Комментарии 30
Дело в том, что всё выше изложенное - морально устарело или на последней стадии.
во-первых: передавать credentials а plain/text - глупо.
все остальные способы гибриды первого.
В настоящий момент существует две кое-как продвинутые и децентрализованые технологии OpenID & Microsoft InfoCard™.
Отличий у них масса и в таком же количестве как плюсов и минусов - можно регилиозные войны начинать разводить подобные тем, что лучше Linux или Windows.
Использование выше указанные технологий авторизации и аутентификации - даёт возможность отдохнуть пользователю от 10.000 логинов и 99.999 паролей на каждый ресурс который он посещал.
Ну, а в самом простом случае - можно просто использовать обычные SSL сертификаты. Потерял? Запросто - вот тебе твой сертификат и не теряй его более. Востанавливать можно как угодно хоть от фазы Луны. И даёт преимужество в том, что любая информация оставленная пользователем - может быть использована только им сами.
Вообщем продолжать не будут - это из разряди Linux vs. Windows. )
во-первых: передавать credentials а plain/text - глупо.
все остальные способы гибриды первого.
В настоящий момент существует две кое-как продвинутые и децентрализованые технологии OpenID & Microsoft InfoCard™.
Отличий у них масса и в таком же количестве как плюсов и минусов - можно регилиозные войны начинать разводить подобные тем, что лучше Linux или Windows.
Использование выше указанные технологий авторизации и аутентификации - даёт возможность отдохнуть пользователю от 10.000 логинов и 99.999 паролей на каждый ресурс который он посещал.
Ну, а в самом простом случае - можно просто использовать обычные SSL сертификаты. Потерял? Запросто - вот тебе твой сертификат и не теряй его более. Востанавливать можно как угодно хоть от фазы Луны. И даёт преимужество в том, что любая информация оставленная пользователем - может быть использована только им сами.
Вообщем продолжать не будут - это из разряди Linux vs. Windows. )
К сожалению не очень хорошо знаю теорию вопроса с OpenID, но примерно представляю себе, как это работает. Например, я могу авторизоваться где-то с помощью моей учетной записи на том же ЖЖ не вводя никаких паролей. Примерно так OpenID и работает, да?
А если да, то возникает вопрос: как будет происходить восстановление пароля от ЖЖ, если я его потерял? Не вернемся ли мы к нашим баранам?
А если да, то возникает вопрос: как будет происходить восстановление пароля от ЖЖ, если я его потерял? Не вернемся ли мы к нашим баранам?
OpenID - технология аутентификации, но никак не авторизации.
И я вообще побоялся говорить, что технология эта очень распространена на данный момент и её стоит везде использовать. Крупные компании только собираются её использовать.
Вопрос доверия она так же не снимает. Фактически, вам (и сервисам, которые вы используете) нужно полностью доверять единственному серверу идентификации.
Это много лучше, чем доверять отдельно mail.ru почту, а отдельно ЖЖ - свой аккаунт?
И я вообще побоялся говорить, что технология эта очень распространена на данный момент и её стоит везде использовать. Крупные компании только собираются её использовать.
Вопрос доверия она так же не снимает. Фактически, вам (и сервисам, которые вы используете) нужно полностью доверять единственному серверу идентификации.
Это много лучше, чем доверять отдельно mail.ru почту, а отдельно ЖЖ - свой аккаунт?
ваще пора от паролей отходить
А если пользователь забыл от email-а?
Ну тогда по одной из вышеприведённых схем надо восстановить пароль сначала от почты. Затем задача сводится к предыдущей.
А если я не помню какой именно из моих адресов (все рабочие) я использовал при регистрации?
Придется их перебирать :)
У меня есть адреса которыми я уже активно не пользуюсь и не помню использовал ли я их при регистрации. По этим адресам, на всякий случай, работает автоматическая сборка на центральных ящиках. Так мне что все 40 штук проверять?
Если пользователь регится, а потом все напрочь забывает, то пусть регится заново. Как правило проблема именно в том, что посетитель регистрируется и не запоминает данные или вообще вводит абы что лишь бы попасть на ресурс. Такие регистрации на совести пользователей.
Из описанного нравится 2 пункт. Пароль не дело в письме высылать, а вот адрес для смены - куда не шло. Хотя этого мало. На мой взгляд к полю email должно быть еще одно поле на выбор. И точно не логин.
Из описанного нравится 2 пункт. Пароль не дело в письме высылать, а вот адрес для смены - куда не шло. Хотя этого мало. На мой взгляд к полю email должно быть еще одно поле на выбор. И точно не логин.
Раз уж общий топик " UI Design and Usability", то второй и четвёртый наиболее дружественны пользователю - пароль не сбросится от чьей-то сторонней деятельности.
А что касается графических паролей и OpenID - их разве что вместе использовать. Помнить по десятку иконок или точек на изображении для каждого сайта - эт убиться можно!
Так, граждане!
Чем не старт-ап - кто в OpenID шарит? ;)
А что касается графических паролей и OpenID - их разве что вместе использовать. Помнить по десятку иконок или точек на изображении для каждого сайта - эт убиться можно!
Так, граждане!
Чем не старт-ап - кто в OpenID шарит? ;)
А такая штука как контрольный вопрос уже совсем не обсуждаетс?
+1.
На мой взгляд очень разумное решение. По крайней мере у злоумышленика меньше шансов сбросить пароль пользователя.
Единственное, что хотелось бы видеть - это описание зачем он нужен, дело в том что не всем понятно какую он играет роль. А в форме регистрации (где эти поля вводит пользователь) обычно никаких коментариев на эту тему никто не пишет.
На мой взгляд очень разумное решение. По крайней мере у злоумышленика меньше шансов сбросить пароль пользователя.
Единственное, что хотелось бы видеть - это описание зачем он нужен, дело в том что не всем понятно какую он играет роль. А в форме регистрации (где эти поля вводит пользователь) обычно никаких коментариев на эту тему никто не пишет.
Предпочитаю, когда нужно ввести логин, и тогда на почту скидывается пароль, иначе нужно помнить, на какой из одноразовых спамоприёмников была регистрация, а так, скорее всего, через пересылку до основного дойдёт.
Предпочитаю, чтобы пароль был в теле письма, чтобы потом можно было эти регистрационные данные найти. Желательно вместе с логином, и чтобы пароль не новый, а старый.
Да, это страшно несекьюрно всё, но необходимость вспомнить пароль возникает у меня только в таких местах, где на секьюрити мне совершенно наплевать, и эта логинная форма - только назойливое препятствие, отделяющее меня от пользования ресурсом.
Предпочитаю, чтобы пароль был в теле письма, чтобы потом можно было эти регистрационные данные найти. Желательно вместе с логином, и чтобы пароль не новый, а старый.
Да, это страшно несекьюрно всё, но необходимость вспомнить пароль возникает у меня только в таких местах, где на секьюрити мне совершенно наплевать, и эта логинная форма - только назойливое препятствие, отделяющее меня от пользования ресурсом.
не все сайты/движки хранят пароли в чистом виде чтобы их можно было прислать - хранят хэши паролей, пароли эти вообщем-то администрации и не нужны, но вот зато инсайдеры базу не сопрут - это по-моему более прогрессивный вариант
а если пришлют новый пароль, то переделывать его потом на свой несколько муторно, так что для меня лучшим вариантом является высыл на емейл уникального урла где я могу поменять пароль
а если пришлют новый пароль, то переделывать его потом на свой несколько муторно, так что для меня лучшим вариантом является высыл на емейл уникального урла где я могу поменять пароль
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
О «Забытом пароле» замолвите слово.