Как стать автором
Обновить

Комментарии 18

Хотелось бы услышать мнение более квалифицированных в этой области людей, чем я. ValdikSS
Хм. Раз позвали, то отвечу. Читал только статью, сайт особо не читал, но концепцию понял. В целом, сервис выглядит интересно, из ближайших аналогов знаю только duo, но он не для веба, а Pluggable Authentication Module в Linux (можно использовать, например, с SSH).

Доверять ли таким сервисам — целиком ваш выбор. Нужно проверить, действительно ли пароль не передается на сервер, т.к. у них предусмотрена процедура сброса пароля, и нужно выяснить, теряется ли доступ к сохраненным данным в этом случае. В любом случае, т.к. это не просто какой-то менеджер паролей, а некая надстройка над сайтом (в случае встраивания в веб-сайт, как я понимаю, он работает в роли OAuth-агента, а в случае js-письки просто подменяет собой форму логина), то никто не мешает в какой-то момент времени изменить js-код так, чтобы он отдавал расшифрованные данные на сервер, если шифрование у них было грамотно реализовано до этого.

Я вообще пароли не храню, а каждый раз генерирую их на основе мастер-кода и домена вебсайта через SuperGenPass. Очень удобная утилита, особенно мне нравится то, что не нужно вообще ничего никуда сохранять. В интернете можно найти информацию о том, что он уязвим, но это относится к старым версиям, а в новых проблем, насколько я знаю, нет.

Ой, а оно еще и шароварное? Ну, фиг знает, мне такое не особо интересно:
Вы можете использовать расширение для браузера бесплатно в течение 30 дней. Затем, если оно вам понравилось, вы оплачиваете всего $0.99 за пожизненную лицензию.
Хм… Я как-то привык к KeePassX. Такие вещи обычно стараюсь исключительно на открытое ПО и свои ресурсы возлагать. Хотя тот факт, что двухфакторная авторизация до сих пор мало распространена — удивляет. Тот же Google Auth использует вроде только Dropbox еще.
Не только. Во-первых, не Google Auth, а TOTP, Google Authenticator — просто один из огромного множества генераторов.

В моём списке: собственно Google, DigitalOcean, Lastpass, Dropbox, Facebook, Microsoft, btc-e, Github, Wordpress, VK, Яндекч.Деньги, а так же все мои рабочие линукс-машины.
О. Видимо, я не натыкался. Ссылкой поделитесь?
Ссылкой на что?
На мануал по поднятию двухфакторной для linux машин. Был бы очень рад
Огромное спасибо)
насчёт SuperGenPass — думал тоже использовать подобный сервис.
Останавливает то, что на сайтах очень часто разные требования к паролю.
На некоторых книжных сайтах в пароле требуются все 4 категории символов, а на каких-то спецсимволы нельзя.
Ограничение по длинне тоже постеменно меняется — всё чаще встречается «от 8 символов».

В результате «незапомненный» пароль превращается в квест «подбери опцию»
Добавил пункт, который пропустил в самом начале — использование сервиса в виде браузерного расширения для двухфакторной аутентификации везде. Все на клиентской стороне, без участия сайта, куда мы логинимся. LastPass может потесниться. Все-таки здесь безопасность субъективно выше за счет использования телефона.
А почему так мало внимания уделяется варианту записи в физическом блокнотике, который лежит дома? Уж если до дома доберутся, то всё равно от паяльника ничто не спасёт=)

Стоит добавить, что такой вариант хорош только тогда, когда есть силы запомнить все основные пароли, а наименее используемые можно потом подсмотреть.
У меня есть запечатанный конверт с ключами нужными. Чисто in a case of emergency)
Эти пассажиры стучали и ко мне с просьбой дать оценку.
Я думаю, это то, что будет в какой-то момент включено в базовую поставку iOS, иначе смысла и доверия просто не будет.
Если Яблоки такое включат в базовую поставку — они убьют конкурентов в зачатке. Хотя у этих ребят есть хороший шанс продаться крупной компании. Тому же Google, если станут заметны на рынке.
А мне вот E-num нравится, но это не менеджер паролей, просто сервис двухфакторной авторизации. И не уверен, что они обслуживают кого-то кроме вебманей (возможно это их карманный сервис).
Хочется универсальности)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории