Так если бы были плюсы, то как раз и началось бы копирование решения, а по минусам сразу становится понятно, что надо лезть в комментарии — читать, что не так в статье.
Тут нет противоречия. Когда вы нажимаете на кнопку «войти» в «форме авторизации», то происходит:
1. Идентификация вас по имени пользователя, которое вы ввели в поле «логин»
2. Аутентификация — проверка, правильный ли пароль был введен в поле «пароль»
3. Авторизация — предоставление доступа в соответствии с вашими правами.
Все логично, так как с точки зрения пользователя он в итоге авторизуется на сервисе для доступа к своим ресурсам. Не писать же теперь «форма идентификации, аутентификации и авторизации», ведь аутентификация и идентификация это в данном случае просто компоненты необходимые для авторизации.
Давайте на хабре будем использовать термины правильно.
GemaltoRussia удивительно, но ссылки на переводы стандартов, которые доступны по первой вашей ссылке не работают. Одна «Server Not Found», а вторая — домен предлагается к продаже.
Описание решений gemalto я вроде не просил.
В любом случае, я не уверен, что вы прочитали мой вопрос. Мне интересно только откуда у вас информация о том, что OATH является частью методики OASIS SAML. Я знаком и с SAML и с OATH и искренне удивлен такое прочитать. Не понимаю как эти вещи вообще связаны.
Стандарт OATH, в свою очередь, является частью открытой методики OASIS SAML и описывает использование криптографических алгоритмов для создания токенов одноразовых паролей (one-time password, OTP)
z3apa3a, я, прочитав этот комментарий, подумал, что после того, как я нажимаю «не спам» на письма от определенного отправителя, они рано или поздно перестанут попадать в папку спам, но это не так. Нашел у себя рассылку, письма которой я уже почти 100 раз за последние полгода отмечал как «не спам», однако она так и продолжает попадать в спам.
Это правильное поведение антиспам фильтра или мне надо обращаться в поддержку?
зашифровано алгоритмом SHA-1, который успешно поддается расшифровке
Справедливости ради SHA-1 это не алгоритм шифрования, а однонаправленная хэш-функция.
Зная соль, можно попробовать рассчитать хэши для распространенных паролей и сравнить с имеющимися хэшами.
А еще перед тем, как запустить код, выдохните, просчитайте до трех и удостоверьтесь, что вы в сессии нужной базы.
Ох, вспоминается случай из жизни. Правда не про СУБД, но в тему торопливости. 2 недели без выходных работал в командировке над проектом. Последний день. Около 6 часов вечера. С утра должен быть самолет домой. Сделал все, кроме небольшого сервиса, который никак не хотел работать. Я решил, что самая хорошая идея — переустановка софта. Заметил, что нахожусь не в той ssh сессии только когда полностью удалил все с одной из важнейших боевых машин. Первая мысль — накрылся мой перелет и грядет нарушение визового режима. Но в итоге это была моя самая быстрая установка и настройка за всю жизнь: уже к 9 вечера все было настроено вместе с тем небольшим сервисом.
С чего вы взяли, что вы владеете своим смартфоном?
Если серьезно, то я понимаю вашу логику. Факт ввода кода из SMS действительно может подтвердить что-то из списка: владение SIM картой или доступ к сети/оборудованию оператора или доступ к сети SS7.
Кстати, если кто-то подсмотрел (MiTM, фишинг, камера, вирус) QR с seed при инициализации вашего TOTP токена, то он тоже может сделать сколько угодно дубликатов.
Сегодня ночью решил поведать пользователям о том, Mozilla приняла волевое решение заблокировать УЦ WoSign и StartCom. Посмотрел, что такие посты сейчас обычно пишут на geektimes, а у меня там как раз ни одной публикации. Я без задней мысли отправил в песочницу. С утра получил:
Увы, ваша публикация «Firefox перестанет принимать сертфиикаты WoSign и StartCom» не была одобрена НЛО и не может быть опубликована в песочнице на «Geektimes».
Причина отклонения: «Публикация не представляет достаточной ценности для «Песочницы»».
Комментарий модератора: «Увы, содержание вашей публикации недостаточно интересно.»
Настоятельно просим не терроризировать службу поддержки. Она не комментирует причины отказа и не обладает информацией о модерировании публикаций в Песочнице. Об этом известно только НЛО. А с НЛО, как известно, человечеству вступить в контакт еще не удалось.
Я уже комментировал эту терминологию ранее.
Автор статьи по вашей ссылке считает, что SMS не является вторым фактором, поэтому пароль+код_из_SMS он называет 2SV, а не 2FA. Я же полагаю, что через код в SMS подтверждается владение SIM картой. Наличие атак на данный фактор не означает, что он перестает быть фактором аутентификации. К тому же эти атаки являются нарушением законодательства.
Если рассуждать как автор той статьи, то одноразовые коды в мобильном приложении (и вообще любой фактор) тоже могут быть скомпрометированы, например, вирусом на смартфоне.
Sony поздно задумалась над двухфакторной аутентификацией и когда реализовала ее, то тоже немного опоздала: выбрали SMS, которые сейчас не рекомендуются к использованию в качестве фактора аутентификации.
Как обрабатываете ситуации, когда пользователь утрачивает контроль над telegram аккаунтом или теряет смартфон с Google токеном? Есть какие-то аварийные коды, контрольные вопросы или войти в аккаунт станет невозможно?
1. Идентификация вас по имени пользователя, которое вы ввели в поле «логин»
2. Аутентификация — проверка, правильный ли пароль был введен в поле «пароль»
3. Авторизация — предоставление доступа в соответствии с вашими правами.
Все логично, так как с точки зрения пользователя он в итоге авторизуется на сервисе для доступа к своим ресурсам. Не писать же теперь «форма идентификации, аутентификации и авторизации», ведь аутентификация и идентификация это в данном случае просто компоненты необходимые для авторизации.
Давайте на хабре будем использовать термины правильно.
Описание решений gemalto я вроде не просил.
В любом случае, я не уверен, что вы прочитали мой вопрос. Мне интересно только откуда у вас информация о том, что OATH является частью методики OASIS SAML. Я знаком и с SAML и с OATH и искренне удивлен такое прочитать. Не понимаю как эти вещи вообще связаны.
?
z3apa3a, я, прочитав этот комментарий, подумал, что после того, как я нажимаю «не спам» на письма от определенного отправителя, они рано или поздно перестанут попадать в папку спам, но это не так. Нашел у себя рассылку, письма которой я уже почти 100 раз за последние полгода отмечал как «не спам», однако она так и продолжает попадать в спам.
Это правильное поведение антиспам фильтра или мне надо обращаться в поддержку?
Пролистал 18 страниц PDF документа с упоением.
Справедливости ради SHA-1 это не алгоритм шифрования, а однонаправленная хэш-функция.
Зная соль, можно попробовать рассчитать хэши для распространенных паролей и сравнить с имеющимися хэшами.
Ох, вспоминается случай из жизни. Правда не про СУБД, но в тему торопливости. 2 недели без выходных работал в командировке над проектом. Последний день. Около 6 часов вечера. С утра должен быть самолет домой. Сделал все, кроме небольшого сервиса, который никак не хотел работать. Я решил, что самая хорошая идея — переустановка софта. Заметил, что нахожусь не в той ssh сессии только когда полностью удалил все с одной из важнейших боевых машин. Первая мысль — накрылся мой перелет и грядет нарушение визового режима. Но в итоге это была моя самая быстрая установка и настройка за всю жизнь: уже к 9 вечера все было настроено вместе с тем небольшим сервисом.
Если серьезно, то я понимаю вашу логику. Факт ввода кода из SMS действительно может подтвердить что-то из списка: владение SIM картой или доступ к сети/оборудованию оператора или доступ к сети SS7.
Кстати, если кто-то подсмотрел (MiTM, фишинг, камера, вирус) QR с seed при инициализации вашего TOTP токена, то он тоже может сделать сколько угодно дубликатов.
Автор статьи по вашей ссылке считает, что SMS не является вторым фактором, поэтому пароль+код_из_SMS он называет 2SV, а не 2FA. Я же полагаю, что через код в SMS подтверждается владение SIM картой. Наличие атак на данный фактор не означает, что он перестает быть фактором аутентификации. К тому же эти атаки являются нарушением законодательства.
Если рассуждать как автор той статьи, то одноразовые коды в мобильном приложении (и вообще любой фактор) тоже могут быть скомпрометированы, например, вирусом на смартфоне.