Comments 47
Банки ломаются, сервисы тоже.
Или топик какой незаконченный или автор предлагает пользоваться только сервисами с OpenID
Нет, к сожалению, таких сервисов мало - потому ограничиваться ими сложно. Но я уже предпочитаю сервисы, которые предоставляют беспарольную регистрацию, всем остальным.
Топик направлен скорее на дискуссию с авторами сервисов, которые по непонятным мне причинам продолжают настаивать на хранении паролей. Добавил абзац в конце.
Топик направлен скорее на дискуссию с авторами сервисов, которые по непонятным мне причинам продолжают настаивать на хранении паролей. Добавил абзац в конце.
Так ведь почти каждый, кто делает свой сайт, надеется встать в один ряд с Facebook, Yahoo и т.п. :) И чем Вам поможет OpenID если хакнут Вашего провайдера OpenID, у которого все сделано не по уму?
Представляю себе сайт, где для того чтобы написать сообщение, надо зарегистрироваться на Google,LiveJournal и т.д.
Мягко говоря - странно
Мягко говоря - странно
ничего странного
какая вам, как пользователю, что у вас в адресной строке написано, когда вы регистрационную форму заполняете? google.com там или moisupersait.com какая разница?
регистрироваться-то в любом случае придётся, если у вас нет аккаунта :)
но в случае google.com у многих этот аккаунт уже есть
какая вам, как пользователю, что у вас в адресной строке написано, когда вы регистрационную форму заполняете? google.com там или moisupersait.com какая разница?
регистрироваться-то в любом случае придётся, если у вас нет аккаунта :)
но в случае google.com у многих этот аккаунт уже есть
ну, можно хотя бы /предоставить возможность/. Учитывая, что у под 90% (а из аудитории бестперсонс - так наверное 99%) есть аккаунт на одном из таких сервисов, предоставить им возможность логиниться без пароля. А всем остальным, новичкам интернета, дать возможность завести пароль.
Существенное качественное изменение - люди, у которых уже какие-то важные данные (вроде почты) защищены паролем, его вводить на этот сайт не будут. Введут лишь те, у кого нету других сервисов (потому если уведут пароль - не страшно), или стремящиеся к повышенной анонимности (их пароль если и увести, то применить не будешь знать куда).
Существенное качественное изменение - люди, у которых уже какие-то важные данные (вроде почты) защищены паролем, его вводить на этот сайт не будут. Введут лишь те, у кого нету других сервисов (потому если уведут пароль - не страшно), или стремящиеся к повышенной анонимности (их пароль если и увести, то применить не будешь знать куда).
В заголовке надо бы написать …is considered ;-)
Могу предложить следующий способ генерации запоминаемых паролей: перейти на какую-нибудь страницу сайта, скажем, «о проекте», взять, например, третье предложение и пробежаться по первым буквам. Например,
Могу предложить следующий способ генерации запоминаемых паролей: перейти на какую-нибудь страницу сайта, скажем, «о проекте», взять, например, третье предложение и пробежаться по первым буквам. Например,
Само по себе название «Хабрахабр» ничего не означает и никак не переводится.…волшебным образом превращается в что-нибудь типа
spsn_Hh_!o&&!p. Конечно, к некоторым местам этот способ придётся адаптировать.>> В заголовке надо бы написать …is considered ;-)
это вы мемов не знаете
http://en.wikipedia.org/wiki/Considered_…
это вы мемов не знаете
http://en.wikipedia.org/wiki/Considered_…
по первому - извините, но нет. :) Go To Statement Considered Harmful. Английский не так прост..
этот метод очень сильно удлиняет процедуру входа на сайт.
Если логиниться часто, пароль невольно запомнится. А если редко, то один раз подсмотреть и вспомнить не должно быть большой проблемой.
...а потом на сайте немножко изменят текст и нечаянно потеряют половину аудитории :)
Не все же будут цепляться за одну и ту же строчку :)
Если в функции «Забыл пароль» будет показываться не «ну и дебил», то не потеряют.
Если в функции «Забыл пароль» будет показываться не «ну и дебил», то не потеряют.
А почему бы не использовать локальную программу для хранения/генерации паролей?
KeePass, например.
KeePass, например.
Не верю в проблему безопасного хранения паролей: солёный хеш её вполне решает.
Запоминание многих паролей - это да.
Запоминание многих паролей - это да.
всеравно надежных сервисов нет, нужно просто помнить свои пароли..... я вот даже в браузере пароли не сохраняю))))
Нет конкретики.
Если сервис предполагает использование сохранённого пароля, хранить его в хэше нету смысла. Только если шифровать своим алгоритмом, или же открытым ключем.
Если сервис предполагает использование сохранённого пароля, хранить его в хэше нету смысла. Только если шифровать своим алгоритмом, или же открытым ключем.
Хранить пароль в открытом виде - единственный выход, не требующих технических излишков. Или шифровать всё это дело открытым ключем, или собственным алгоритмом.
Другое дело - пароли авторизации сайта. Их можно в хэш кидать и забыть про них, но и тут могут возникнуть проблемы.
Всё-равно проблема в безопасном доступе к этим паролям, а не в принципе их хранения.
Другое дело - пароли авторизации сайта. Их можно в хэш кидать и забыть про них, но и тут могут возникнуть проблемы.
Всё-равно проблема в безопасном доступе к этим паролям, а не в принципе их хранения.
В одном интернет-магазине, есть такая фича, что если во время чекаута пользователю не удается правильно заполнить данные кредитки (ну мало ли — тупой), он может выставить галочку вроде «пускай администрация мне поможет». В последствии такой заказ помечается как проблемный, и администрация связывается с покупателем по телефону и помогает ему выполнить заказ. А может и сама проводит его, если удается. Для этой цели введенный номер кредитки сохраняется в БД магазина (хоть шифруют, и то хорошо).
Такая вот жертва безопасностью в угоду удобству клиентов.
Такая вот жертва безопасностью в угоду удобству клиентов.
в вот ещё один http://www.security2day.ru
:)))
:)))
Sign up to leave a comment.
Хранение паролей considered harmful