Коль скоро такие проблемы с поиском глянцевых мониторов, интересно, как ваши глаза бы отреагировали на мониторы с пером типа HUION Kamvas 24. У них-то прям стекло гладкое.
1 - согласен, на чем-то внешнем генерить безопаснее. Поэтому и вспоминал про SecureID. Но там короткий код все же был дополнением к паролю.
2 - мне кажется, если у каждого устройства есть уникальный номер, а сайт "умеет в новый стандарт", нет проблем при регистрации устройства ввести его номер (один и тот же на разных сайтах, лучше несколько - резервирование брелочков) и обойтись без гифки. Точнее, усложнение вижу, преимуществ не вижу.
Другое дело, что слабо верю в массовый переход сатов на такой новый стандарт. Вон passkey и то мало где внедрили. Больше шансов у комбинированного устройства, чтобы и legacy сайты защищало.
Я в былые годы всегда радовался, когда у заказчиков AS была, сильно резервирование Интернета между ЦОД упрощало. Не задумывался о возможных "легальных" проблемах.
В вашей аналогии стоит уточнить, что это я не пользовался отсутствием защиты и чуть ли не хищениями воды занимался, а хозяин колодца всячески меня уговаривал ходить за бесплатной водицей именно к нему и отваживал от соседних колодцев.
Так все-таки какой сценарий и от каких угроз защищаемся?
Например:
А) Облегчаем запоминание, что позволяет использовать длиннющие пароли. При этом никаких переделок на сайтах не требуется. Они даже не знают, что им пароль не вручную вводится.Тогда важно, как с устройства это будет вводиться на сайт.
Б) Убираем статичные пароли, которые можно украсть (в т.ч. в первом случае, но это уже сейчас решается TOTP хотя бы при входе с нового устройства). Тогда сайты должны переходить на новую схему, но в это слабо верится. Тут вспоминаются брелочки типа RSA SecureID. Можно считать аналогом TOTP (разница, пожалуй, в том, с какой стороны идет инициализирующая последовательность - от клиента серверу с уникальным номером SecureID или от сервера клиенту для инициализации TOTP). Насколько повысится безопасность добавлением анимированных gif для вычияслений пока не понял.
Я довольно часто плачу за полезное. Но если мне показывают несколько тарифных планов, где один из них позиционируется как бесплатный с меньшим количеством функций, рекламой, меньшей надежностью (я буду использоваться какт тестер новых функций и т.п.), я ожидаю, что обещанными бесплатными функциями действительно можно пользоваться бесплатно.
Если же с меня стребовали телефон и прочие персданные обещая беспатность, а в итоге "кинули" - это вызывает раздражение. На мой взгляд, вполне обоснованное.
Я не помню больших возмущений "почему некий сервис хочет денег и вовсе не предоставляет free tier". Большинство возмущается "почему на каждом шагу вымогают деньги, хотя заманивали обещаниями бесплатности".
Про административное отрубание зарубежных сервисов, действительно предоставляющих такой функционал бесплатно я вообще молчу.
Начало хорошее. Но как с устройства передается результат в смартфон, в комп без камеры (впрочем, даже если ноут с камерой, обычно она закрыта шторкой)?
Если все равно по BT/BLE обменивается, тогда и рукой не надо вертеть, чтобы gif поймать.
Смысл же не для себя "расшифровать" и показать несколько временных символов, которые руками нужно вбивать, для этого есть TOTP, а либо длиннющий пароль ввести автоматически, либо passkey..
В идеале при установленной софтинке иметь возможность подписать/зашифровать GPG и прикинуться агентом SSH :)
Можете немного про Mooltipass (видимо, Mini BLE) подсказать? Не могу найти, сколько добра он может хранить. Паролей, TOTP...
Насколько я понимаю, в реальности это хранится на смарт картах и в случае чего можно просто "вторым человеком с другой смарткартой" прикинуться. Но все-таки хотелось бы понимать, чтобы не оказалось, что для пары сотен сайтов десяток карточек нужно....
На каждый форум доступ через OAuth Госуслуг? Если будет выбор зайти на Хабр по небезопасному имени-паролю или "удобно и безопасно через Госуслуги", я продолжу использовать первый способ.
Зачем адрес доставки брать из Госуслуг вообще непонятно. Может я родителям жены или кому-то подарок заказываю.
Максимум - подтвердить, что да, входит тот самый человек, что создавал аккаунт. Даже имя-фамилию Госуслуги не должны передавать. Только подтвердить, что вот этот ID корректно аутентифицровался. А уж имя/адресдля этого ID я в профиле на сайте сам укажу, причем какие сочту нужным. Причем ID должен генериться на сайте и с ID на других сайтах не коррелироваться.
Слышал, что что в холодное время года вполне себе окупается. "для дома для семьи" частные дома все равно греть надо. А газификация далеко не повсеместна.
Разумеется, это не в "промышленных масштабах". Хотя ангары тоже зимой греть надо.
И картинка прикольная. И "сорок тысяч обезьян" - классика. Но тут ведь речь не о паролях, а об отдельных вторых факторах. С которыми либо недостаточно надежно, либо насколько неудобно, что на популярность для реального каждодневного использования не приходится рассчитывать.. Причем не только из-за цены аппаратного токена...
Мне тоже иногда страшно становится от неимоверной кучи паролей и т.п. И хранение паролей, passkey, данных кредиток в менеджере паролей тоже не особо хорошо.
Но с другой стороны - я не могу придумать подходящего варианта.
Условный Yubikey? Крайне ограничена память. Я не могу туда ни сотню OTP занести, ни десятки SSH ключей (residental, не буду же я еще флешку с самими файликами таскать)... Даже 2 GPG не могу (типа один официальный с полным ФИО для госорганов, банков и т.п., и с "ником" для форумов, гитхабов...).
Еще "аппаратный ключ" - загранпаспорт нового образца. Но опять же - не буду я с собой загранник таскать, чтобы войти в приложение банка или гитхаб.
Разве что "возможность восстановления" сделать исключительно через него, а остальное как есть оставить... Но даже в этом случае - получил новый паспорт, забыл в какой-то системе "возможность восстановления" проапдейтить, и опаньки.
И это я даже для себя не могу более-менее удобную систему придумать :(
Коль скоро такие проблемы с поиском глянцевых мониторов, интересно, как ваши глаза бы отреагировали на мониторы с пером типа HUION Kamvas 24. У них-то прям стекло гладкое.
Ну будет кто-то знать, что этот ID используется в другом сервисе. Разве что "деанонимизация". Но не угон аккаунта.
Примерно как "публичный ключ" угнать. Можно по нему узнать имя пользователя в github, gitlab. Неприятно, но обычно не слишком смертельно.
1 - согласен, на чем-то внешнем генерить безопаснее. Поэтому и вспоминал про SecureID. Но там короткий код все же был дополнением к паролю.
2 - мне кажется, если у каждого устройства есть уникальный номер, а сайт "умеет в новый стандарт", нет проблем при регистрации устройства ввести его номер (один и тот же на разных сайтах, лучше несколько - резервирование брелочков) и обойтись без гифки. Точнее, усложнение вижу, преимуществ не вижу.
Другое дело, что слабо верю в массовый переход сатов на такой новый стандарт. Вон passkey и то мало где внедрили. Больше шансов у комбинированного устройства, чтобы и legacy сайты защищало.
Не подскажете, что такого страшного в AS?
Я в былые годы всегда радовался, когда у заказчиков AS была, сильно резервирование Интернета между ЦОД упрощало. Не задумывался о возможных "легальных" проблемах.
3 тыщи за домен RU??? 30 баксов?
Cloudflare за регистрацию на 5 лет меньше просит!
Понятно, что зоны разные бывают. Но даже в .tv и то лишь $25/year. Чем ru настолько ценнее (помимо админ ресурса, запрещающего остальных)?
В вашей аналогии стоит уточнить, что это я не пользовался отсутствием защиты и чуть ли не хищениями воды занимался, а хозяин колодца всячески меня уговаривал ходить за бесплатной водицей именно к нему и отваживал от соседних колодцев.
Так все-таки какой сценарий и от каких угроз защищаемся?
Например:
А) Облегчаем запоминание, что позволяет использовать длиннющие пароли. При этом никаких переделок на сайтах не требуется. Они даже не знают, что им пароль не вручную вводится.Тогда важно, как с устройства это будет вводиться на сайт.
Б) Убираем статичные пароли, которые можно украсть (в т.ч. в первом случае, но это уже сейчас решается TOTP хотя бы при входе с нового устройства). Тогда сайты должны переходить на новую схему, но в это слабо верится. Тут вспоминаются брелочки типа RSA SecureID. Можно считать аналогом TOTP (разница, пожалуй, в том, с какой стороны идет инициализирующая последовательность - от клиента серверу с уникальным номером SecureID или от сервера клиенту для инициализации TOTP). Насколько повысится безопасность добавлением анимированных gif для вычияслений пока не понял.
Я довольно часто плачу за полезное. Но если мне показывают несколько тарифных планов, где один из них позиционируется как бесплатный с меньшим количеством функций, рекламой, меньшей надежностью (я буду использоваться какт тестер новых функций и т.п.), я ожидаю, что обещанными бесплатными функциями действительно можно пользоваться бесплатно.
Если же с меня стребовали телефон и прочие персданные обещая беспатность, а в итоге "кинули" - это вызывает раздражение. На мой взгляд, вполне обоснованное.
Я не помню больших возмущений "почему некий сервис хочет денег и вовсе не предоставляет free tier". Большинство возмущается "почему на каждом шагу вымогают деньги, хотя заманивали обещаниями бесплатности".
Про административное отрубание зарубежных сервисов, действительно предоставляющих такой функционал бесплатно я вообще молчу.
Начало хорошее. Но как с устройства передается результат в смартфон, в комп без камеры (впрочем, даже если ноут с камерой, обычно она закрыта шторкой)?
Если все равно по BT/BLE обменивается, тогда и рукой не надо вертеть, чтобы gif поймать.
Смысл же не для себя "расшифровать" и показать несколько временных символов, которые руками нужно вбивать, для этого есть TOTP, а либо длиннющий пароль ввести автоматически, либо passkey..
В идеале при установленной софтинке иметь возможность подписать/зашифровать GPG и прикинуться агентом SSH :)
Можете немного про Mooltipass (видимо, Mini BLE) подсказать? Не могу найти, сколько добра он может хранить. Паролей, TOTP...
Насколько я понимаю, в реальности это хранится на смарт картах и в случае чего можно просто "вторым человеком с другой смарткартой" прикинуться. Но все-таки хотелось бы понимать, чтобы не оказалось, что для пары сотен сайтов десяток карточек нужно....
На каждый форум доступ через OAuth Госуслуг? Если будет выбор зайти на Хабр по небезопасному имени-паролю или "удобно и безопасно через Госуслуги", я продолжу использовать первый способ.
Зачем адрес доставки брать из Госуслуг вообще непонятно. Может я родителям жены или кому-то подарок заказываю.
Максимум - подтвердить, что да, входит тот самый человек, что создавал аккаунт. Даже имя-фамилию Госуслуги не должны передавать. Только подтвердить, что вот этот ID корректно аутентифицровался. А уж имя/адресдля этого ID я в профиле на сайте сам укажу, причем какие сочту нужным. Причем ID должен генериться на сайте и с ID на других сайтах не коррелироваться.
Слышал, что что в холодное время года вполне себе окупается. "для дома для семьи" частные дома все равно греть надо. А газификация далеко не повсеместна.
Разумеется, это не в "промышленных масштабах". Хотя ангары тоже зимой греть надо.
Зачетная идея!
Причем пароль получается динамический (разный в разные дни недели) и в некотором смысле совмещенный с капчей.
Ну если сам сервис выдает челлендж с картинками, а не некое устройство преобразует такую сложность в обычный статический пароль для сайта.
Стыд и позор, сделавшим такое, гореть в аду и переворачиваться.
И картинка прикольная. И "сорок тысяч обезьян" - классика. Но тут ведь речь не о паролях, а об отдельных вторых факторах. С которыми либо недостаточно надежно, либо насколько неудобно, что на популярность для реального каждодневного использования не приходится рассчитывать.. Причем не только из-за цены аппаратного токена...
Гугл хранит не хеши паролей, а plaintext???
Мне тоже иногда страшно становится от неимоверной кучи паролей и т.п. И хранение паролей, passkey, данных кредиток в менеджере паролей тоже не особо хорошо.
Но с другой стороны - я не могу придумать подходящего варианта.
Условный Yubikey? Крайне ограничена память. Я не могу туда ни сотню OTP занести, ни десятки SSH ключей (residental, не буду же я еще флешку с самими файликами таскать)... Даже 2 GPG не могу (типа один официальный с полным ФИО для госорганов, банков и т.п., и с "ником" для форумов, гитхабов...).
Еще "аппаратный ключ" - загранпаспорт нового образца. Но опять же - не буду я с собой загранник таскать, чтобы войти в приложение банка или гитхаб.
Разве что "возможность восстановления" сделать исключительно через него, а остальное как есть оставить... Но даже в этом случае - получил новый паспорт, забыл в какой-то системе "возможность восстановления" проапдейтить, и опаньки.
И это я даже для себя не могу более-менее удобную систему придумать :(
Хм... И кто же вас заставляет читать (судя по множеству коротких однотипных комментов и писать), и при этом стыдиться? :)
Или вы мазохист ("читаю и плАчу")?
Только узнал, что активно пользующимся (ну или по другим критериям) терабайт сохранили. Думал, у всех погрохали, не только у меня и моих знакомых :)
Если перевод после получения товара/усл (я так плитку, к примеру, оплачивал), риск, скорее, с гарантийными обязательствами.
Но тут и с банковским переводом на счет юрлица было бы не проще. И Чарджбек не помог бы. Проблема не в способе как таковом, а сценарии целиком.