tw_community 30 окт 2020 в 18:35

Помогаем пользователям менять пароли с помощью well-known URL

4 мин

4.2K

Блог компании Timeweb CloudHTML*

Recovery Mode

Перевод

+11

Комментарии 7

kvaps 30 окт 2020 в 19:00

Инициатива крутая, но в идеале бы, конечно, позволить менеджерам паролей автоматически обеновлять пароль с помощью POST-запроса или другого общепринятого API.

Firz 30 окт 2020 в 19:30

Когда на кону доступ к аккаунту, причем пароль, возможно, единственный способ доступа(к примеру, без всяких там восстановлений паролей и прочего), пускай лучше пользователь сам видит что происходит. К тому же, было бы не дурным тоном, со стороны сервисов, во время смены пароля еще и двухфакторную авторизацию запрашивать, так что так и так лучше пользователю это дело поручить.

schetilin 31 окт 2020 в 13:21

Со стороны пользователя, во время смены пароля, 2FA авторизацию запрашивать поздно. А вообще, когда у меня просят номер телефона для подтверждения ~~закачки~~ действия, я сразу (за исключением банков, которым мой номер известен из договора) посылаю нафиг.

Firz 31 окт 2020 в 14:47

Со стороны пользователя, во время смены пароля, 2FA авторизацию запрашивать поздно.

Почему же, теоретически возможна ситуация, когда кто-то получил доступ к компьютеру, где пользователь уже авторизован, к примеру, отошел на работе за кофе и забыл заблокировать, а учитывая что менеджер паролей с радостью впишет текущий пароль, завладеть аккаунтом не составит проблем. Да и в целом странно, почему при наличии включенной двухфакторной авторизации, принято когда-то второй фактор спрашивать(авторизация), а когда-то почему-то и фиг с ним(при той же смене пароля очень много сервисов не спрашивают второй фактор; попадались даже такие, где пароль без 2FA сменить нельзя, а вот, внезапно, нажать кнопку «отключить 2FA» и после этого поменять пароль уже с отключенной 2FA, можно).
Поэтому и нужно запрашивать второй фактор при попытке каких-то критических действий с аккаунтом(удаление, смена пароля, смена привязанной почты и т.д.).

А вообще, когда у меня просят номер телефона для подтверждения закачки действия, я сразу (за исключением банков, которым мой номер известен из договора) посылаю нафиг.

смс подтверждение даже не считаю 2FA, учитывая как легко сторонний человек, не говоря уже о спец службах, может это дело перехватить.

schetilin 1 ноя 2020 в 02:15

2FA, в данном случае (как ни странно) выступает «секретное слово»

tw_community 1 ноя 2020 в 13:16

Firz, большое спасибо за комментарий!

Согласны с Вами на 100%.

Alexey_Kuv 1 ноя 2020 в 12:59

У меня куча аккузатив и постоянно пользуюсь менеджерами паролей.
Чаще всего это занимает много лишнего времени. Интересная тема, попробую применять у себя в проектах.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий