Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 13
Возможна ли ситуация, при которой злоумышленник после смены пароля сам добавит своих доверенных пользователей? Не произойдёт ли «гонка восстановлений»?
Или существующие доверенные пользователи по какой-то причине окажутся в сговоре со злоумышленником.
Не получается ли увеличение вероятности получения доступа левым перцем, т.к. к вероятности кражи доступа обычным способом добавляется еще и человеческий фактор/подкуп?
Не получается ли увеличение вероятности получения доступа левым перцем, т.к. к вероятности кражи доступа обычным способом добавляется еще и человеческий фактор/подкуп?
В случае если есть признаки взлома учетной записи, можно использовать только тех поручителей которые были действительны до текущей даты минус время премодерации. Т.е. Вероятность конечно есть, но она очень мала и зависит от поведения пользователя и метода вычисления времени премодерации.
Подобный функционал есть на Facebook. Не пробовали сравнивать реализации?
Промазал
При такой системе для взлома одного пользователя-параноика в общем случае достаточно взломать 3 его друзей-поручителей с невысокой грамотностью в вопросах сетевой безопасности (подобрав легкий пароль или социальной инженерией). Есть ещё и фактор уведомления о восстановлении пароля, но в принципе тоже обходится (можно выбрать момент отпуска жертвы, или просто отследить неактивность).
Можно конечно сказать, что параноик не назначит в поручители кого попало, но тогда надо быть уверенным и в том, что твои поручители тоже имеют надежных поручителей, что уже затруднительно.
В общем, я бы такую систему для своего аккаунта отключил.
Можно конечно сказать, что параноик не назначит в поручители кого попало, но тогда надо быть уверенным и в том, что твои поручители тоже имеют надежных поручителей, что уже затруднительно.
В общем, я бы такую систему для своего аккаунта отключил.
Во-первых сперва нужно определить какие доверенные каналы связи с поручителями указал пользователь. Для этого нужно определить самого пользователя, потом кого он выбрал в качестве поручителей, и наконец какие из его адресов являются доверенными. К тому же это может быть не e-mail, а номер сотового телефона.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Технология аутентификации с помощью доверенных лиц