Нет ограничений. Речь про FIDO U2F (универсальный второй фактор). Насколько я понимаю, если по-крестьянски, при регистрации на сервер уходит публичный ключ. При аутентификации сервер генерирует что-то, что уходит в девайс, девайс подписывает это приватным ключом и отдаёт назад. Сервер сохранённым публичным ключом проверяет, что подпись верна.
А вы пишите про resident keys, там при регистрации для каждого ресурса своя пара ключей генерится и на ключ пишется метадата типа логина. Это для passwordless аутентификации и там правда ограничение есть, т.к. на ключ данные пишутся.
Можно это ключ использовать как на сотне разных сайтов (они запоминают именно ключ, один на всех сайтах, а не пишут в него что-то)
Да, я так и делаю, это второй фактор, то чем вы владеете.
так и на одном сайте для разных аккаунтов (гитхаб рабочий и личный, на gmail тоже не один аккаунт...)?
Вот тут не знаю, не пробовал, врать не буду. Но не вижу, завем бы вам это запрещать. Вам же пароль одинаковый для разных аккаунтов никто не запрещает устанавливать.
На любой онлайн площадке они лежат свободно. На озоне, конечно, цены ояебундестаг, но это потомую что санкции нам на пользу. На амазоне за 2000р по текущему курсу в розницу можно взять. Если банки решат их внедрить, они будут лежать в каждом отделении и дешевле, т.к. банк их бужет закупать оптом и щарабатывать на них банку глупо.
Дешевый новый смарт (а для использования в качестве запасного ключа
Таскать современную лопату исключительно в качестве ключа - такое себе, чтобы не сказать грубее. Еще и заряжать его постоянно. У - удобство. Я сравниваю со смартфрном, которым можно пользоваться как смартфоном. К тому же, расскажиту мне, как этим вторым смартфоном мой первый автоиизовать? Ключ я просто приложу, а в телефоне за $90 впядли будет NFC, а даже если будет, это даже звучит как лютая дись какая-то.
Ну как... логинишься один раз и потом на полке держишь
Куда вы логинитесь один раз? Речь про 2fa, ключ используется прстоянно, каждый день.
Не вижу существенной разницы что с собой таскать.
Ключ таскать с собой не надо, он всегда в клавиатуру воткнут или в usb удлинитель и лежит перед вами на столе, а телефон дома хрен пойми где на зарядке валяется, зачем мне дома телефон? А если выйти из дома, вы правда не видите разницу между "флэшкой" и второй лопатой?
Как второй фактор. Регистрирую его на сайте, например, на гитхабе и после ввода пароля достаточно просто коснуться ключа, а не вводить коды из SMS/TOTP аутентификатора/почты. Количество сервисов, к которым так его можно привязать не ограничего. Жаль, что поддерживают ключи не все. Очень бы хотелось поддержки, как минимум, банками.
Fido2 ключ маленький, стоит на 2 порядка дешевле телефона, привязать их можно, например, 3 штуки - один носить с собой, второй держать дома, третий в банке или у родителей. При утере одного ключа авторизуетесь со вторым, отвязываете утеряный и привязываете ещё один на замену ему. С телефонами такое проделывать дорого и очень неудобно. К тому же, как с компьютера работать, телефон к нему подключать постоянно?
А не нужно хотеть универсальные. (Тыкая пальцы в целую кучу старых SIP и банковских карт с чипами.) Вот же, даром аппаратные ключи раздают. С SIM-ками проблема не в завязку на SIM-ку, а в том, что ее нет, а есть завязка на номер.
Почему не нужно? Почему не использовать проверенное на практике универсальное решение, которое уже используют огромное количество помпаний по всему миру. Из финансовых это, как минимум, Bank of America, Paypal и несколько немецких банков в пример приводили.
Универсальные аппаратные ключи (типа yubikey) - слишком дорого.
Мне не дорого. $20 норм цена за безопасность, кмк. yubikey со всеми его возможностями не нужен, простые fido2 ключи оптом будут в несколько раз дешевле. Тем более, что эти уключи у меня уже есть.
ТОТР - для большинства пользователей это магия в которую они не умеют.
Какая разница для пользователя, вводить код из смс или из приложения? Я понимаю, что есть определённая категория людей, которым тяжело по состоянию здоровья за 30 сеунд код ввести, но аппаратный ключ этой проблемы не имеет.
Да и вообще для очень большого количества пользователей какие-то хитрые действия практически нереальны (они слишком тупы для этого). Максимум что они осиливают - это ввести код из смс или приложить карту к смартфону.
Может, если ты настолько тупой, что не можешь ввести логин/пароль и TOTP код, тебе не нужно иметь удолённый доступ к деньгам с возможностью брать кредиты и переводить деньги со счетов межбанком? Пускай для смс-пользователей останется доступ в ЛК, где можно будет только переводить деньги между своими счетами, платить по QR и переводить по СБП с жёстким лимитом 100к в месяц. И никакого межбанка и удалённого кредитования.
Для большинства этого будет более чем достаточно. Хочешь полноценный доступ, освой простейшие средства безопасности и потрать $20 на себя любимого. Для инвестиций же ввели квалификацию для доступа к высокорискованым операциям, почему тут не так?
около 16,5 миллиарда километров. Это примерно в 110 раз больше, чем расстояние между Землёй и Солнцем, и чуть меньше, чем в четыре раза больше, чем расстояние до самой внешней планеты Нептун
Как многословно и витиевато записано "110 а.е." Хорошо, что не в футбольных полях.
Вы с 18 лет выбираете место жительства самостоятельно. Любители принудительной коллективной ответственности говорят: "Вы решили жить в РФ и платить налоги в РФ, которые идут руководству РФ, это ваша личная ответственность. Почему вы не уехали из РФ, что за инфантильное списание всего на внешние обстоятельства?" И у них нет ни одной причины оправдывать вас. Здорово, правда? Или это опять другое? Мир не черно-белый, начинайте взрослеть уже.
Upd. Чтобы не сложилось ложного впечатления. Я не считаю работу, например, в роспозоре, чем-то достойным, чем можно гордиться. Я пишу о том, что для большого количества людей это, наверняка, вынужденная ситуация, а не радостный личный выбор, как часто это пытаются представить.
Для чего-то, движущегося со скоростью света, 56 микросекунд достаточно, чтобы преодолеть расстояние примерно в 168 футбольных полей
Википедия говорит о 13 видах футбола, какой вы имели в виду? Поля надо в длину или в ширину брать? Допустим речь про европейский футбол и поля берём в длину, та же википедия говорит, что длина поля бывает от 90 до 120 метров. На 168 полях разница 5км будет, ничего себе погрешность. Почему нормальные единицы измерения не использовать при переводе? У нас не принято в полях и локтях измерять, метры и километры привычнее для малых расстояний.
Статья про мониторы с частотой обновления 500 Гц рассказывает про мониторы с частотой обновления 500 Гц потому что мониторы с частотой обновления 500 Гц продаются по ссылке мониторы с частотой обновления 500 Гц. Может хватит уже поискового спама про мониторы с частотой обновления 500 Гц?
По поводу подписаться - ну блин, а если не качать канал через статьи, то какой смысл автору писать что-то длиннее небольшой новости?
Много лет хабр существовал как самостоятельный ресурс, а сейчас он превратился в площадку для линк фарминга и рекламы каналов в телеге. Посмотрите старые статьи, они все доступны, там полно статей длиннее небольшой новости.
А каналы в телеге вообще рак, убивающий интернет. Ваши каналы не индексируются поисковиками, информация не сохраняется в вебархиве, найти информацию невозможно, т.е. пользы 0 без палочки. Это мимолётный информационный мусор, ради которого вы убиваете хабр.
Я не знаю человека, который его написать
Если ночью в квартире англичанина раздаётся звонок в дверь, он, конечно, может предположить, что это королева пришла, чтобы провести с ним нось, но, скорее всего, это у моседа кончилась моль (с)
Этот аккаунт коментатора выглядит как бот иипишет, как бот.
Я не знаю, кто такие "вы" и кто Вас уполномочил говорить за всех "вас". Но от моего имени говорить не нужно.
Это называется коллективная ответственность.
Коллективная ответственность не может быть возложена кем-то, её можно взять на себя только самостоятельно. В противном случае, это наказание невиновных.
Ну вы посмотрите, с чего началась ветка. С комментария про обязательный номер телефона и с моего ответа:
Мне настолько наплевать на пиццерии, что я обсуждать это не имею ни малейшего желания.
Я логинюсь в кучу сервисов с компьютера.
Как вы утомили своими телефонами...
Нет ограничений. Речь про FIDO U2F (универсальный второй фактор). Насколько я понимаю, если по-крестьянски, при регистрации на сервер уходит публичный ключ. При аутентификации сервер генерирует что-то, что уходит в девайс, девайс подписывает это приватным ключом и отдаёт назад. Сервер сохранённым публичным ключом проверяет, что подпись верна.
А вы пишите про resident keys, там при регистрации для каждого ресурса своя пара ключей генерится и на ключ пишется метадата типа логина. Это для passwordless аутентификации и там правда ограничение есть, т.к. на ключ данные пишутся.
Да, я так и делаю, это второй фактор, то чем вы владеете.
Вот тут не знаю, не пробовал, врать не буду. Но не вижу, завем бы вам это запрещать. Вам же пароль одинаковый для разных аккаунтов никто не запрещает устанавливать.
Как мне этим "нормально" залогиниться, например, в гитхаб на компе с линухом? Куда мне ваш айфон приложить для этого?
На любой онлайн площадке они лежат свободно. На озоне, конечно, цены ояебундестаг, но это потомую что санкции нам на пользу. На амазоне за 2000р по текущему курсу в розницу можно взять. Если банки решат их внедрить, они будут лежать в каждом отделении и дешевле, т.к. банк их бужет закупать оптом и щарабатывать на них банку глупо.
Таскать современную лопату исключительно в качестве ключа - такое себе, чтобы не сказать грубее. Еще и заряжать его постоянно. У - удобство. Я сравниваю со смартфрном, которым можно пользоваться как смартфоном. К тому же, расскажиту мне, как этим вторым смартфоном мой первый автоиизовать? Ключ я просто приложу, а в телефоне за $90 впядли будет NFC, а даже если будет, это даже звучит как лютая дись какая-то.
Куда вы логинитесь один раз? Речь про 2fa, ключ используется прстоянно, каждый день.
Ключ таскать с собой не надо, он всегда в клавиатуру воткнут или в usb удлинитель и лежит перед вами на столе, а телефон дома хрен пойми где на зарядке валяется, зачем мне дома телефон? А если выйти из дома, вы правда не видите разницу между "флэшкой" и второй лопатой?
Как второй фактор. Регистрирую его на сайте, например, на гитхабе и после ввода пароля достаточно просто коснуться ключа, а не вводить коды из SMS/TOTP аутентификатора/почты. Количество сервисов, к которым так его можно привязать не ограничего. Жаль, что поддерживают ключи не все. Очень бы хотелось поддержки, как минимум, банками.
Fido2 ключ маленький, стоит на 2 порядка дешевле телефона, привязать их можно, например, 3 штуки - один носить с собой, второй держать дома, третий в банке или у родителей. При утере одного ключа авторизуетесь со вторым, отвязываете утеряный и привязываете ещё один на замену ему. С телефонами такое проделывать дорого и очень неудобно. К тому же, как с компьютера работать, телефон к нему подключать постоянно?
Почему не нужно? Почему не использовать проверенное на практике универсальное решение, которое уже используют огромное количество помпаний по всему миру. Из финансовых это, как минимум, Bank of America, Paypal и несколько немецких банков в пример приводили.
Мне не дорого. $20 норм цена за безопасность, кмк. yubikey со всеми его возможностями не нужен, простые fido2 ключи оптом будут в несколько раз дешевле. Тем более, что эти уключи у меня уже есть.
Какая разница для пользователя, вводить код из смс или из приложения? Я понимаю, что есть определённая категория людей, которым тяжело по состоянию здоровья за 30 сеунд код ввести, но аппаратный ключ этой проблемы не имеет.
Может, если ты настолько тупой, что не можешь ввести логин/пароль и TOTP код, тебе не нужно иметь удолённый доступ к деньгам с возможностью брать кредиты и переводить деньги со счетов межбанком? Пускай для смс-пользователей останется доступ в ЛК, где можно будет только переводить деньги между своими счетами, платить по QR и переводить по СБП с жёстким лимитом 100к в месяц. И никакого межбанка и удалённого кредитования.
Для большинства этого будет более чем достаточно. Хочешь полноценный доступ, освой простейшие средства безопасности и потрать $20 на себя любимого. Для инвестиций же ввели квалификацию для доступа к высокорискованым операциям, почему тут не так?
На русский переводил тоже американец? Перевод, это не замена английских слов на русские.
А почему вы решили, что хабр существует только для "вашей страны" и, например, казахам тут не место? И я упустил момент, когда эпол с Кипра ушли?
Брал в руки, разницы не вижу. Ещё не слышу разницы при прослушивании музыки через "прогретые" Моцартом провода.
Госуслуги, банки и т.д. от телефона надо отвязывать. Телефон, это канал связи, а не способ аутентификации.
Как многословно и витиевато записано "110 а.е." Хорошо, что не в футбольных полях.
Вот только ещё вопрос, над кем тут стоит смеяться...
https://beardedbutchers.com/en-ca/blogs/news/what-are-pig-wings?srsltid=AfmBOorqSiDPXuwnO3qAvFpUhcNDKbRgJlPWymjo-96UTeRbUOiCogCj
Вы с 18 лет выбираете место жительства самостоятельно. Любители принудительной коллективной ответственности говорят: "Вы решили жить в РФ и платить налоги в РФ, которые идут руководству РФ, это ваша личная ответственность. Почему вы не уехали из РФ, что за инфантильное списание всего на внешние обстоятельства?" И у них нет ни одной причины оправдывать вас. Здорово, правда? Или это опять другое? Мир не черно-белый, начинайте взрослеть уже.
Upd. Чтобы не сложилось ложного впечатления. Я не считаю работу, например, в роспозоре, чем-то достойным, чем можно гордиться. Я пишу о том, что для большого количества людей это, наверняка, вынужденная ситуация, а не радостный личный выбор, как часто это пытаются представить.
Википедия говорит о 13 видах футбола, какой вы имели в виду? Поля надо в длину или в ширину брать? Допустим речь про европейский футбол и поля берём в длину, та же википедия говорит, что длина поля бывает от 90 до 120 метров. На 168 полях разница 5км будет, ничего себе погрешность. Почему нормальные единицы измерения не использовать при переводе? У нас не принято в полях и локтях измерять, метры и километры привычнее для малых расстояний.
чтобы провести с ним ночь, но, скорее всего, это у соседа кончилась соль
Убогие тач клавиатуры :(
Статья про мониторы с частотой обновления 500 Гц рассказывает про мониторы с частотой обновления 500 Гц потому что мониторы с частотой обновления 500 Гц продаются по ссылке мониторы с частотой обновления 500 Гц. Может хватит уже поискового спама про мониторы с частотой обновления 500 Гц?
Много лет хабр существовал как самостоятельный ресурс, а сейчас он превратился в площадку для линк фарминга и рекламы каналов в телеге. Посмотрите старые статьи, они все доступны, там полно статей длиннее небольшой новости.
А каналы в телеге вообще рак, убивающий интернет. Ваши каналы не индексируются поисковиками, информация не сохраняется в вебархиве, найти информацию невозможно, т.е. пользы 0 без палочки. Это мимолётный информационный мусор, ради которого вы убиваете хабр.
Если ночью в квартире англичанина раздаётся звонок в дверь, он, конечно, может предположить, что это королева пришла, чтобы провести с ним нось, но, скорее всего, это у моседа кончилась моль (с)
Этот аккаунт коментатора выглядит как бот иипишет, как бот.
Я не знаю, кто такие "вы" и кто Вас уполномочил говорить за всех "вас". Но от моего имени говорить не нужно.
Коллективная ответственность не может быть возложена кем-то, её можно взять на себя только самостоятельно. В противном случае, это наказание невиновных.