Комментарии 114
Loginza
Только не телефон. Автоматически закрываю сайты, которые предлагают ввести номер телефона для каких либо целей.
НЛО прилетело и опубликовало эту надпись здесь
ребята рассказывали, что в каком-то банке номер телефона для двух этапной авторизации достаточно жестко проверяется — при попытке указать левый номер телефона (да, изменив его официально в профиле) вместо смс с кодом входа в онлайн банкинг вам позвонит оператор из КЦ банка по номеру в договоре(!) и поинтересуется, точно ли Вы изменили номер телефона, а не вася пупкин. а потом попросит подойти к банкомату, авторизоваться и подтвердить смену номера еще раз.
Тоже так делали, но последнее время завели отдельный номер и телефон для этих целей. И приваси сохранено и регистрации упрощены в некоторых местах.
Я понимаю, что не хочется рисковать и подписаться на очередной спам. Но а если речь идет о интернет магазине, и когда менеджеру необходима возможность связи с вами? Пока не рассматриваем магазины на поддомене narod.ru :)
Логин и телефон для связи — разные вещи, да и телефона у человека может не быть или телефон стационарный/рабочий… для связи с менеджером годится, а для авторизации — нет.
Получается мы сперва у пользователя просим электронную почту для идентификации на сайте, а потом если он что-то закажет, мы уже спросим телефон. Так?
С одной стороны далеко не каждый пользователь сделает заказ и нам незачем у каждого спрашивать телефон. С другой стороны у заказчиков мы спрашиваем и электронную почту, и телефон, хотя можем ограничиться одним телефоном.
С регистрацией через телефон также упрощается процесс регистрации — мы просто спрашиваем телефон когда нужно, присылаем код и логинем. Никаких страниц регистраций, страниц восстановления паролей.
С одной стороны далеко не каждый пользователь сделает заказ и нам незачем у каждого спрашивать телефон. С другой стороны у заказчиков мы спрашиваем и электронную почту, и телефон, хотя можем ограничиться одним телефоном.
С регистрацией через телефон также упрощается процесс регистрации — мы просто спрашиваем телефон когда нужно, присылаем код и логинем. Никаких страниц регистраций, страниц восстановления паролей.
Тогда пора удаляться с гугля — как с сайта с двух этапной аутентификацией — второй этап — смс на телефон.
И да, — со нормальных порталов онлайн банкинга и сайтов некоторых банков
И да, — со нормальных порталов онлайн банкинга и сайтов некоторых банков
тоже мне, сравнили, банк и магазин например. С банком отношения длительные и не 3 копейки, с магазином одноразовые. Если магазин очень стремится сделать их не одноразовыми, то меня это не волнует. Для меня они одноразовые, что гарантирует свободу выбора в том плане что выбирать буду по действительно важным параметрам, как то работа службы доставки вечером, часы работы, цены. Есть магазины в которых я покупал что-то по 5 раз, но каждый раз этот магазин был лучшим по совокупности важных параметров, а не потому что они прислали мне письмо или у меня есть дисконтная карта.
Ну сравнили, уж гуглу-то можно доверить свой номер, не боясь что он будет слать мне рекламные смс в 3 часа ночи.
Да и двухэтапная далеко не обязательна.
Да и двухэтапная далеко не обязательна.
ну у гугла есть два альтернативных способа подтвердить духэтапную авторизацию:
1) через 10 резервных кодов (которые когда закончатся можно перегенерить)
2) через приложения для android/ios/etc
1) через 10 резервных кодов (которые когда закончатся можно перегенерить)
2) через приложения для android/ios/etc
Выбрал OpenID, т.к. симпатизирую идеи использования единого аккаунта для различных сайтов, порталов и форумов. Однако надо обговорить что у этой технологии есть «нюанс» — пользователь должен абсолютно доверять провайдеру, которому предоставляет свои данные, ведь он сможет использовать их на других портала в своих, корыстных целях.
На мой взгляд идеально чтобы поддерживалось и oAuth и OpenID и Логин + пароль с ОПЦИОНАЛЬНЫМ указанием мыла. Всё равно маилинатор получите от меня. Лучше капу повесьте, но везде требовать мыло это бред. Я понимаю, что вы этим типа от ботов защищаетесь, но это всё элементрано обходится. Есть ещё умники которые mailinator блокируют. Уже пару раз было. В этом случае я тупо уходил с сайта и один раз по этой причине сменил электорнный магазин для покупки на немного более дорогой, но такой чтоб мыло не светить. Ибо именно электронные магазины любят потом спамить и звать меня назад. Электронный магазин не будет знать мой mail никогда, идите в лес горе маркетологи и люди занимающиеся «email маркетингом». Я хочу купить товар, а не 50 писем в год.
А уж телефон мой и подавно никто не узнает, даже соцсети.
а в резюме вы светите левый алиасный номер телефона7
Я думаю неудачное сравнение регистрации на незнакомом портале и передача контактов потенциальному работодателю.
Скорее подойдет — «Вы светите свой личный номер на городском рынке когда хотите купить немного фруктов?»
Скорее подойдет — «Вы светите свой личный номер на городском рынке когда хотите купить немного фруктов?»
Я три раза в жизни искал работу и только один раз отправил одно резюме, с номером. Не вижу проблемы. Я не пытаюсь скрыть свой номер, я не хочу чтобы он попадал в базы для последующего спама. А вот об алиасном номере с последующим запретом входящих для вызова такси всерьёз подумываю, ибо сейчас мне приходит 1-2 смс в неделю от различных служб такси, причём звонки и угрозы не помогают, видимо кто-то слил меня в базу для спама и по ней спамятся разные службы. Есть пара служб которыми я пользовался, но после первого же смс от них больше не пользуюсь. Я очень принципиален в этом вопросе и считаю что голосование рублём и обучение горе-бизнесменов, это гражданская обязанность каждого.
А как с вами будет общаться магазин, когда он не знает ни email, ни телефон? Делать внутренние сообщения?
вот чего я не могу понять, так это зачем вообще магазину со мной общаться? Если заказана доставка то номер телефона будет, если выдача в магазине то кроме номера заказа вообще ничего не нужно. А после совершения сделки я хочу чтобы в магазине не осталось никаких моих персональных данных. Я не вижу никакой пользы от того что они там останутся.
Т.е. если товара не окажется на складе, то пусть это лучше будет сюрприз, когда Вы приедете его забирать в магазин?
Лично я не вижу проблем, у меня есть несколько спамных мылов (которые не жалко, и которые всегда можно забросить). И так же есть пару симок (хотя в Украине с этим проще конечно), которые можно давать в ненадежные источники.
Лично я не вижу проблем, у меня есть несколько спамных мылов (которые не жалко, и которые всегда можно забросить). И так же есть пару симок (хотя в Украине с этим проще конечно), которые можно давать в ненадежные источники.
А не должен магазин давать делать заказ, если товара на складе нет. Я понимаю, что могут быть форс-мажоры, но если сайт при заказе пишет «приезжайте и забирайте», а на складе ничего не знают, то это ошибка или логистики, или маркетинга, или разработчиков. В любом случае я лучше один раз съезжу в такой магазин зря и запомню его (чтоб больше не ездить и вообще не заказывать), чем постоянно сталкиваться с некомпетенцией сотрудников.
НЛО прилетело и опубликовало эту надпись здесь
Лучше капчу повесьте
насколько я помню, большая часть капц ботами взламывается на ура.
Там не совсем боты… :)
как и регистрация мыл
Я тут сегодня на вот такую наткнулся:
Есть идеи?
Есть идеи?
1yzines? да и всегда есть возможность перегенерировать.
Да. авторам такого «капчевания» надо одну капчу оторвать. желательно по уши.
у меня половина знакомых со стопроцентным зрением могут до 10 минут некоторые «капчи» обновлять, пока не найдет что-то, хоть как-то читаемое.
Молчу уже про тех, у кого проблемы со зрением/цветораспознаванием.
у меня половина знакомых со стопроцентным зрением могут до 10 минут некоторые «капчи» обновлять, пока не найдет что-то, хоть как-то читаемое.
Молчу уже про тех, у кого проблемы со зрением/цветораспознаванием.
НЛО прилетело и опубликовало эту надпись здесь
В таком случае вместо непонятных картинок я пишу fuck =)
32
>>Логин + пароль с подтверждением через электронную почту (на сайтах, где не хочется светить эл. почту)
>>через электронную почту… на сайтах, где не хочется светить эл. почту
???
>>через электронную почту… на сайтах, где не хочется светить эл. почту
???
Насчет первого варианта — на левых и полулевых сайта регистрируюсь с мылом вида blablabla.com@%mydomain%.name. При необходимости добавляется фильтр «всё, что приходит на этот домен — в спам».
Регистрация — совершенно лишняя процедура и нужна она только для продолжительного общения с ресурсом. Для однократной покупки не нужна совершенно. Крупные службы бронирования билетов и отелей позволяют без регистрации покупки совершать и очень хорошо себя чувствуют. Быть у них постоянным клиентом это тоже не мешает, потому что привлекает покупателя не назойливая рассылка, а хорошие цены и удобный интерфейс.
Я правильно Вас понял, что мы спрашиваем контактные данные пользователя только при оформлении заказа? И как быть, когда в магазине сохраняется история заказов пользователя. Нужно ж как-то идентифицировать заказчика и дать возможность логинеться.
>>когда в магазине сохраняется история заказов пользователя. Нужно ж как-то идентифицировать заказчика
зачем?
зачем?
Ну это как пример, когда нужно сохранить какую-то информацию для пользователя. На сколько это необходимо — это уже другой вопрос. Да и если это пользователю не нужно, никто ж не заставляет его регестрироваться.
Я знаю ответ зачем. Кто-то из друзей проводил исследования.
Вышло на то, что в у пользователей (по крайней мере на выборке из 1500+ человек по Польше, преим. Варшава) ОЧЕНЬ высокая лояльность к интернет магазинам.
Очень высокая.
Вышло на то, что в у пользователей (по крайней мере на выборке из 1500+ человек по Польше, преим. Варшава) ОЧЕНЬ высокая лояльность к интернет магазинам.
Очень высокая.
Врядли они настолько лояльны к магазину из-за того, что им нравится в нем регистрироваться и они готовы логиниться/разлогиниваться с утра до вечера :)
Лояльность к поставщику товаров или услуг определяется качеством обслуживания. Вы же не пойдете в магазин, где вам продали хрень и повторно тоже продали хрень, даже если они вас рекламой и дисконтными картами до шеи засыплют :)
Лояльность к поставщику товаров или услуг определяется качеством обслуживания. Вы же не пойдете в магазин, где вам продали хрень и повторно тоже продали хрень, даже если они вас рекламой и дисконтными картами до шеи засыплют :)
Смотрите — «нужно ж как-то идентифицировать заказчика» — это нужно только при многократном обращении к ресурсу, причем, ВНИМАНИЕ, если сам факт повторного обращения важен. Например, если есть система накопительных скидок. Но такая накопительная программа — опция. Если вы, навязывая регистрацию, помешаете пользователю сделать первый заказ, то вероятность повторного обращения к вам почти равна 0.
«Дать возможность логиниться» — это вообще чисто техногенная вещь. Человек приходит на ваш сайт чтобы что-то приобрести, а не для того, чтобы пару раз залогиниться :) Зачем вы заставляете человека делать что-то лишнее вместо того, чтобы КУПИТЬ У ВАС ТОВАР?
Не надо ставить препятствия между человеком и покупкой на вашем сайте. Подумайте, какую ПРОБЛЕМУ ПОКУПАТЕЛЯ вы решите, введя обязательную или опциональную регистрацию. А если вам просто нужен ID для базы, то сгенерите его и не забивайте покупателю голову.
«Дать возможность логиниться» — это вообще чисто техногенная вещь. Человек приходит на ваш сайт чтобы что-то приобрести, а не для того, чтобы пару раз залогиниться :) Зачем вы заставляете человека делать что-то лишнее вместо того, чтобы КУПИТЬ У ВАС ТОВАР?
Не надо ставить препятствия между человеком и покупкой на вашем сайте. Подумайте, какую ПРОБЛЕМУ ПОКУПАТЕЛЯ вы решите, введя обязательную или опциональную регистрацию. А если вам просто нужен ID для базы, то сгенерите его и не забивайте покупателю голову.
Я полностью разделяю Ваши мысли. Необходимо в каждом случае думать для чего мы это делаем и как лучше это сделать.
Но вот как для себя ответить на вопрос: лучше ли ввести один параметр идентификации пользователя — телефон — для оформления заказа и логина, при этом понимая, что пользователь очень не любит говорить его, либо ввести несколько вариантов идентификации — email и/или телефон, дав ему свободу выбора. Не так тривиально уже.
А если мы имеем условие, что при оформлении заказа телефон обязателен, то стоит ли все равно давать возможность регестрироваться всеми возможными способами ради повышения лояльности пользователя? Похоже что «Да», так как очень мало людей желают разглашать свой телефон.
Но вот как для себя ответить на вопрос: лучше ли ввести один параметр идентификации пользователя — телефон — для оформления заказа и логина, при этом понимая, что пользователь очень не любит говорить его, либо ввести несколько вариантов идентификации — email и/или телефон, дав ему свободу выбора. Не так тривиально уже.
А если мы имеем условие, что при оформлении заказа телефон обязателен, то стоит ли все равно давать возможность регестрироваться всеми возможными способами ради повышения лояльности пользователя? Похоже что «Да», так как очень мало людей желают разглашать свой телефон.
НЛО прилетело и опубликовало эту надпись здесь
Я это понял. А я говорил еще и о других ситуациях.
Если человек сам добровольно хочет у вас зарегистрироваться (допустим, чтобы получать уведомления об акциях и иметь доступ к архиву покупок), то в качестве ID стоит выбирать что-то живучее.
Имя пользователя (как на Хабре) — хорошо, но человеку нужно помнить это имя. Почта — достаточно стабильно, но иногда меняется. Телефон — менее стабильно, чем почта (по моему личному мнению). Так что я бы остановился на имени пользователя или электронной почте.
А вот смешивать способ связи с пользователем и способ его идентификации я бы не стал. Про телефоны я уже выше писал — для связи с магазином может использоваться один сотовый, другой сотовый или стационарный телефон — кому как удобнее. Способ связи может меняться и нужно предусмотреть эту возможность.
Имя пользователя (как на Хабре) — хорошо, но человеку нужно помнить это имя. Почта — достаточно стабильно, но иногда меняется. Телефон — менее стабильно, чем почта (по моему личному мнению). Так что я бы остановился на имени пользователя или электронной почте.
А вот смешивать способ связи с пользователем и способ его идентификации я бы не стал. Про телефоны я уже выше писал — для связи с магазином может использоваться один сотовый, другой сотовый или стационарный телефон — кому как удобнее. Способ связи может меняться и нужно предусмотреть эту возможность.
P.S. Но не пытайтесь, пожалуйста, сделать регистрацию обязательной. Это вовсе не повысит лояльность клиентов, а вот отпугнуть часть аудитории может запросто. Вы же не единственный их поставщик — регистрироваться где-то в сотый раз — кому это надо?
Я считаю, что обычный сайт не должен запрашивать информацию, однозначно идентифицирующую личность (только если это не специализированный государственный сайт). Такую как телефон, номер паспорта, ИНН и номера прочих документов. Это опасно, не удобно, лишает возможности применять несколько учёток. Такие сайты сразу идут лесом.
Идеальный вариант — логин + пароль + защита от ботов яваскриптом. В крайнем случае допустимо спрашивать капчу (стандартную, текстовую, регистро-независимую), а так же email, если есть необходимость слать сообщения (не рекламного характера), лучше чтобы он был опциональным. К сожалению, многие используют email как логин, приходится для них создавать мёртвые адреса, которые со временем зарастают спамом.
Идеальный вариант — логин + пароль + защита от ботов яваскриптом. В крайнем случае допустимо спрашивать капчу (стандартную, текстовую, регистро-независимую), а так же email, если есть необходимость слать сообщения (не рекламного характера), лучше чтобы он был опциональным. К сожалению, многие используют email как логин, приходится для них создавать мёртвые адреса, которые со временем зарастают спамом.
Как разработчику мне очень нравится вариант с oAuth и некоторые реализации OpenId: так, как на Яндексе (единая строка openid-провайдера вида yandex.ru), но не как в Livejournal (куча уникальных строк типа username.livejournal.com).
Зачем это? Очень просто. На основе этих двух технологий можно сделать регистрацию в 2 клика и вход в 1 клик, да ещё и получить какие-то дополнительные сведения о пользователе (например, аватарку).
А вот как пользователю мне такой вариант удобен, но неприятен: если сайт не скрывает сообщённые ему при регистрации сведения, то по ним в итоге очень легко отследить пользователя даже через гугль, что не всегда желательно.
Зачем это? Очень просто. На основе этих двух технологий можно сделать регистрацию в 2 клика и вход в 1 клик, да ещё и получить какие-то дополнительные сведения о пользователе (например, аватарку).
А вот как пользователю мне такой вариант удобен, но неприятен: если сайт не скрывает сообщённые ему при регистрации сведения, то по ним в итоге очень легко отследить пользователя даже через гугль, что не всегда желательно.
Ещё одно замечание по поводу email. Вы же при регистрации у меня не спрашиваете домашний адрес, не спрашиваете, и знаете что не получите. Так вот за последние 8 лет я жил в пяти разных местах, а email остаётся неизменным. Даже телефон два раза меня когда менял регион проживания. Email это вешь более постоянная чем физический адрес, поэтому я крайне против того чтобы его сообщать кому попало. И по openID, как верно сказали выше, я не хочу чтобы потом можно было отследить что множество учётных записей на разных сайтах ассоциированы с одним человеком.
А сайту интернет-магазина тоже адрес не скажете? А телефон? А почту для подтверждения заказа или если ХОТИТЕ получать акционные сообщения? проблема что логин нужно придумывать, он может быть занят. А email уже есть. И если интернет-магазин честный, то заваливать вас спамом не будете, если галочки не поставите.
Если хочу забрать заказ в центре выдачи то нет, не скажу. Лучше сам позвоню и сделаю заказ по телефону, так меньше вероятность(как мне кажется) что телефон автоматически попадёт в базу рассылки. Если делаю заказ с доставкой то укажу телефон без проблем, но при оформлении заказа, а не при регистрации. Если магазину чтобы доставить мне товар нужна электронная почта, то это проблемы магазина а не мои. Я не параноик, но и указывать лишнюю информацию не горю желанием. Если я хочу чтобы мне позвонили, то я укажу номер, а если не хочу, то не вижу смысла указывать, с почтой аналогично. Я вот недавно фотик купил, забирал в центре выдачи, я уже забыл в каком магазине, и очень рад что у магазина не осталось никаких моих данных. Тоже самое что и с обычной разницей, только с гарантией того что товар есть когда ты придёшь туда, отсутствием назойливого продавца и ценами интернет магазина.
Как-то вот непонимаю я, зачем так оберегать email адрес.
Я отдаю на откуп гмейлу фильтрацию всей своей почты.
Пару раз магазины начали злоупотреблять доверием и теперь окромя как в спам от них письма не приходят.
Спокойно раздаю имейл адрес на лево и право. Включая всякие стремные сайты. И ничего. Во входящих чисто и спокойно.
Я отдаю на откуп гмейлу фильтрацию всей своей почты.
Пару раз магазины начали злоупотреблять доверием и теперь окромя как в спам от них письма не приходят.
Спокойно раздаю имейл адрес на лево и право. Включая всякие стремные сайты. И ничего. Во входящих чисто и спокойно.
Я вот не совсем доволен фильтрацией спама на gmail, да, во входящих чисто, но вот нужные письма пару раз в спам залетали, один раз это было очень важное письмо, из рассылки по поводу конференции, на которую я не попал, из-за того, что вовремя не прочёл о том, что она перенесена. В результате регулярно просматриваю спам папку.
Лучше всего что-нибудь универсальное. Но т.к. очень мало сайтов поддерживают универсальные методы регистрации/авторизации, то не пренебрегаю и другими методами.
Но если у меня требуют номер телефона, посылаю куда подальше!
Но если у меня требуют номер телефона, посылаю куда подальше!
Убивать хочется, когда даже для чтения публичной информации требуется регистрация.
А так «email+пароль» кажется самым разумным вариантом.
А так «email+пароль» кажется самым разумным вариантом.
Мне больше всего нравится вариант регистрации предложенный Джефом Раскиным в книге «Интерфейс». Логины, телефоны и почты совершенно не нужны для аутентификации. Достаточно одного пароля. При этом пользователю система генерирует заведомо безопасный и уникальный пароль и предлагает ему выбрать из нескольких вариантов. В качестве пароля Раскин предлагает использовать кодовую фразу, некое легкозапоминаемое человеком словосочетание или предложение. Главный недостаток, этого варианта, как раз не безопастность, а скорее сложность реализации, но должно ли это заботить пользователя. Хотя вариант довольно-таки известный и правилный, я не видел еще не одной реализации в Интернет.
Это шутка, да?
Читайте Раскина! Умный мужик был, макинтош придумал. ( Википедия о Джефе Раскине ) Пока не умер был первым в мире человеком по теме пользовательских интерфейсов. Думаю, он знал как аутентификация должна быть реализована.
То что человек придумал что-то гениальное, не делает автоматически все его остальные идеи гениальными :)
Нашёл. Глава 6.4.3. Упрощение входа в систему.
Глава в один печатный лист, прочёл. Потом прочёл о Джефе. Я отдаю дань уважения такому специалисту, но как бы это так сказать. По-моему, это чушь.
1) Цит.: «Утверждение, что ввод двух разных цепочек символов увеличивает надежность, ошибочно» и далее доказательство. Это кто так утверждает, местная школота? Любой ребенок знает, что секрет в пароле, и только в нем.
2) Проблема восстановления пароля — как решать? В вариате регистарции email+пароль (красиво сделано на dropbox.com, а недавно и на twitter.com красиво стало) такой проблемы нет.
3) Проблема смены идентификатора.
4) Проблема криптоустойчивости — как сгенерированный системой «запоминающийся пароль» может быть безопасным?! Раз уж система генерирует, то нужно криптографически стойкий делать.
5) Цит.: «В английском словаре возможно около двух триллионов подобных комбинаций. Даже пробуя по миллиону комбинаций в день, вы будете подбирать пароль более 25 лет. Такая безопасность достаточна». Миллион комбинаций в день? То есть 11 комбинаций в секунду. То есть если ~100 комбинаций в секунду, — в худшем случае ~3 года понадобится. А если 1000 в секунду. Мы ведь не имеев ввиду только онлайновские системы, к которым у нас доступ только по каналу в несколько мегабит, так?
Глава в один печатный лист, прочёл. Потом прочёл о Джефе. Я отдаю дань уважения такому специалисту, но как бы это так сказать. По-моему, это чушь.
1) Цит.: «Утверждение, что ввод двух разных цепочек символов увеличивает надежность, ошибочно» и далее доказательство. Это кто так утверждает, местная школота? Любой ребенок знает, что секрет в пароле, и только в нем.
2) Проблема восстановления пароля — как решать? В вариате регистарции email+пароль (красиво сделано на dropbox.com, а недавно и на twitter.com красиво стало) такой проблемы нет.
3) Проблема смены идентификатора.
4) Проблема криптоустойчивости — как сгенерированный системой «запоминающийся пароль» может быть безопасным?! Раз уж система генерирует, то нужно криптографически стойкий делать.
5) Цит.: «В английском словаре возможно около двух триллионов подобных комбинаций. Даже пробуя по миллиону комбинаций в день, вы будете подбирать пароль более 25 лет. Такая безопасность достаточна». Миллион комбинаций в день? То есть 11 комбинаций в секунду. То есть если ~100 комбинаций в секунду, — в худшем случае ~3 года понадобится. А если 1000 в секунду. Мы ведь не имеев ввиду только онлайновские системы, к которым у нас доступ только по каналу в несколько мегабит, так?
И это чтобы подобрать пароль одного конкретного пользователя. А так как от логинов он предлагает оказаться, то в процессе перебора мы еще 100500 раз войдём в систему под какими-то случайными акаунтами.
Скорее мы войдем в систему подбирая пароль 111111 к известным логинам. :)
Возможно, исследую вопрос безопастности и напишу статью. Уверен, что при правильной реализации авторизации Раскина, безопастность ее будет по крайней мере не хуже, чем у традиционного пароля. Даже без учета того, что в традиционной очень маленький процент пользователей выбирает хоть минимально безопастные пароли.
Смысл примерно такой:
предположим, что в аутентификации Раскины мы используем фразу из трех слов — это примено 300000 ^ 3 вариантов — уменьшим до (10 ^ 5) ^ 3 — получаем 10 ^ 15 вариантов
с другой стороны используем крутой пароль в котором используется 100 символов со всем значаками большими-маленькими буквами и цифра (100 выбрано для удобства оценки количества вариантов) пароль будет состоять и 7-ми символов — получаем (10 ^ 2) ^ 7 итого 10 ^ 14 вариантов.
В этом случае брут форс по 10^6 паролей в секунду займет примерно 10^9 секунд — что около 100 лет. Это еще раз напомню — миллион паролей в секунду и всего 3 слова или 7 символов.
Если мы возьмем авторизацию Раскина с 4-мя и более словами, то брутфорс это сделает абсолютно безсмысленным, и это будет равносильно паролю из 10-ти символов.
На самом деле в оценки используются некоторые упрощения, но смысл думаю примерно понятен. Оценивать вероятность взлома системы брутфорсом по всем паролям — уже надо комплексно с учетом недостатков обоих систем, но стойкость паролей при этом сопоставимая.
Возможно, исследую вопрос безопастности и напишу статью. Уверен, что при правильной реализации авторизации Раскина, безопастность ее будет по крайней мере не хуже, чем у традиционного пароля. Даже без учета того, что в традиционной очень маленький процент пользователей выбирает хоть минимально безопастные пароли.
Смысл примерно такой:
предположим, что в аутентификации Раскины мы используем фразу из трех слов — это примено 300000 ^ 3 вариантов — уменьшим до (10 ^ 5) ^ 3 — получаем 10 ^ 15 вариантов
с другой стороны используем крутой пароль в котором используется 100 символов со всем значаками большими-маленькими буквами и цифра (100 выбрано для удобства оценки количества вариантов) пароль будет состоять и 7-ми символов — получаем (10 ^ 2) ^ 7 итого 10 ^ 14 вариантов.
В этом случае брут форс по 10^6 паролей в секунду займет примерно 10^9 секунд — что около 100 лет. Это еще раз напомню — миллион паролей в секунду и всего 3 слова или 7 символов.
Если мы возьмем авторизацию Раскина с 4-мя и более словами, то брутфорс это сделает абсолютно безсмысленным, и это будет равносильно паролю из 10-ти символов.
На самом деле в оценки используются некоторые упрощения, но смысл думаю примерно понятен. Оценивать вероятность взлома системы брутфорсом по всем паролям — уже надо комплексно с учетом недостатков обоих систем, но стойкость паролей при этом сопоставимая.
Спасибо за ссылку на книжку. Глава сама по себе плохо воспринимается без контекста. До нее Раскин приводит методики оценки интерфейсов пользователя, и все свои интерфейсы согласно этим методикам обосновываем. Показывает, почему и насколько один вариант интерфейса лучше другого.
1) Цит.: «Утверждение, что ввод двух разных цепочек символов увеличивает надежность, ошибочно» и далее доказательство. Это кто так утверждает, местная школота? Любой ребенок знает, что секрет в пароле, и только в нем.
Примерно, то же самое, только другими словами Раскин в главе и написал.
2) Проблема восстановления пароля — как решать? В вариате регистарции email+пароль (красиво сделано на dropbox.com, а недавно и на twitter.com красиво стало) такой проблемы нет.
Ничего не мешает востанавливать пароль через емейл или телефон, если пользователь снабдил систему данными о телефоне или емейле. Если не снабдил — то он сам себе злобный буратино. Не вижу проблемы.
3) Проблема смены идентификатора.
А зачем менять идентификатор? Если вы о проблеме смены пароля — то ее нет. Если мы храним в базе — у пользователя есть свой user_id и хеш пароля, хеш пароля — легко меняется.
Раскин говорит о том, что пользователь не должен сообщать системе ничего кроме пароля, а не о том, как это должно быть реализовано.
4) Проблема криптоустойчивости — как сгенерированный системой «запоминающийся пароль» может быть безопасным?! Раз уж система генерирует, то нужно криптографически стойкий делать.
Пояснил в коменте ниже по тексту. И 5 там же объяснил.
1) Цит.: «Утверждение, что ввод двух разных цепочек символов увеличивает надежность, ошибочно» и далее доказательство. Это кто так утверждает, местная школота? Любой ребенок знает, что секрет в пароле, и только в нем.
Примерно, то же самое, только другими словами Раскин в главе и написал.
2) Проблема восстановления пароля — как решать? В вариате регистарции email+пароль (красиво сделано на dropbox.com, а недавно и на twitter.com красиво стало) такой проблемы нет.
Ничего не мешает востанавливать пароль через емейл или телефон, если пользователь снабдил систему данными о телефоне или емейле. Если не снабдил — то он сам себе злобный буратино. Не вижу проблемы.
3) Проблема смены идентификатора.
А зачем менять идентификатор? Если вы о проблеме смены пароля — то ее нет. Если мы храним в базе — у пользователя есть свой user_id и хеш пароля, хеш пароля — легко меняется.
Раскин говорит о том, что пользователь не должен сообщать системе ничего кроме пароля, а не о том, как это должно быть реализовано.
4) Проблема криптоустойчивости — как сгенерированный системой «запоминающийся пароль» может быть безопасным?! Раз уж система генерирует, то нужно криптографически стойкий делать.
Пояснил в коменте ниже по тексту. И 5 там же объяснил.
Это технология авторизации, но применять ее нужно не тогда, когда хочет разработчик, а тогда, когда это полезно для решения задачи пользователя. Тогда и пользователю будет легче и сервис получит лояльных клиентов. Если необходимость регистрации человеку непонятна, вы можете долго думать, как ее упростить. Лучшее, чего можно достичь — пользователь смириться с регистрацией, но лояльнее к сервису от этого не станет.
НЛО прилетело и опубликовало эту надпись здесь
А потом секретарша, которой вы выдали сгенерированный пароль «я_самая_красивая_и_все_тут» поедет отдохнуть в Турцию, сядет за компьютер в отеле и не найдет на клавиатуре русских букв… или… чего далеко ходить… возьмет в руки iPad, который не дает вводить пароли кириллицей. С локализацией тоже надо аккуратным быть.
Можно, как вариант, генерировать пароли в латинице, и пробелы ничего не мешает использовать.
Если латиницей, то начнутся развлечения с транслитерацией… «ja samaja krasivaja» или «ya samaya krasivaya»?
И эта проблема тоже решаема. Вы не думаете о пользователе, и не только вы. Вот и имеем ужасные интерфесы пользователя повсеместно.
Наверное, вы не читали другие мои комментарии в этом посте :)
Лично мое мнение — регистрация не нужна вообще :)
Если она все-таки полезна в конкретной ситуации, то нужно искать соответствующее ситуации решение. Ниже правильно написали — когда-то удобно применить почту, когда-то номер телефона, когда-то имя и пароль или просто кодовую фразу. Но это уже по ситуации надо выбирать.
А можно без всякой дополнительной регистрации использовать уже имеющийся у пользователя ID. Например, государственные сайты (ФМС, налоговая инспекция) используют номер паспорта или ИНН.
Лично мое мнение — регистрация не нужна вообще :)
Если она все-таки полезна в конкретной ситуации, то нужно искать соответствующее ситуации решение. Ниже правильно написали — когда-то удобно применить почту, когда-то номер телефона, когда-то имя и пароль или просто кодовую фразу. Но это уже по ситуации надо выбирать.
А можно без всякой дополнительной регистрации использовать уже имеющийся у пользователя ID. Например, государственные сайты (ФМС, налоговая инспекция) используют номер паспорта или ИНН.
С тем что если регистрация не нужна — ее не должно быть, я согласен. Даже выше в коментариях уже соглашался с ораторами на эту тему.
Телефон, емейл и прочее не нужно для аутентификации человека. Они могут присутсвовать как опциональные и пользователь, если хочет иметь востановления пароля по емейлу или телефону введет их. Принуждать его к вводу емейла или телефона не стоит.
Про ИНН и Номер паспорта — это полный бред. Пользователь совершенно не обязан знать их наизусть. Да его можно попросить ввести их на сайте для активации какой-либо услуги. Но использование подобного идентификатора в качестве идентификатора, только показывает насколько нас провайдер услуги не уважает как своих пользователей.
Телефон, емейл и прочее не нужно для аутентификации человека. Они могут присутсвовать как опциональные и пользователь, если хочет иметь востановления пароля по емейлу или телефону введет их. Принуждать его к вводу емейла или телефона не стоит.
Про ИНН и Номер паспорта — это полный бред. Пользователь совершенно не обязан знать их наизусть. Да его можно попросить ввести их на сайте для активации какой-либо услуги. Но использование подобного идентификатора в качестве идентификатора, только показывает насколько нас провайдер услуги не уважает как своих пользователей.
Это имело бы смысл, если бы в Интернет была единая точка входа. А для сотен сайтов запоминать для каждого «заведомо уникальную» фразу, пускай и легкозапоминаемую?
такая система удобна, если вы думаете только о защите от брутфорса одного конкретного пользователя. и она абсолютно бездейственна против массовых угонов аккаунтов. за год брутфорса при указанной скорости вы можете так и не найти один конкретный аккаунт, который вам нужен, зато получите десяток-другой тысяч левых пользовательских аккаунтов.
Согласен с вами, что этот вопрос надо исследовать с учетом недостатков и существующей системы.
Т.к. идентификатор пользователя нам известен, а пароль может быть 111111. И вероятность того, что пароль будет таким очень большая. Но этот вопрос скорее будет зависеть от того, сколько слов в кодовой фразе нужно использовать, что б стойкость авторизации Раскина была на нужном уровне.
Т.к. идентификатор пользователя нам известен, а пароль может быть 111111. И вероятность того, что пароль будет таким очень большая. Но этот вопрос скорее будет зависеть от того, сколько слов в кодовой фразе нужно использовать, что б стойкость авторизации Раскина была на нужном уровне.
Мыло + пароль + поле логина при регистрации (захочет — напишет, не захочет, ну только по почте заходить тогда).
Не доверяю опенайди и вконтактофейсбукам. Если человеку нужен сайт, он и две регистрации пройдет и телефон привяжет при необходимости.
Не доверяю опенайди и вконтактофейсбукам. Если человеку нужен сайт, он и две регистрации пройдет и телефон привяжет при необходимости.
Регистрация/вход с популярных систем входа (Гугл, ВК, ФБ и т. п.) и возможность регистрации/входа по логину или почте с паролем (почта не обязательна). Обязательный логин в виде номера телефона (реального) допустим, имхо, только на сайте операторов этого телефона.
Мне больше всего нравится идея browser id от Mozilla. Практически схема остаётся прежней: вы подтверждаете свой email, но только на это теперь уходит один клик. Для тех, кто хочет скрывать от некоторых сайтов свой основной ящик, в систему можно занести несколько ящиков, и скармливать недоверенным сайтам ящики для спама — тоже одним кликом.
oAuth не есть протокол аутентификации
Обожаю сайты, где можно залогиниться, используя аккаунт соц. сети. Обычно использую твиттеровский — он почему то авторизирует быстрее других (пл субъективным ощущениям).
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Какой способ регистрации/входа на сайт для вас предпочтительнее?