One ring to rule them all или аутентификация через TeddyID


    Недавно меня попросили высказать свое мнение по поводу нового сервиса, который обещает решить все проблемы пользователей-склеротиков, увеличить пушистость меха и значительно снизить риски связанные с кражей пароля. Основная концепция системы заключается в избавлении пользователя от необходимости помнить свой пароль для аутентификации и параллельно увеличить безопасность за счет двухфакторной аутентификации. Также сервис предлагает «полуторафакторную аутентификацию», которая представляет из себя вариант LastPass. Заинтересовавшись, я решил рассмотреть все плюсы и минусы такого подхода с точки зрения пользователя-гика. Сразу оговорюсь, что я не являюсь экспертом в области информационной безопасности, поэтому прошу простить заранее возможные неточности.

    Пользовательское соглашение


    Как истинный параноик и сторонник открытого ПО, я начинаю знакомиться с подобными вещами именно с пользовательского соглашения. Бегло просмотрев текст и убедившись, что компания традиционно ни за что не отвечает, взгляд зацепился за три ключевых момента:

    1. Компания наша, российская. Зарегистрирована как ООО «Платформа Матрица». В принципе, ничего особого в этом нет, но возникают определенные риски доверия. Доступ к ресурсам и личной информации может быть несколько «расширен» для неопределенного круга лиц из-за особенностей административного ресурса в нашей стране.
    2. Пользователь осознает, что информация о себе, которую Пользователь вводит на сайтах Компании Матрица или иным образом передает Компании Матрица, может становиться доступной для других Пользователей услуг Компании Матрица и пользователей Интернета, может быть скопирована и распространена такими пользователями;
      Этот пункт откровенно смутил. Что относится к такой информации, почему она должна стать доступной непонятно кому? Возможно юристы перестраховались.
    3. Традиционный пункт про изменение правил в любой момент с оповещением в виде изменения соответствующей страницы на сайте. То есть, некие пункты могут внезапно видоизмениться.

    В принципе ничего особо критичного, но доверяя доступ третьему лицу, хочется большей прозрачности в договоре.

    Основные особенности и возможности


    Вспоминаем ТРИЗ и концепцию идеального конечного результата: самое эффективное решение проблемы — такое, которое достигается «само по себе», только за счёт уже имеющихся ресурсов.
    Какая основная проблема у большинства обычных пользователей с аутентификацией на разных ресурсах? Необходимость помнить множество различных паролей или использовать один и тот же, снижая безопасность. А хочется, чтобы как-то само все работало.
    Сервис как раз и помогает решить эту проблему раз и навсегда за счет использования мобильного приложения. Вместо традиционного ввода логина/пароля на сайте вы получаете запрос на сопоставление изображений на мониторе ПК и на телефоне. Один клик и вы внутри.

    Собственно, именно это я и немедленно проверил, зарегистрировавшись на сайте. Кстати, крайне порадовала система регистрации. Минимум ненужных телодвижений со стороны пользователя, никаких нудных анкет. Вы устанавливаете приложение и сканируете QR-код, после чего аккаунт считается созданным. Впоследствии, вы можете добавлять дополнительную информацию, верифицировать почтовый ящик и так далее. Все это служит цели повышения уровня безопасности.

    Для интеграции TeddyID предлагается использовать несложный API. В итоге пользователь получает возможность зайти под своим аккаунтом в один клик.

    Также создатели сервиса обещают простую интеграцию в рамках CMS Bitrix и Wordpress в виде плагинов.

    «Полуторафакторная аутентификация»


    Если по каким-то причинам полноценная интеграция сервиса невозможна, то TeddyID предлагает своеобразный вариант LastPass. Для добавления на сайт достаточно внести в код страницы следующий скрипт:
    <script src="https://www.teddyid.com/js/teddypass.js" async></script>
    

    В этом случае TeddyID будет работать как менеджер паролей. Во время логина пользователю будет предложено сохранить пароль, а во время регистрации Teddy сгенерирует для пользователя сложный невзламываемый пароль. Пароли хранятся в зашифрованном виде, а ключ для расшифровки паролей сохраняется в браузере пользователя, и пароли расшифровываются в браузере пользователя лишь в момент когда они используются. Таким образом, даже Teddy никогда не видит пароля пользователя в расшифрованном виде.

    Основное отличие от того же зашифрованного хранилища в Firefox, Keepass, LastPass в том, что пользователю нет нужды помнить даже мастер-пароль. Взамен он получает все ту же систему сравнения идентичности картинок на телефоне и ПК.
    Сравнение двух вариантов использования:


    Менеджер паролей



    Вот этот функционал особенно понравился. Если взлетит — может сильно потеснить конкурентов. По сути, вы получаете тот же самый классический менеджер паролей, но с преимуществом двухфакторной аутентификации. В браузер устанавливается их расширение, которое обеспечивает связь между формой ввода, серверами сервиса и вашим телефоном. Возможно, это наиболее работоспособный функционал на данный момент, так как не требует никаких действий со стороны веб-мастеров и выполняется исключительно на клиентской стороне.
    Этот функционал является платным, но сумма символическая — всего 0.99$ за пожизненную лицензию.
    Поддерживаются браузеры:
    • Chrome
    • Firefox
    • Internet Explorer
    • Safari
    • Opera (скоро)
    • Яндекс.Браузер (скоро)


    Субъективные ощущения от использования


    Первое впечатление от работы системы — очень высокая отзывчивость. Приложение реагирует практически мгновенно на попытку входа, задержка на домашнем канале не более полусекунды. Проверяем работу в отсутствие интернет-канала:

    Здесь принцип работы идентичен приложению Google Authentificator. Пин-код генерируется каждые 30 секунд на основе случайного зерна, полученного при первичной регистрации приложения. Из минусов — цифры мелковаты, а площадь экрана пропадает впустую. Не слишком удобно, но работает. Синхронность ключей обеспечивается точным соответствием времени на сервере и устройстве. Для особо забывчивых существует возможность входа с помощью пароля.
    При дальнейшем изучении был несколько разочарован предельно упрощенным мануалом. Я не слишком приветствую современную тенденцию скрывать от пользователя информацию, чтобы он случайно не перенапрягся и не испугался. Найти какую-то внятную документацию, wiki, примеры использования, даже разбор пунктов меню личного кабинета так и не получилось. Проект молодой, но мне кажется, что новые пользователи должны сразу же легко находить ответы на все интересующие их вопросы.
    Например:


    или


    Здесь явно присутствует расширенный функционал предназначенный для увеличения безопасности бизнеса, ЭЦП и прочие плюшки. Но зачем мне это в основном разделе личного кабинета как обычного пользователя? Кто все эти контрагенты и прочие сущности? Ответы, видимо, спрятаны где-то в неочевидных разделах сайта.

    Кризис доверия



    Я думаю все из нас помнят компрометации iCloud-аккаунтов, получившие ироничное прозвище The Fappening. Почему я об этом вспомнил? Знаете, есть мнение, что ключница — это лучший способ потерять все ключи одновременно.
    Когда мы доверяем все наши ключи и пароли стороннему сервису, мы хотим быть абсолютно уверены в его безопасности. И, когда даже такие монстры IT-рынка как Apple допускают проколы в обеспечении безопасности данных, то завоевать доверие новых пользователей стартапу будет очень непросто. Да, средний юзер беспечен и имеет гладкую кору головного мозга невнимателен. Но постоянные события, связанные с утечкой данных, заставляют беспокоиться даже людей, работающих в интернете не приходя в сознание. Молодой компании предстоит немалая работа по обеспечению действительно высокого уровня прозрачности и надежности хранения ключей.

    Целевая аудитория



    На мой взгляд до сих пор не очень понятна целевая аудитория сервиса. Среднестатистический пользователь живет в персональном аду среди Яндекс-баров, Guard'ов, поисковых панелей и прочего мусора. А в качестве пароля использует свой день рождения. Для того, чтобы захотеть воспользоваться удобством и безопасностью двухфакторной аутентификации нужно хотя бы на секунду об этом задуматься. Но среди таких пользователей подобная «задумчивость» почти не встречается. Большинство из них искренне исповедует лозунг «У меня нет ничего интересного, кому я нужен?». Также они обычно искренне верят в злобного хакера, который будет по ночам персонально взламывать его страничку в Одноклассниках. В результате, такие пользователи пополняют дружные ряды узлов бот-нета.
    Другая, меньшая часть населения сети, сурова и бородата. Красные глаза бесстрастно взирают на логи, мелькающие в консоли… Подобные пользователи, как правило, прекрасно понимают основы безопасности в сети и редко отдают заботу об этом кому-то постороннему. Убедить их, что использование телефона в качестве средства доступа лучше, чем шифрованная база KeePassX, синхронизируемая через любовно настроенный owncloud, будет непросто.
    При этом явно чувствуется направление монетизации в сторону услуг для бизнес-проектов. В результате, достаточно непросто понять направление развития проекта в ближайшей перспективе.

    Распространенность TeddyID


    Практически никакая. Стартап сейчас находится в типичной ситуации, когда даже хорошее и удобное начинание с огромным трудом завоевывает первых пользователей. Даже если вы сейчас вложите огромные деньги и создадите самую удобную в мире социальную сеть, то Facebook догнать будет практически невозможно. Окно возможностей ушло. Проект предлагает действительно интересную концепцию, которая позволяет удобно и безопасно осуществлять доступ, но в качестве конкурентов выступают такие гиганты как тот же Facebook, Google и другие, которые предлагают пользователям удобную авторизацию без использования пароля. Поэтому команде проекта предстоит не только убедить добавить интеграцию своей системы наиболее крупные площадки, но и убедить пользователей, что они удобнее и безопаснее чем Google+, интегрированный уже, по-моему, в каждый чайник.

    В целом, мне понравился проект, но чувствуется, что предстоит еще немало работы, пока он заживет полноценной жизнью.

    Only registered users can participate in poll. Log in, please.

    Какие сервисы вы используете для аутентификации на различных ресурсах?

    • 15.0%Не использую27
    • 43.3%Помню пароли наизусть78
    • 11.1%Храню в браузере под мастер-паролем20
    • 35.6%Храню в KeePass и ему подобных64
    • 19.4%Ипользую LastPass35
    • 13.9%Другое25
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 18

      0
      Хотелось бы услышать мнение более квалифицированных в этой области людей, чем я. ValdikSS
        +3
        Хм. Раз позвали, то отвечу. Читал только статью, сайт особо не читал, но концепцию понял. В целом, сервис выглядит интересно, из ближайших аналогов знаю только duo, но он не для веба, а Pluggable Authentication Module в Linux (можно использовать, например, с SSH).

        Доверять ли таким сервисам — целиком ваш выбор. Нужно проверить, действительно ли пароль не передается на сервер, т.к. у них предусмотрена процедура сброса пароля, и нужно выяснить, теряется ли доступ к сохраненным данным в этом случае. В любом случае, т.к. это не просто какой-то менеджер паролей, а некая надстройка над сайтом (в случае встраивания в веб-сайт, как я понимаю, он работает в роли OAuth-агента, а в случае js-письки просто подменяет собой форму логина), то никто не мешает в какой-то момент времени изменить js-код так, чтобы он отдавал расшифрованные данные на сервер, если шифрование у них было грамотно реализовано до этого.

        Я вообще пароли не храню, а каждый раз генерирую их на основе мастер-кода и домена вебсайта через SuperGenPass. Очень удобная утилита, особенно мне нравится то, что не нужно вообще ничего никуда сохранять. В интернете можно найти информацию о том, что он уязвим, но это относится к старым версиям, а в новых проблем, насколько я знаю, нет.

        Ой, а оно еще и шароварное? Ну, фиг знает, мне такое не особо интересно:
        Вы можете использовать расширение для браузера бесплатно в течение 30 дней. Затем, если оно вам понравилось, вы оплачиваете всего $0.99 за пожизненную лицензию.
          +1
          Хм… Я как-то привык к KeePassX. Такие вещи обычно стараюсь исключительно на открытое ПО и свои ресурсы возлагать. Хотя тот факт, что двухфакторная авторизация до сих пор мало распространена — удивляет. Тот же Google Auth использует вроде только Dropbox еще.
            0
            Не только. Во-первых, не Google Auth, а TOTP, Google Authenticator — просто один из огромного множества генераторов.

            В моём списке: собственно Google, DigitalOcean, Lastpass, Dropbox, Facebook, Microsoft, btc-e, Github, Wordpress, VK, Яндекч.Деньги, а так же все мои рабочие линукс-машины.
          0
          насчёт SuperGenPass — думал тоже использовать подобный сервис.
          Останавливает то, что на сайтах очень часто разные требования к паролю.
          На некоторых книжных сайтах в пароле требуются все 4 категории символов, а на каких-то спецсимволы нельзя.
          Ограничение по длинне тоже постеменно меняется — всё чаще встречается «от 8 символов».

          В результате «незапомненный» пароль превращается в квест «подбери опцию»
        0
        crossed text
          0
          Добавил пункт, который пропустил в самом начале — использование сервиса в виде браузерного расширения для двухфакторной аутентификации везде. Все на клиентской стороне, без участия сайта, куда мы логинимся. LastPass может потесниться. Все-таки здесь безопасность субъективно выше за счет использования телефона.
            +1
            А почему так мало внимания уделяется варианту записи в физическом блокнотике, который лежит дома? Уж если до дома доберутся, то всё равно от паяльника ничто не спасёт=)

            Стоит добавить, что такой вариант хорош только тогда, когда есть силы запомнить все основные пароли, а наименее используемые можно потом подсмотреть.
              0
              У меня есть запечатанный конверт с ключами нужными. Чисто in a case of emergency)
              0
              Эти пассажиры стучали и ко мне с просьбой дать оценку.
              Я думаю, это то, что будет в какой-то момент включено в базовую поставку iOS, иначе смысла и доверия просто не будет.
                0
                Если Яблоки такое включат в базовую поставку — они убьют конкурентов в зачатке. Хотя у этих ребят есть хороший шанс продаться крупной компании. Тому же Google, если станут заметны на рынке.
                0
                А мне вот E-num нравится, но это не менеджер паролей, просто сервис двухфакторной авторизации. И не уверен, что они обслуживают кого-то кроме вебманей (возможно это их карманный сервис).
                  0
                  Хочется универсальности)

                Only users with full accounts can post comments. Log in, please.