большому счету, для очень многих людей, все три понятия - это одно и тоже.
Определение.
Разница между этими понятиями часто очень существенна. Хотя по большому счету, для очень многих людей, все три понятия - это одно и тоже.
На мой взгляд, OpenID - одно из наиболее удачных решений аутентификации (кстати, верно, именно аутентификации, а не авторизации). Очень много в свое время разбирался с этой технологией. Очень интересная, особенно если разобраться в тонкостях, Yadis... Кстати, читал где-то, что акаунты на Google являются OpenID-акаунтами.
А вот ENum, лично мне не понравился, как-то он странно работает, правда сталкивался с ним всего однажды, при попытки сделать доступ WebMoney Light. Хотя, возможно, во всем виноваты кривые руки.
Что до Jabber-акаунтов, идея интересная, и мне кажется тоже очень даже перспективная, учитывая его широкое развитие
А вот ENum, лично мне не понравился, как-то он странно работает, правда сталкивался с ним всего однажды, при попытки сделать доступ WebMoney Light. Хотя, возможно, во всем виноваты кривые руки.
Что до Jabber-акаунтов, идея интересная, и мне кажется тоже очень даже перспективная, учитывая его широкое развитие
Enum-авторизация - "это не привязка аккаунта к мобильному телефону, номеру". Это авторизация на основе одноразового шифроблокнота. Пользователю на телефон выдается java-приложение, в котором содержится _конечная_ таблица случайных паролей. Это и есть одноразовый шифроблокнот.
В центре выдачи java-enum приложения тоже сохраняется данная таблица, а так же уникальный номер шифроблокнота. При логине пользователь сообщает номер шифроблокнота и номер пароля который будет использоваться (java-приложение показывает эти два числа, чаще всего одним числом), после этого сервер выдает число которое пользователь вводит в java-аппликуху, число шифруется паролем, выдается на экран результат, и пароль удаляется из таблицы. Пользователь вводит результат на сайте и логинится.
Метод этот максимально взломоустойчив и уникален тем, что физически шифроблокнот хранится на мобиле а не в компе, что практически исключает доступ к нему из компа.
Однако удобства от этого метода мало, и нужен он только в действительно защищенных веб-сервисах типа в при логине в вебмани или в каку другую систему интернет банкинга.
В центре выдачи java-enum приложения тоже сохраняется данная таблица, а так же уникальный номер шифроблокнота. При логине пользователь сообщает номер шифроблокнота и номер пароля который будет использоваться (java-приложение показывает эти два числа, чаще всего одним числом), после этого сервер выдает число которое пользователь вводит в java-аппликуху, число шифруется паролем, выдается на экран результат, и пароль удаляется из таблицы. Пользователь вводит результат на сайте и логинится.
Метод этот максимально взломоустойчив и уникален тем, что физически шифроблокнот хранится на мобиле а не в компе, что практически исключает доступ к нему из компа.
Однако удобства от этого метода мало, и нужен он только в действительно защищенных веб-сервисах типа в при логине в вебмани или в каку другую систему интернет банкинга.
про ENUM и в частности про мое описание как "привязка \"аккаунта\" мобильному телефону, номеру" - я так написал потому, что буквально недавно восстанавливал аккаунт на яндексе через смс, яндекс отправил сообщение с кодом подтверждения мне на мобильник (отправляется при правильном указании номера, такого же, как указанный при регистрации) - таким образом восстановление пароля привязано именно к номеру телефона - получается вроде как разновидность ENUM, но реализовано по-другому и выделять это в отдельный тип аутентификации не вижу смысла, но метод имеет место быть и реально применяется.
Ещё несомненный плюс "Enum - авторизации" — IQ-контроль пользователя /* блондинко не проидет :) */ Таже неплохая приграда для ботов.
Я решил главную проблему первого метода с помощью FF-расширения PasswordMaster. Если коротко, то на основе мастер-пароля и доменного имени сайта генерится довольно сильный пароль для этого сайта. Зная этот пароль восстановить главный невозможно. Так что достаточно держать в голове один единственный мастер-пароль.
помнится года 2-3 назад даже писал для себя некоторую утилиту, позволяющую генерировать на основе простого пароля (или как раз имени ресурса, напр. "vasya@mail.ru") довольно длинный и очень устойчивый ключ, который мог использоваться как пароль на любом ресурсе (буквы в разном регистре, цифры, спецсимволы), думал будет удобно, но немного попользовавшись отказался от этой идеи, т.к. необходимо таскать такое с собой везде где может понадобиться, не удобно. То же самое, как я понимаю, и с плагинами к браузеру - можно использовать только если выходите все время с одного компьютера, а таскать с собой его впринципе нельзя, да и в каком-нибудь интернет кафе - тоже не поучится воспользоваться. У самого даже была идея переписать под веб, в виде серверного скрипта, но тоже отказался - теряется вся надежность, даже при условии защиты самого такого скрипта, хотя может кто-то и использует.
P.S. А лучше всего конечно научиться считать в уме md5() или ей подобное ;)
P.S. А лучше всего конечно научиться считать в уме md5() или ей подобное ;)
Воможно я неточно объяснил. Для генерации пароля для сайта используются и мастер-пароль, и доменное имя. И прошу прощения, расширение называется PasswordMaker. Есть онлайновая версия: http://passwordmaker.sourceforge.net/pas…
ну при написании собственной утилиты это и не важно, есть там мастер пароль или нет, фактически там есть закрытый алгоритм, который подразумевает наличие какого-либо мастер ключа, закрытого, который и используется для генерации. Но суть понятна.
А эта онлайн-версия генерирует все по такому же алгоритму, как и плагины? Т.е. при генерации через плагин или онлайн версии - результат одинкаов? Например при недоступности плагина я могу воспользоваться онлайн-версией и наоборот? Спасибо.
А эта онлайн-версия генерирует все по такому же алгоритму, как и плагины? Т.е. при генерации через плагин или онлайн версии - результат одинкаов? Например при недоступности плагина я могу воспользоваться онлайн-версией и наоборот? Спасибо.
кстати очень полезными будут скрипты по Вашей ссылке - для генерации хешей по различным алгоритмам, некоторые из них вероятно буду использовать. Плюс)
Если бы OpenID был так как хорош, как ему пророчили... все бы сидели на openid, но и openid есть минусы. Один из них "сложность" для веб-мастеров и привязка к другим серверам, которые перечеркивают всё хорошее.
Я думаю старый login/password еще очень долго будет "рулить".
Я думаю старый login/password еще очень долго будет "рулить".
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Авторизация в веб: какой она может быть?