Не знаю подойдёт ли сюда ёмкий и популярный последнее время термин «юзабилити», но речь пойдёт об аутентификации и авторизации пользователя на сайтах.
В мире существует огромное количество средств аутентификации и авторизации. Самая простая и распространённая — это связка логин/пароль. Также существуют ключи, сертификаты, сканеры радужной оболочки глаза, сканеры отпечатков пальцев, временные и генерируемые ключи с контрольными суммами. В большинстве случаев для авторизации пользователя в веб-проектах используется просто логин и пароль.
Дальше, собственно, сама история и концепция :-)
Когда я аудировал и дорабатывал систему безопасности входа пользователя в один малоизвестный интернет-банк, мной было предложено использование Digipass (это такой умный калькулятор, который через собственный программируемый алгоритм выдаёт сеансовые ключи для доступа). А после внедрения и тестов служба безопасности констатировала значительное увеличение безопасности входа пользователей.
Однако, мои концепции и алгоритмы защиты входа развернулись на 180 градусов, и я стал больше думать о пользователях. Особенно после того, как я нашёл на хабре пост про notea.ru
Мне крайне понравилось, что на этом сайте используется такая простая и эффективная система авторизации! Достаточно ввести e-mail или openID, после чего с почтового ящика пройти по ссылке, уже содержащей в себе ключ для входа на сайт.
Я проанализировал этот способ, и понял что он не просто имеет право на жизнь, но и замечательно заменяет сложившиеся годами, морально устаревшие способы входа.
Плюсы:
Минусы:
Критика минусов:
Естественно, понятно, что любую систему можно взломать, и 100% защиты никто не гарантирует. Но если речь идёт о каком-либо инновационном проекте, в котором не сколько важна защита, сколько содержимое — такая система будет очень даже «в своей тарелке».
Если сообщество хабрахабра наделит меня вожделенным инвайтом (самое время пустить скупую мужскую слезу), то я обязуюсь и обещаю безвозмездно отдать человечеству исходные коды, аналитику и review собственных и не только собственных подобных систем. :) Попробую даже с картинками!
Спасибо за внимание!
p.s. (disclaimer) надеюсь вы не сочтёте за рекламу ссылки и названия которые я здесь описал. сервис, описаный в виде ссылки выше я использую благодаря недавнему посту на хабре, и с большим почтением отношусь как к автору данного сервиса, так и к прочим разработчикам простых, а главное понятных систем аутентификации и авторизации!
В мире существует огромное количество средств аутентификации и авторизации. Самая простая и распространённая — это связка логин/пароль. Также существуют ключи, сертификаты, сканеры радужной оболочки глаза, сканеры отпечатков пальцев, временные и генерируемые ключи с контрольными суммами. В большинстве случаев для авторизации пользователя в веб-проектах используется просто логин и пароль.
Дальше, собственно, сама история и концепция :-)
Когда я аудировал и дорабатывал систему безопасности входа пользователя в один малоизвестный интернет-банк, мной было предложено использование Digipass (это такой умный калькулятор, который через собственный программируемый алгоритм выдаёт сеансовые ключи для доступа). А после внедрения и тестов служба безопасности констатировала значительное увеличение безопасности входа пользователей.
Однако, мои концепции и алгоритмы защиты входа развернулись на 180 градусов, и я стал больше думать о пользователях. Особенно после того, как я нашёл на хабре пост про notea.ru
Мне крайне понравилось, что на этом сайте используется такая простая и эффективная система авторизации! Достаточно ввести e-mail или openID, после чего с почтового ящика пройти по ссылке, уже содержащей в себе ключ для входа на сайт.
Я проанализировал этот способ, и понял что он не просто имеет право на жизнь, но и замечательно заменяет сложившиеся годами, морально устаревшие способы входа.
Плюсы:
- отсутствует возможность «перехвата» логина и пароля
- отсутствует необходимость помнить свой пароль для входа
- прекрасное юзабилити: можно разместить красивый input в красивом div'е
- и это будет ОДНА (!) строчка input, вместо двух (или более) привычных
- те же возможности делегирования прав и любых других действий, что и со стандартными «связками»
Минусы:
- почта не всегда «под рукой»
- «если почту взломают...»
- «тормознутость» почтовых систем
Критика минусов:
- Лично я, и многие мои знакомые не закрывают gmail в течение рабочего дня. А я и дома не закрываю :)
- Взломать почту могут. И логин с паролем могут спереть. И вообще это параноя! По безопасности — такая система ничем не хуже обычной, а даже лучше, поскольку невозможно перехватить данные для входа на сайт.
- почтовые монстры гугла не тормозят :-) это не реклама, а просто мои личные наблюдения за три года пользования гуглопочтой
Естественно, понятно, что любую систему можно взломать, и 100% защиты никто не гарантирует. Но если речь идёт о каком-либо инновационном проекте, в котором не сколько важна защита, сколько содержимое — такая система будет очень даже «в своей тарелке».
Если сообщество хабрахабра наделит меня вожделенным инвайтом (самое время пустить скупую мужскую слезу), то я обязуюсь и обещаю безвозмездно отдать человечеству исходные коды, аналитику и review собственных и не только собственных подобных систем. :) Попробую даже с картинками!
Спасибо за внимание!
p.s. (disclaimer) надеюсь вы не сочтёте за рекламу ссылки и названия которые я здесь описал. сервис, описаный в виде ссылки выше я использую благодаря недавнему посту на хабре, и с большим почтением отношусь как к автору данного сервиса, так и к прочим разработчикам простых, а главное понятных систем аутентификации и авторизации!