Я устал регистрироваться

    На данный момент, почти на каждом сайте есть регистрация. Разработчики все время решают задачу, как эту процедуру сделать более прозрачной и менее заметной.
    Каждый раз, когда мне предлагают зарегистрироваться или ввести логин/пароль, меня трясёт от бешенства. «Сколько уже можно, в конце то концов?!»



    W3C и разработчики браузеров — взываю к вам. Сделайте API, наподобие localStorage, в котором бы находились мои данные. Чтобы я 1 раз их ввел, и порталы получали бы эти данные. Узнавали бы меня в «лицо». Тогда регистрация или авторизация сведется лишь к заполнению поля «пароль».

    Т.к. уже все передовые браузеры имеют механизм синхронизации, то проблем доступа из различных точек возникнуть не должно.



    Возможно моя идея — это «бред сивой кобылы», но вдруг, если представить на минутку, что такое возможно – то все пользователи вздохнут с облегчением.

    UPD
    Хочу подчеркнуть, что основная проблема lostpass и прочих в том, что они не решают проблему почти полностью автоматизированной(прозрачной) регистрации.

    UPD2
    OpenId тоже не решает проблему прозрачной регистрации: Комметарий UksusoFF

    UPD3
    Как подсказал @FakeFactFelis уже существует подобное решение от Mozilla: browserid.org
    Share post

    Similar posts

    Comments 130

      –2
      Поправьте заголовок. Надеюсь, это опечатка.
        +11
        «Мозилла» давно предлагает свой «Браузер Ай-Ди». Техпологий авторизации хватает; думаю, Оупен Ай-Ди тоже неплох, есть простые плагины вида «Логинзы», дело лишь за создателями сайтов.
          0
          Как только появилось OpenId я один из первых попытался использовать её.
          Но:
          — не тривиальная реализация на стороне сайта, что очень сильно сказалось на распространение
          — все равно, необходимо вводить каждый раз свой login

          свели её преимущества на нет
            +2
            Многие openid-провайдеры дают страницу входа без необходимости указания логина, гугл например.
            0
            «Браузер Ай-Ди» да! Это именно оно.
            Оказывается я думал в том же направлении, что и умные люди! :)

            Ну почему это не идет в массы. Где стандарт? (((((((
              +4
              Потому, что это подобно тому, что каждому встречному (даже самому последнему бомжу), который спросит как вас зовут, вы будете показывать свой паспорт. Многие люди к этому не готовы.
                0
                Диалог с подтверждением и галочкой «Запомнить сайт» при первом логине спасёт.
                +10
                Судя по количеству упомянутых здесь в комментариях различных сервисов нужного нам вида, основная проблема описывается одним классически комиксом.
                image
                +11
                Самое стремное это когда логинишься по опенайди, а оно от тебя еще и логин пароль почту требует, bitbucket.org тому пример.
                  0
                  В случае с битбакетом это необходимая мера, иначе как потом из консоли меркуриалом авторизоваться?
                    0
                    ну так не всем же это нужно, вот хочу я баг засабмитить, и накой мне все это опять вводить? сделали бы опциональную смену пароля для тех кому нада, например как в ulogin для друпала. хочишь авторизуешься через соцсети, хочешь присоединяешь к существующей учетке логин через соц.
                0
                Ну, попытки были и есть, правда не на уровне браузера.
                  +7
                  не безопасно. я бы не хотел бы «светить» всем ресурсам какие-то данные, например телефонный номер
                    +5
                    Не заполняйте «гипотетическое» поле в настройках. Или в случае с «Этот ресурс запрашивает следующие данные:»
                    [v] email
                    [v] имя
                    [ ] номер телефона

                    [ ] запрещать данному ресурсу запрашивать пользовательские данные

                    снимите галку «номер телефона». Все так или иначе можно сделать прозрачно как, например, с Chrome Notification API.

                    Помоему, в формате «Приложение запрашивает — вы отдаете какие-то данные» получается достаточно удобно. К тому же, веб приложение может своевременно получать апдейт всей информации о вас, что немаловажно.
                      +3
                      Далеко не все пользователи могут осилить настройки браузера, поэтому врядли такое введение безопасно.
                        –1
                        Выводить это окно при установке браузера.
                          0
                          Согласен. Те кто не могут осилить, не заполнят эти поля вообще.
                          0
                          Что делать, если сайт просит номер телефона, но я ему не верю и хочу ввести фейк? Ведь после введения такого api мало кто будет делать в регистрации поля, как сейчас. Просто будут говорить: вы нам не верите, мы вас не пустим. Получится, что придётся постоянно иметь несколько профилей в браузере, да ещё и как-то всё это синхронизировать.
                          Нет, не надо нам такое. Лучше ввести логин/пароль.
                            0
                            Как правило, номер телефона, это не то что все требуют обязательно.
                            Соответственно, если вы не хотите всем подряд его предоставлять, то не указываете его в браузере.
                            А на стороне портала, если вдруг возникла необходимость в телефоне, вас попросят ввести отдельно.

                            Не вижу проблемы.
                              0
                              Это классно, если попросят ввести. Проблема в том, что большинство сайтов, заполучив такое api, обрадуются и скажут: «во, класс, больше не надо делать специальные странички для этого». Не все ж порталы вроде ebay, способные сделать graceful degradation.
                              Ну и тем более: если не сохранять телефон, фио, пасортные данные — тогда что же останется сохранять? Логин? Польза сомнительна.
                                0
                                Даже если сделать только Ник и e-mail, то уже регистрация будет проходить прозрачно.

                                Далее, если развивать мысль, то можно сделать уровни персонализации.
                                0 уровень: email и ник
                                1 уровень: ФИО
                                2 уровень: телефон
                                3 уровень: Адрес проживания
                                4 уровень: оставшиеся паспортные данные
                                И выдавать запросы, как в скриншоте ниже
                                Идею можно развивать далее :)
                                  0
                                  Капчу и правила пользования всё равно будут спрашивать, поэтому страница регистрации будет. Только отличие будет в том, что сейчас у меня есть удобный способ контроля того, какие именно данные я отдаю и под кем авторизуюсь, а его пытаются отобрать.
                                  Не знаю. Я в любом случае этот способ использовать не буду и считаю, что если его в вводить, надо обязать сайты оставить «классическую» регистрацию, как сейчас.
                                    0
                                    Она превратиться на большинстве ресурсов в маленькую формочку.
                                    С вводом пароля, вводом капчей и галочкой для принятия правил.
                                    С этим смириться можно :)
                                      0
                                      В таком случае, какие будут преимущества перед автозаполнением полей в регистрации? Тут где-то, емнип, была статья, что планируется сделать так, что можно будет указать в хтмл что-то вроде input autocomplete-type=«first name», а браузер уже подставит знать, что туда подставлять.
                                        0
                                        Тем что если вы при регистрации что-то изменили, при последующих входях не залогиниными на портал, он всегда вас будет узнавать и предлагать войти в ваш аккаунт по uuid

                                        А так вы правы, почти ничем. Да и механизмы эти можно будет свести к 1му, на самом дела. Никто не запретит считывать эти значения из input с помощью JS.

                                        К тому же, я не уверен что описанное вами решение будет где то сделано :( Или введено в стандарт.
                                          0
                                          То вы про регистрацию, то про логин, не понять. Для «вошли незалогиненным» есть галка «запомнить меня» и персистентные кукисы.
                                          Не отличается ничем, верно, но плюсов у моего вариаета масса. В случае с «умным» автокомплитом пользователь может просто и понятно контролировать, какие данные он отдаёт. в случае с uuid (или если эти поля каким-то обраозом скрыты) это неочевидно и сразу же появятся плагины, позволяющие эту инфу просматривать и менять для портала, в итоге будет то же, что сейчас, но в 2 раза неприятней на вид.
                                          Описанным мной решением занимается Google, поэтому шансы введения в стандарт таки есть.
                                            0
                                            Я про и регистрацию и про идентификацию одновременно.
                                            Смотрите, вы в 1 раз в жизни заходите на сайт, а там форма логина, как на 1 рисунке в топике.
                                            Я ввожу пароль, ставлю галку и вуаля — волшебство произошло.

                                            Регистрация прошла прозрачно.
                                            — Более сложные случаи, с различными уровнями доступа к персонализированной информации можно рассматривать как через уровни(описано выше), да и вообще можно не рассматривать. Задача в любом случае уже решена, на 4ку.

                                            Доволен пользователи, довольны разработчики.
                                              0
                                              Ладно, мы, кажется, говорим немного о разных вещах, мне как-то уже поднадоело %)
                                              Я пытался донести, что глобальный uuid — это плохо и что обязательна должна быть возможность контроля и гибкого изменения того, что отсылаешь, а в предложенном способе лёгкой и красивой реализации (как это сделано сейчас) такой возможности я не увидел. Может, я немного вас недопонял, потому что мне ещё до сих кажется, что вы предлагаете правило 1 человек — 1 аккаунт и параноики вроде меня будут сильно негодовать и таскать автора технологии по судам.
                                              0
                                              Теперь, если я захожу на ресурс повторно. Но не помню ни логина ни пароля — он автоматически будет найден сайтом с помощью uuid и мне будет очень невероятно просто вспомнить как я тут зарегестрирован.

                                              Если же, вы переехали на новый домен или же вы сайт-партнер какого либо ресурса, то вам достаточно использовать API для доступа к информации о их пользователях по uuid, а не использовать монстрообразное API через iframe со всеми вытекающими.
                            +10
                            image
                            +9
                            Это надо в «Я негодую»
                              –1
                              согласен, увы, возможности не позволяют
                                –1
                                Можно узнать за что заминусовали. Необходимо кармы 20 что бы отправить в этот блок.
                                У меня на момент написания статьи, было всего 10. За что блин, минусуете?
                              0
                              Регистрируйтесь через OpenId, в чем проблема?
                                –15
                                Помоему проще на всех сайтах сделать «Вход через вконтакте».На некоторых сайтах и в браузерных играх такое есть, довольно удобно.
                                  +9
                                  Странно, что так заминусовали. На мой взгляд, это правильно, нажатие одной кнопки уже позволяет избавиться от заполнения множества полей. Естественно, нужно делать не только вконтакте, но идея правильная и веб, вроде как, вполне успешно ее подхватил.
                                    +35
                                    Именно за уверенность в том, что у всех есть аккаунт во вконтакте и заминусовали.
                                      +2
                                      всегда можно создать липовые акканту в этих сетях, как я и сделал. 2-3 липовых регистрации заменяют сотни регистраций на других сайтах с авторизацией через соц сети
                                        0
                                        Липовые аккаунты — небольшое, но зло. Вроде и есть человек, а вроде его и нет.
                                          0
                                          Липовый аккаунт требует доверить (и подтвердить) свой номер телефона компании, которая обслуживает ВК. Не все люди им доверяют. Не все люди доверяют правительству страны, в которой находится ВК и чьи законы и указы они обязаны соблюдать.

                                          Кроме того, важный вопрос угона «виртуальной личности». Это сильно зависит от мер безопасности, реализуемых на сайте ВК. Опять же, не весь мир готов поставить доступ к своему электронному банкингу на то, что в ВК не будет никаких ошибок, через которые можно угнать аккаунт.
                                          –12
                                          Ну и зря, у почти всех этот аккаунт действительно есть, даже если не используется. Для тех, у кого действительно нету или он не помнит как туда зайти, можно оставить небольшую ссылочку на другие варианты входа, рядом с большой кнопкой ВК.

                                          Обилие возможностей для входа может создать ситуацию, когда у пользователя получается несколько несвязанных аккаунтов потому, что он заходил под разными сервисами, не помня о том, что у него уже есть аккаунт. Не говоря уже о том, что выбор большого количества способов авторизации, вводит пользователей в замешательство.
                                            +7
                                            К чему столько слов? Вам сказали, что предложение сделать на всех сайтах аутетификацию через ВК не разумное, а то что существует куча провайдеров аутентификации, я думаю, знает весь хабр.
                                              –9
                                              Много слов к тому, что предложение разумнее, чем кажется, просто ненависть к ВК некоторым застилает глаза и не позволяет это увидеть. И привел 2 примера, когда «множество провайдеров» создают свои проблемы.
                                                +1
                                                Помимо ВК, есть ещё FaceBook, Google+ и много других интересных сетей, поэтому ваше предложение несостоятельно.
                                                  –2
                                                  Я смотрю, одно упоминание ВК лишает хабражителей разума и умения читать. Я сделаю и посмотрю на фидбек, а не буду с кем-то спорить;)
                                                    0
                                                    Я вам лично карму не понижал, не надо сходить с ума ;)
                                            +5
                                            В идеале конечно «Вход через Хабрахабр». И только попробуйте сказать мне что у вас нет на нём аккаунта! =)
                                              +1
                                              У меня есть. Но одно время не было, когда в бане был. Забавно было бы потерять доступ ко всему, потому что словил бан на одном сайте, или просто потому что один сайт, хоть и очень надежный обычно, вдруг почему-то временно упал. Или пьяный админ слегка задел и уронил серверную стойку. И весь мир опустился в хаос, с неизбежными трешем, угаром и далее по вкусу. ;-)
                                          0
                                          Ага, а потом ВКонтакт в порыве жадности отключит доступ насолившему ему сайту, как Фейсбук Грувшарку, и пользователи останутся вообще без учеток, потенциально потеряв все на этом сайте. Грувшарк вероятно восстановит учетки, писали что это реально, но надеяться на это… В задницу такой сервис, проживем как-нибудь и без мордокниг с контактиками.
                                          0
                                          А что нового в предложении? localStorage уже есть, и давно существуют куки. Не сохраняют туда наверное только с точки зрения секьюрности (увел базу/куку — узнал личность). Впрочем некоторые сайты (godaddy.com что-ли) похоже имя уже сохраняют, потому что как я ни захожу туда — вижу свое имя и предложение ввести только пароль.
                                            0
                                            Проблема в том, что мне необходимо на каждом сайте вводить одни и те же данные при регистрации.
                                            Проблема в том, что localStorage оно не синхронизируется.
                                              0
                                              У них вполне может быть вечная сессия, как у амазона.
                                              +14
                                              Лучше законодательно запретить сервисам вымогать номер телефона — с регистрацией можно разобраться.
                                                +2
                                                Поддерживаю. Решил я недавно посмотреть, что же за штука такая «одноклассники». Зарегистрировался. А дальше — ничего: требует, собака, номер телефона.
                                                Ну и ладно — больно-то мне эти «одноклассники» нужны…
                                                  –2
                                                  При регистрации — это достаточно честно. Можно не регистрироваться. Я говорю о том случае, когда пользуешься каким-то сервисом несколько лет и в какой-то момент твой аккаунт блокируют и вымогают номер мобильного.
                                                    +11
                                                    Это уже вообще гоп-стоп какой-то…
                                                      +1
                                                      Мне более интересно — зачем? Должен же быть какой-то коммерческий смысл в этом. У меня есть только полуконспирологические объяснения, что спецслужбы побуждают крупные сайты это вводить, чтобы привязать виртуальную личность к реальной.

                                                      Конечно, теоретически не исключено, что это делается для удобства пользователя (пароль все забывают, ящики почтовые иногда тоже теряют, а уж тел всегда под рукой). Но тогда это было бы добровольно. Впрочем, готов даже допустить, что сервисам выгодно принуждать клиентов к этому, чтобы облегчить работу саппорта по вопросам «я забыл пароль, вообще ниче не помню, акк был на имя Гэндальф Серый».

                                                      Но ни в какие объяснения не вписывается скайп, который настоятельно пытается выведать номер сотового другого абонента (не меня!) при добавлении нового контакта. Причем если я, параноик, не ввожу свой сотовый (ну стараюсь не вводить нигде), то десяток людей из моих контактов знают мой сотовый и считают, что вопрос конфиденциальности этой информации — «ну а что такое? это ж только номер сотового».
                                                        0
                                                        Я думаю, что это для того, чтоб труднее было ботов заводить. не будешь же каждому боту симку покупать.
                                                          0
                                                          Возможно. Но это не объясняет почему gmail хочет номер телефона (он ведь не обязательный там, так что от ботов не защищает, но задалбывают предложениями ввести его) и почему скайп его хочет — ведь в скайп тоже регистрация без мобилы, но он просит указать мобильные номер твоих контактов.
                                                      0
                                                      Речь не о веблансере?
                                                        0
                                                        О Фейсбуке, может быть.
                                                        Я там долго не мог зарегистрировать приложение и получить appID: то номер мобильного вымогает, то рекапчу показывает.
                                                        Может быть, из-за откровенно фэйковых имени и фамилии?
                                                          0
                                                          Я столкнулся с этим во вконтакте. Вот еще с маил.ру у человека такие проблемы
                                                            0
                                                            «Вконтакте» не требует введения номера телефона, как гопнические «одноклассники» (типа: «или введи, или иди нафиг»): просто вам каждый раз при добавлении сообщений нужно будет вводить капчу.
                                                            Гугл тоже не требует безоговорочного введения номера телефона, как и фейсбук.

                                                            В общем, пока, к счастью, сетевые сервисы не требуют полной деанонимизации. А те, что требуют, бесполезны — и ими просто можно не пользоваться.
                                                              0
                                                              Мне говорит «we have recently blocked an attempt to hack your account» и дальше не пускает без введения номера. Возникает логичный вопрос: если мой аккаунт взломан, то злоумышленник видит то же самое окно, что ему помешает ввести свой номер? Это конечно если мой аккаунт действительно взломан.

                                                              Альтернативы нет — ни подтверждение на почту, ни секретный вопрос — только дай нам свой номер мобильного и все тут.
                                                                0
                                                                Ну, в этом случае остается лишь один вариант — послать гадов подальше.

                                                                Хотя, есть, конечно, и второй: запастись деньгами и терпением и подать на ублюдков в суд.
                                                    +6
                                                    Ставите 1password или lastpass, настраиваете auto fill forms, и радуетесь жизни.
                                                      0
                                                      Это абсолютно не решит проблемы регистрации.
                                                      Прозрачная регистрация — вот какую проблему решит такой подход.
                                                      –1
                                                      Я на своих сайтах никогда не требую регистрации. Для чего она нужна? Чтобы отпугнуть пользователей? Какая мне разница, под каким ником они пишут?
                                                        +8
                                                        Это подходит не для всех сайтов. Возьмите в качестве примера хабр, каким бы он был, если бы отсутствовала регистрация?
                                                          –11
                                                          Каким?
                                                          Думаете, сюда разом набежали бы тролли, школота, воинствующие пенсионеры и гопники с семками? Это не их аудитория.
                                                          А для борьбы со спамерами и прочей нечистью есть модераторы и технические средства.
                                                            +8
                                                            Реально срача стало бы в 100500 раз больше и для для его ликвидации понадобились бы 10500 модераторов
                                                              0
                                                              Вы, видимо, никогда не видели постов «хабрахабр, смотри, я сделал свой чатик!». Насчет воинствующих пенсионеров ничего не скажу, что ололошечек, пыщьпыщьпыщечек и прочего петросянства там хватает.
                                                              Собственно, жесткая регистрация по инвайтам на то и была нужна, чтобы не слить ресурс в дерьмо. Такой же политике следуют дёти, лепра и прочие, поэтому в своем роде они так хороши.
                                                            –1
                                                            У вас либо нет никаких сайтов либо кроме вас, туда никто не ходит… В противном случае вы бы не писали такую чушь…

                                                            И вообще, автора статьи проблемы. Тема вы реале выглядела бы так:
                                                            «Зачем нужны установленные везде двери. Мало того что их каждый раз приходится открывать-закрывать, так еще какие-то придурки их замыкают. Хочу иметь ключ от всех дверей и чтобы двери сами открывались.»

                                                            У классиков есть на эту тему — Может вам еще ключ от квартиры где деньги лежат?
                                                            +2
                                                            Безусловно, вопрос имеет место быть, но по-моему автор несколько сгущает краски )
                                                            Сколько раз в день на протяжении, скажем, недели, вам приходится регистрироваться?
                                                              +2
                                                              А у вас никогда не было ситуации, когда нужно войти на какой-то сервис, где вы давно не были, а логин/пароль вспомнить не можете?
                                                              Очень уж неудобны эти раздельные регистрации. Особенно когда на разных сайтах приходится заводить разные логины, т.к. тот, которым обычно пользуешься, уже занят.
                                                                +3
                                                                >> где вы давно не были, а логин/пароль вспомнить не можете?

                                                                Я не помню пароли от 90% ресурсов на которых я зарегистрирован и даже не представляю как они выглядят.
                                                                  0
                                                                  Я не запоминаю неважные пароли.
                                                                  Для этих целей существует 1Password.
                                                                    0
                                                                    Никогда не случалось вам зайти на ресурс и отписаться в 1 теме. Но прежде чем оставить сообщение, вам необходимо пройти 5ти минутную регистрацию, с подтверждением почты.

                                                                    А если почта берется из данных браузера, то можно на неё положиться, как на верную.
                                                                      0
                                                                      Еще радуют форумы, где ссылки или фотографии доступны к просмотру только зарегистрированным. Ну вот допустим нашел я что-то интересное на форуме отделочников города Волгограда. Ну окей, вынудили меня, я зарегался, чтобы увидеть ссылку или фотографию. Но дальше меня ни вопросы отделки, ни Волгоград особо в жизни не волнуют, поэтому все равно я даже второй раз не зайду к ним (а если и зайду опять случайно — то и забуду, что у меня там регистрация есть). Не стану я активным пользователем, только потому что под дулом пистолета зарегистрировался там. Какой смысл только базу себе мусором забивать?
                                                                      0
                                                                      А вообще «спасибо» за то что я должен приобретать очередную стороннюю софтину, которая не будет полностью удовлетворять моим потребностям :)

                                                                      Ибо она не будет решать проблему регистрации и необходимо каждый раз по ней проверять, зарегистрирован я тут или нет.
                                                                      +4
                                                                      Ага, причём, тобой же несколько лет назад:-)
                                                                    +6
                                                                    Я бы не хотел такого способа регистрации, проблемы сразу напрашиваются:

                                                                    * Это будет означать, что на всех сайтах будет один и тот же профиль, что не всегда и не всем желательно.
                                                                    * Никто не мешает подделать такой профиль (если только использовать подпись, но это уже сложнее), отсюда проблемы: невозможность зарегистрироваться (так как профиль уже занят), мошенничество и возможный вред репутации.
                                                                    * Затруднение использования более одной учётной записи на одном ресурсе (требуется многопользовательский браузер).
                                                                    * Автоматическая регистрация подразумевает хранение ключа авторизации в браузере. То есть, это зависимость от технических средств, а не только от собственной памяти. Это накладывает необходимость повсеместной синхронизации, от десктопов до мобильных телефонов.
                                                                    * Для регистрации требуются разного рода данные, от адреса почтового ящика до снилса. Не все сайты должны иметь доступ к такой информации, следовательно придётся спраишвать пользователя (как например это делает ФБ), следовательно полностью прозрачной регистрацию сделать не получится.
                                                                      0
                                                                      Вот готовое решение: BrowserID
                                                                      Я не говорил про авторизацию, речь идет про идентификацию.
                                                                      0
                                                                      О да, автор, как я вас понимаю! Сам давно хочу подобного.

                                                                      По долгу службы любопытства посещаю огромное количество сайтов и заметная часть требует регистрации перед выполнением каких-то на них действий.

                                                                      OpenID и авторизация через соц. сети не вариант по ряду причин.

                                                                      Идеально было бы чтобы все сайты предоставляли общий интерфейс, а программы для хранения паролей его использовали.
                                                                        –1
                                                                        > Идеально было бы чтобы все сайты предоставляли общий интерфейс, а программы для хранения паролей его использовали.

                                                                        Еще лучше было бы иметь один-единственный сервис, зарегистрировавшись на котором вы имели бы возможность регистрации/авторизации на любом сайте. Чтобы не иметь лишнего геморроя с синхронизацией баз программ для хранения паролей…
                                                                          +3
                                                                          Еще лучше было бы иметь один-единственный сервис, зарегистрировавшись на котором вы имели бы возможность регистрации/авторизации на любом сайте.
                                                                          Не лучше. Это крайне нежелательный вариант, ибо:
                                                                          1. Админы или взломщики сервиса (или спецслужбы) смогут проследить все мои учётки на всех сайтах и знать обо мне практически всё.
                                                                          2. В случае падения этого сервиса (временного или окончательного) я лишусь всех своих учёток.
                                                                          0
                                                                          Также это помогло бы решить одну проблему, в принципе не решаемую сейчас в общем случае. Это проблема периодического смена пароля в целях безопасности. Допустим я захотел профилактически сменить пароли на всех ресурсах, на которых я зарегистрирован (а таковых несколько сотен, если не тысяч).
                                                                          Если я буду это делать вручную — у меня уйдёт несколько недель чистого рабочего времени.
                                                                          А если захочу автоматизировать и буду писать для каждого сайта свой парсер… времени уйдёт ещё больше.

                                                                          Так что идея с интерфейсом для программы-хранителя паролей в этом случае просто незаменима.
                                                                            0
                                                                            А реально есть что терять на этих тысячах ресурсов? У меня много где есть фейковый аккаунт (заведенный потому что потребовалось иметь регистрацию там), с одним из нескольких тривиальных паролей. Конечно, свое принято защищать, но если кто-то угонит некоторые аккаунты — я так уж сильно огорчаться не буду.

                                                                            Есть может десяток паролей, которые я боюсь забыть или что их кто-то узнает. И есть еще 990 аккаунтов, которые «да если вам лень самому пустой акк зарегать — окей, можете угнать мой, мне не жалко».
                                                                          0
                                                                          Apple iCloud к примеру это скажите. Толку — ноль, т.к. проблема не в лени разрабов.
                                                                            0
                                                                            https://loginza.ru/ — и нет проблемы.
                                                                              0
                                                                              окей.
                                                                              Заставить разработчиков использовать сторонний сервис?
                                                                              Многие это не приемлят, а вот нативное решение многим придется по вкусу.
                                                                              +1
                                                                              Опасное предложение.
                                                                              Первый шаг на пути к «универсальному идентификатору», будете потом в интернет ходить логинясь по ИНН…
                                                                              Подобные решения имхо нужно делать в виде десктоп-решений. Нечто вроде пасворд-хранилки, которая умеет заполнять поля предварительно забитыми данными.
                                                                                0
                                                                                Если сервис будет на стороне клиента (веб-брауер), то для каждого сервиса может генерироваться свой идентификатор пользователя, так чтобы нельзя было связать одного клиента на разных сервисах.
                                                                                0
                                                                                А я не устал регистрироваться. Это не сложно и не всегда нужно. Самая большая проблема с моей точки зрения — невозможность удалить свой аккаунт и все связанные данные.
                                                                                  0
                                                                                  >> основная проблема lostpass и прочих в том, что они не решают проблему почти полностью автоматизированной(прозрачной) регистрации.

                                                                                  Вероятно имелось в виду авторизации?
                                                                                  Не знаю как вы, а я использую master password в FF и всем доволен. А «полностью автоматизированная регистрация/авторизация» меня мягко говоря настораживает.
                                                                                    0
                                                                                    По-моему, автор имел в виду именно регистрацию.
                                                                                      0
                                                                                      именно — регистрация.
                                                                                      ну и идентификацию.
                                                                                      0
                                                                                      Есть одно большое «но» — достаточно часто у людей совпадают ники. Что браузеру делать в таком случае? Придумывать логин самому? От этого ведь будет зависеть, как другие пользователи видят мои сообщения, например.
                                                                                        0
                                                                                        В таких случаях он может просто окно выдавать. Никто ведь не заставляет делать полностью автоматическую регистрацию.
                                                                                        0
                                                                                        Какая-то надуманная проблема. Давно уже есть OpenID, и мне не понятно, какие ваши нужды она не может решить. Там где нет OpenID можно использовать всякие плагины для автоматизации заполнения форм.
                                                                                        От себя добавлю, меня лично не напрягает регистрация, хотя и приходится регистрироваться на сотнях сайтов.
                                                                                          0
                                                                                          Кого то не напрягает при регистрации и телефон оставлять. И вводить код пришедший по СМС через два часа.
                                                                                          Однако, это не говорит о том, что это удобно и так надо делать.
                                                                                          0
                                                                                          При регистрации, как правило, требуется принять правила использования ресурса. Это действие нельзя автоматизировать, поскольку тогда оно не будет иметь юридической силы. А без него ответственность сторон не определена.
                                                                                            0
                                                                                            ввести пароль все равно необходимо, там же можно разместить и галку с правилами.
                                                                                            +2
                                                                                            Разработчики из Mozilla предлагают свой вариант автоматической регистрации и авторизации BrowserID. Даже имеется кросбраузерная поддержка. На Хабре эта технология уже освещалась [1].
                                                                                              0
                                                                                              Выглядит это заманчиво. Однако вы можете назвать хотя бы несколько крупных сайтов, где есть регистрация через BrowserID?
                                                                                              0
                                                                                              Может подскажет кто, Windows CardSpace в небезысвестной системе для чего предназначен? За все время я ни разу не видел сайт, который бы требовал оттуда данные. Какая-то мертвая функция получается. Складывается ощущение, что планировалась унификация авторизации на веб-ресурсах, но что-то не сработало и популярности она не приобрела.
                                                                                                –2
                                                                                                В Windows 8 это можно будет решить через Windows ID. Удобно. Но вряд ли все разработчики это поддержут… Бестолочи ведь.

                                                                                                Ещё была клёвая штука CardSpace… Бестолочи из Microsoft загнули…

                                                                                                Увы, трахаемся с password и ещё больше с captcha.
                                                                                                  0
                                                                                                  Прекрасный подход к vendor lock-in.
                                                                                                  +1
                                                                                                  Вот сидишь ты авторизованный на куче сайтов, гуляешь по интернету, переходишь по ссылке, а там эксплуатируется какая-нибудь CSRF-уязвимость хотя бы одного из этой кучи сайтов.
                                                                                                  Предпочитаю серфить разавторизованным на всех сайтах.
                                                                                                    0
                                                                                                    Никто не отменял ввод пароля.
                                                                                                    Это же решение лишь для идентификации, а не для аутентификации.
                                                                                                    0
                                                                                                    У меня Firefox + KeeFox + KeepAss, то есть пароли хранятся только в KeepAss, и через прослойку KeeFox передаются браузеру. Конечно это не полностью прозрачная аутентификация, но как то ведь жить нужно в теперешнем несовершенно мире :) Всяким lostpass с серверным хранилищем не доверяю. Плохо что KeepAss пока что мало с каким софтом интегрируется (имеется виду локальный софт), имеется ввиду не на уровне горячих кнопок.
                                                                                                      +3
                                                                                                      KeePass конечно же, но название выше тоже употребимо :)
                                                                                                      +2
                                                                                                      Все уже придумано:
                                                                                                      Facebook Login developers.facebook.com/docs/guides/web/#login
                                                                                                        –1
                                                                                                        Лень — двигатель прогресса
                                                                                                          0
                                                                                                          Скоро будет IPv6. Всем хватит адресов, у всех будут белые и выделенные. Можно будет регистрироваться по IP-шнику.
                                                                                                            0
                                                                                                            Провайдеры по старинке все-равно будут выдавать динамический :)
                                                                                                            а белый за дополнительные средства :)
                                                                                                              0
                                                                                                              Да я лучше «правильный» пароль из 40 символов, с буквами, цифрами, знаками и псевдографикой запомню, чем свой адрес в IPv6, который, все равно может смениться при смене провайдера или даже просто при работе через мобильный модем.
                                                                                                            • UFO just landed and posted this here
                                                                                                                0
                                                                                                                Регистрация — штука индивидуальная, на каком — то сайте по рассылке анекдотов по смс в регистрационных данных требуется телефонный номер, в других сайтах требуется email в третьих сайтах вообще ничего не требуется, поэтому стандартизировать всё это нету никакой возможности.

                                                                                                                Правильно писали, немного упрощает этот процесс — вход по OpenId/OAuth, но ведь и там нужно регистрироваться.

                                                                                                                ЗЫ: Я за поддержку сайтами систем входа по отпечатку пальца! :)
                                                                                                                  0
                                                                                                                  Конверсия говорит разработчикам, что чем меньше обязательных полей, тем лучше.
                                                                                                                  Если что-то нужно получить, получите это в момент необходимости, а не в момент регистрации.

                                                                                                                  В момент регистрации, что бы быстрее заполнить поля — человек соврет.
                                                                                                                  А такие данные вам ни к чему, правда ведь?
                                                                                                                  0
                                                                                                                  oAuth никому не по душе?
                                                                                                                    +1
                                                                                                                    Мне по душе.
                                                                                                                    По мне так почти идеальное решение — это предлагать пользователю максимально возможное количество вариантов:

                                                                                                                    1. oAuth (Vkontakte, Facebook, Twitter, Google, Mail.ru, Yandex). При этом запрашивая лишь базовую информацию, то есть доступную любому из вне.
                                                                                                                    2. OpenID
                                                                                                                    3. Регистрация по старинке с email и паролем
                                                                                                                    0
                                                                                                                    Когда-то давно придумали SSL client certificate. Ими пользуются, но почему-то не все.
                                                                                                                      0
                                                                                                                      OpenID существует достаточно давно, думается мне что если ресурс его не поддерживает — то это не по недоумию, а по различным причинам. Вполне возможно что по тем же причинам на ресурсе не будет поддерживаться очередной супер-общий стандарт, каким бы прекрасным он не был.
                                                                                                                        –1
                                                                                                                        Уже несколько раз выше писали — авторизация через соц. сети решает проблему. Осталось сделать единообразное идеальное техническое решение.
                                                                                                                        Чего сейчас почти нигде нет:
                                                                                                                        1. Объединение профилей разных соц. сетей (чтоб залогиниться через любимый Хабровчанами Вконтакт, потом — например, через Фейсбук. И заходить уже через любую из подключенных соц. сетей в один и тот же аккаунт сайта).
                                                                                                                        2. По-умолчанию предлагать именно вход через соц. сети. Сейчас же, даже если кнопки соц. сетей есть, обычно они задвинуты на второй план.

                                                                                                                        Казалось бы, ничего особо сложного нет, но большинство продолжают клепать сайты с собственной авторизацией. Why?!
                                                                                                                          0
                                                                                                                          Хранение паролей пользователя — возможность удержать клиента от перехода к конкуренту. Владельцы не станут заниматься такими вещами.
                                                                                                                            0
                                                                                                                            Пусть тут полежит:
                                                                                                                            http://www.bugmenot.com/
                                                                                                                            BugMeNot.com was created as a mechanism to quickly bypass the login of web sites that require compulsory registration and/or the collection of personal/demographic information.
                                                                                                                            If you find bugmenot useful then please return the favour by telling everyone you know about it. Together we can take back the web.

                                                                                                                            www.computerra.ru/reviews/419315/
                                                                                                                            +Сервисы для создания временных почтовых ящиков.
                                                                                                                            Одноразовая почта.
                                                                                                                            Многие сервисы требуют указывать при регистрации e-mail, а сообщать свой адрес хочется далеко не всегда. В таких случаях неоценимую помощь окажут службы, предоставляющие услуги создания одноразовых почтовых ящиков.

                                                                                                                              0
                                                                                                                              Нужен адаптивный подход. Система авторизации, которая подстраивалась бы под пользователя и его интересы. Давайте попробуем взглянуть на проблему системно:

                                                                                                                              Что такое виртуальная учетная запись пользователя (аккаунт)?
                                                                                                                              По большому счету это способ идентификации между абстрактной информацией и конкретной физической личностью.

                                                                                                                              Стоит немного поразмыслить и тут же становятся очевидными зависимости, выраженные между информацией и физической личностью:

                                                                                                                              1. Принципиальная невозможность однозначной идентификации личности

                                                                                                                              Мы не можем однозначно персонализировать личность используя косвенные признаки, т.к. природа признаков будет определять саму персонализацию (косвенная персонализация). Фактически мы в принципе не можем персонализировать личность, но мы можем использовать признаки с необходимым и достаточным уровнем точности, начиная от логина, телефона, адреса, фотографии, паспортных данных и заканчивая отпечатками пальцев, моделью радужной оболочки глаза и проекцией ДНК.

                                                                                                                              Иными словами, используя телефон, email, логин, пароль и прочую информацию, мы лишь косвенно и с некоторой долей вероятности идентифицируем пользователя с точки зрения информационной системы.

                                                                                                                              2. Различное отношение пользователя к различным учетным записям

                                                                                                                              Совершенно очевидным становится различие в интересах пользователя к безопасности собственной информации на том или ином ресурсе. Если пользователь хранит в информационной системе на уровне собственной учетной записи информацию о местоположении, номере мобильного телефона, домашнего телефона, адреса проживания, уровне заработка, социальных отношений и т.д., то, очевидно, пользователь будет крайне заинтересован в конфиденциальности этих сведений.

                                                                                                                              Как «антипример» приведу вариант с необходимостью регистрации в онлайн играх по логину и паролю, не требующие никакого более подтверждения и созданные с целью «дискретизации» игроков.

                                                                                                                              Забыли логин в игре суть которой — прожечь время?
                                                                                                                              Не проблема! — придумали новый за 15 секунд и снова играете.

                                                                                                                              Другое дело, если вы потеряли пароль от почты, забыли ответ на ключевой вопрос и не имеете более вариантов восстановления доступа к ней, и как на зло, именно на этот почтовый ящик пришла важная для вас лично информация.

                                                                                                                              3. Избыточность способов и увеличение точности идентификации личности

                                                                                                                              Формирование избыточности способов идентификации как вариант обеспечения более высокого уровня безопасности виртуальной учетной записи.

                                                                                                                              Иными словами, чем больше количество способов идентифицировать личность по косвенным признакам, тем точнее будет идентификация и одновременно с этим, тем большей «отказоустойчивостью» будет обладать такая идентификация.

                                                                                                                              Например, у одного из пользователей учетная запись основана на совокупности входных данных «Логин и Пароль». В некоторый момент времени пользователь забывает пароль и не может произвести авторизацию… учетная запись фактически потеряна.

                                                                                                                              Вариант с большей степенью избыточности: учетная запись основана на совокупности «Email и Пароль». Пользователь забывает пароль. Не беда — восстановление на Email. Но Email могут взломать, он может быть удален, при длительном неиспользовании (в зависимости от почтового сервиса). Вспомните как раньше угоняли номера ICQ.

                                                                                                                              Учетная запись на основе «Email + Моб.телефон + Пароль».
                                                                                                                              Забыли пароль? — Восстановление через SMS и/или письмом на Email.
                                                                                                                              Взломали Email? — Возможность восстановления доступа к учетной записи через SMS на номер мобильного.
                                                                                                                              У вас украли мобильный телефон, зная, что вы зарегистрированы на сервисе, узнали через SMS пароль и получили доступ к аккаунту, затем сменили пароль и вы не можете зайти? — Идете в ближайший салон сотового оператора и выполняете стандартную процедуру блокировки номера телефона, и восстановлению sim-карты по паспортным данным, затем восстановление пароля по SMS и доступ снова у вас.

                                                                                                                              К чему я все это — дело в том, что чем больше способов идентификации, тем больше точность идентификации, и больше возможностей восстановления доступа к учетной записи. Вплоть до того, что если информационная система не позволяет (или такая точность идентификации не является целесообразной) с достаточной точностью идентифицировать личность, то могут быть применены статистические способы идентификации на основе социальных связей, как наиболее доступная альтернатива.

                                                                                                                              В качестве примера: пользователь утратил телефон, паспорт, Email, пароль, ответственность, и у него нет ни одного доступного варианта восстановления, но есть целая совокупность «друзей» в сервисе, точность идентификации которых достаточно высока, то они могут явиться поручителями для восстановления утраченного доступа к аккаунту.

                                                                                                                              Мои выводы: на данный момент я разрабатываю адаптивную систему авторизации пользователей. Я руководствуюсь принципом, который когда-то вычитал (и он мне пришелся очень по нраву) в одной из статей о разработке логике перемещений для скоростных лифтов в одном из Токийских небоскребов: раздражение человека пропорционально квадрату времени фактического ожидания.

                                                                                                                              Поэтому, чтобы дать полный доступ человеку к сервису, ему необходимо сделать минимум действий, но если он понимает со временем необходимость безопасности его учетной записи и конфиденциальности личной информации, он имеет возможность формировать избыточность путем подключения аккаунтов из социальных сетей, совокупности Email, номеров телефона, указания фактического адреса или личных сведений (например, 4 последние цифры в номере кредитной карты, паспорта и т.д.), а также совокупность социальных связей в виде пользователей-«друзей».

                                                                                                                              На мой взгляд, такой подход наиболее благоприятен с точки зрения юзабилити, более того, система может опускать первичную идентификацию, абстрагируя пользователя от нее путем присваивания сформированного номера сессии для браузера («инкубационный»-аккаунт), таким образом освобождая полностью от действий для регистрации в системе, считая уровень конфиденциальности данных незначительным.

                                                                                                                              На мой взгляд, очень важно понимать систематические принципы идентификации и назначение процесса идентификации не оторвано от реальности, а наоборот, в совокупности с ней.

                                                                                                                              P.S. Господа, примите эту информацию как мнение «одно из», а не как призыв к действию или навязыванию принципов. С уважением.
                                                                                                                                0
                                                                                                                                Прошу прощения, я забыл указать на самый важный пункт:

                                                                                                                                5. Взаимозависимость между уровнем безопасности и количеством персонализирующей информации

                                                                                                                                — Что мы пытаемся скрыть?
                                                                                                                                — Персональную информацию.

                                                                                                                                — Но что нас идентифицирует как личностей в информационных системах?
                                                                                                                                — Персональная информация.

                                                                                                                                Выводы очевидны.
                                                                                                                                  0
                                                                                                                                  * пункт 4.

                                                                                                                                  Чем больше персональной информации мы внесем в информационную систему, тем более точно мы сможем быть идентифицированы системой. Это обеспечит «отказоустойчивость» системы идентификации.

                                                                                                                                  Если зная ваш логин и пароль, в вашей учетной записи в социальных сетях может сидеть кто угодно, то пользователь в наличии у которого ваши отпечатки пальцев, ваш рисунок радужной оболочки, ваши паспортные данные и сведения, принадлежащие вам (телефон, email, и т.д.) с огромной долей вероятности — Вы.

                                                                                                                                  Мы стараемся обеспечить сохранность данных путем внесения этих данных, даже если и смотрим на это несколько с иного ракурса, понимая под безопасностью и конфиденциальность невозможность несанкционированного доступа к этой информации.

                                                                                                                                  Само наличие персональной информации порождает понятие конфиденциальности и безопасности и неразрывно связаны с ее наличием. Там где нет персональной информации нет несанкционированного доступа.

                                                                                                                              Only users with full accounts can post comments. Log in, please.