SuperLeha Feb 24 at 09:47

ID: способы аутентификации сегодня, их преимущества, недостатки и перспективы развития

Medium

6 min

4.4K

«Нью-Тел» corporate blogInformation Security*Website development*Development of mobile applications*CRM systems*

Review

Recovery Mode

-6

Comments 4

feelamee Feb 24 at 13:11

не люблю когда делают интерфейсы с прицелом на самого глупого пользователя(

Лично я готов брать на себя ответственность за хранение логина и пароля.

Неужели я один такой? Потому что даже на самых гиковских сайтах просят хотя бы почту...

Если кто-то знает сайты, где просят только логин пароль или подобное, то поделитесь пожалуйста .-.

pyrk2142 Feb 24 at 16:32

Суть новой механики – в тот в момент подтверждения телефонного номера пользователя ему показывается уникальный номер, на который он должен сделать звонок. Сама процедура не сложна, пользователю нужно лишь нажать на кнопку «позвонить» или отсканировать QR-код, звонок произойдёт в автоматическом режиме. Для данной механики стоимость верификации значительно ниже, а вызовы не блокируются со стороны сотовых операторов.

Добрый день,

Подскажите, пожалуйста, как в данном случае пользователь может определить, где конкретно он авторизуется? Условно, вы хотите подключиться к публичному WiFi, вам показали номер телефона, вы на него позвонили. На самом деле оператор этой WiFi точки "под капотом" получил этот номер у сервиса электронной почты так же через процесс авторизации и показал его вам. И вы отдали свой аккаунт левому человеку, вообще не подозревая, что стали жертвой атаки.

sigprof Feb 26 at 00:22

TOTP … требует постоянного наличия стабильного интернета на устройстве клиента

Как раз чистый TOTP не требует интернета на устройстве — требуется, чтобы время было установлено с достаточной точностью, для чего интернет в общем случае не нужен. Другой вопрос, что использование TOTP в таком варианте подразумевает, что пользователь должен самостоятельно открыть приложение для аутентификации, найти в нём нужную учётную запись, после чего ввести сгенерированный приложением код в форму входа (в случае входа через тот же смартфон может быть ещё вариант «скопировать код через буфер обмена»). В этом плане аутентификация через собственное приложение, показывающее уведомление, где достаточно только подтвердить вход, выглядит для пользователя существенно проще, но такой вариант без интернета уже не сработает.

lonelysuch Feb 26 at 16:01

Когда-то, очень давно, в Питере был пилотный проект Единой карты. Подразумевалось, что это будет документ (точнее все ваши документы), банковская карта, электронная подпись и прочие плюшки. При оформлении давали ридер для этих карт. Проект не взлетел. Я переехал в Эстонию, в которой есть ID карта. Документ заменяет все, позволяет подписывать документы и совместим с ридером, который мне выдали почти 20 лет назад в Питере.

По ID карте можно авторизоваться почти на всех сайтах ЭР. Делать все, не выходя из дома.

Вот такая авторизация должна быть, имхо, это очень удобно.