Comments 92
Руки бы в обратную сторону сложить всем этим затейникам, которые придумывают авторизации через очередную новую остромодную хрень.
А тем кто придумал и навнедрял привязку к телефону — и ноги тоже.
А тем кто придумал и навнедрял привязку к телефону — и ноги тоже.
Зачем же так жестко. Новые свежие идеи — это всегда хорошо.
В любом случае, вас ведь никто не заставляет пользоваться этим сервисом.
В любом случае, вас ведь никто не заставляет пользоваться этим сервисом.
Дурная мода имеет свойство расползаться.
Для кого-то она, может, и не дурная.
Время идёт, люди меняются, мода тоже, и это нормально.
100 лет назад было модно носить цилиндры и публично курить табак. Дурная ли это была мода? Но ведь она когда-то кем-то вводилась, и кто-то тоже её мог посчитать дурной модой… прошло время, и она уже не стала дурной. А потом еще немного времени, и вот уже мода стала устаревшей.
Время идёт, люди меняются, мода тоже, и это нормально.
100 лет назад было модно носить цилиндры и публично курить табак. Дурная ли это была мода? Но ведь она когда-то кем-то вводилась, и кто-то тоже её мог посчитать дурной модой… прошло время, и она уже не стала дурной. А потом еще немного времени, и вот уже мода стала устаревшей.
ага, а потом у меня в чатах будет 150 ботов для авторизации, ну нафиг
Можно сделать единого бота, и давать это как сервис recaptcha 3.0 :)
Тогда этим должен заняться сильный игрок(Гугл, мозила, сам телеграмм), а не Вася Пупкин, который, в конечном итоге, сможет получить безграничный доступ к аккаунтам.
А мне идея по душе — потому что долгое время пользовался Гуглом, пока он меня не кинул, вот просто удалил случайно аккаунт с телефона и вот тебе не восстановить никак, т.к. нет резервной копии, ни сохранённого ключа. Они хотя бы на Гугле там мини копии делали, что-бы в течении получаса можно было восстановиться, а вот фиг тебе.
Так что бот хоть и маленькая, но надежда на будущее и такие как Вася Пупкин в очередной раз показывают на сколько не совершенны сервисы гиганты в своих проектах, что есть ещё круче творения и задумки.
Не знаю пытался дозвонится до Гугла, что-то не получилось…
Так что бот хоть и маленькая, но надежда на будущее и такие как Вася Пупкин в очередной раз показывают на сколько не совершенны сервисы гиганты в своих проектах, что есть ещё круче творения и задумки.
Не знаю пытался дозвонится до Гугла, что-то не получилось…
+100500
Для них нельзя будет создать отдельного категории/каталога, как в почте. А ещё останется куча ретроградов, использующих «устаревшие» методы и тогда вообще наступит коллапс в голове юзера — где же всё это УГ хранится?
Пользоваться надо менеджером паролей. На всех платформах и девайсах. А базу синхронизировать git'ом
е-ящиков можно иметь сколько угодно в т.ч. выделенный под регистрации.
месенджеры приходят и уходят, а е-почта была, есть и будет есть.
чем взрослее становишься, тем больше начинаешь любить почту и её возможности взвешенной переписки.
Остапа понесло :)
Для них нельзя будет создать отдельного категории/каталога, как в почте. А ещё останется куча ретроградов, использующих «устаревшие» методы и тогда вообще наступит коллапс в голове юзера — где же всё это УГ хранится?
Пользоваться надо менеджером паролей. На всех платформах и девайсах. А базу синхронизировать git'ом
е-ящиков можно иметь сколько угодно в т.ч. выделенный под регистрации.
месенджеры приходят и уходят, а е-почта была, есть и будет есть.
чем взрослее становишься, тем больше начинаешь любить почту и её возможности взвешенной переписки.
Остапа понесло :)
Получил пароль, ввел его на сайте, а мне тут же скзали что «Истек срок действия пароля». Да и вообще, завязывайте Вы с этими авторизациями через месседжеры. А то создается впечатление, что Вы из тех, кто придумал авторизацию через мобильник
Про OAUTH забыли? Сейчас все больше и больше авторизацию через этот протокол делают.
Для каждого сайта добавлять еще и бота? Сколько ботов будет висеть в списке? Да и лишних телодвижений очень много, даже по сравнению с обычным подтверждением email.
Для каждого сайта добавлять еще и бота? Сколько ботов будет висеть в списке? Да и лишних телодвижений очень много, даже по сравнению с обычным подтверждением email.
Очень удобно. Я уже привык к такому поведению — открываешь на компе сайт, тут же на телефоне выскакивает окошко с большой кнопкой — зайти на сайт.
Если открываешь новый, не авторизованный сайт — вводишь логин OAUTH — нажимаешь на телефоне кнопку.
Параноики вместо кнопки проводят пальцем ноги по сканеру.
Вот это удобно, а то, что предложил автор — слишком сложно.
Нет не забыли. Что бы пройти авторизацию по протоколу OAUTH нужно сначала зарегистрироваться, у провайдера OAUTH, с которым работает ресурс\сайт. Чаще всего, везде это соц сети. А что делать если человек не пользуется соц.сетями, а если и пользуется, то не хочет привязывать свой личный аккаунт соц.сети к непонятному ресурсу?
В большинстве случаев, если человек не регистрируется в соцсетях, то и телеграму он свой реальный телефонный номер не выдаст. Так же, в большинстве случаев, нужно смотреть за ЦА сайта. Если ЦА — молодёжь, регистрация через гугл\фб\вк будет оптимальна. Для старшего поколения надо добавить вариант авторизации через email — они обычно не доверяют кнопкам «авторизоваться через». Оптимально иметь все варианты в наличии — кто-то не любит заполнять формы и предпочитает регистрацию в 1 клик, кто-то предпочитает на левых сайтах регаться с запасного емэйла — надо учесть пожелания всех.
Лично я на fb зарегистрирован исключительно для того что бы авторизироваться на сайтах. Как соц сеть он мне ни в одно место не упёрся. Если кто-то пользуется и не хочет светить — заводим ещё один акк там для этих целей. Ну или в твиттере (зачем он ещё нужен?).
А что делать если человек не пользуется соц.сетями, а если и пользуется, то не хочет привязывать свой личный аккаунт соц.сети к непонятному ресурсу?
А что делать если человек не пользуется телеграммом или не хочет светить свой личный телеграмм аккаунт в непонятном ресурсе? Причём для соцсетей этот вопрос решается заведением отдельного аккаунта, а в случае телеграмма, аккаунт жёстко привязан к телефону.
Информация, которую передает телеграмм, минимальна. ID,username — и то если он заполнен. Никакой другой больше информации бот не передает без вашего участия. Я написал статью, не «замена традиционных способов» а дополнение! Нет телеграмма, пользуйтесь соц сетями. И кстати, если рассмотреть создание нового аккаунта вконтакте, то без мобильного телефона у вас ничего не выйдет. Если номер уже привязан к 1 аккаунту, то на этот же номер зарегить новый акк не выйдет. И получается что нужен второй телефон, на котором можно успешно поставить телеграмм для «левых сайтиков».
И кстати, если рассмотреть создание нового аккаунта вконтакте, то без мобильного телефона у вас ничего не выйдет.
Ну, есть же фейсбучек, он и более универсален. Или там тоже сейчас телефон обязателен?
Не знаю, я вот, положа руку на сердце, скорее через фейсбучек зарегистрируюсь, чем через телеграм. А ещё более вероятно, если ресурс с
левый, просто зарегистрируюсь с отдельной почтой типа мейлрушного анонимайзера. А если совсем левый — с одноразовой почтой.
Я против привязки к телеграму, особенно с учётом того, что в РФ (правда, сам живу в Украине) для получения номера требуется пасспорт. И ещё неизвестно, будет ли такая система выдавать номер сайту, где проходит аутентификация.
UFO just landed and posted this here
Так можно сразу же генерировать уникальную ссылку для входа на сайт.
Каким образом осуществляется привязка пользовательских данных / идентификация пользователя между сессиями (вводами разных кодов)?
Конкретно в моем примере, когда пользователь, в телеграме жмет на кнопку «дай мне пароль», от бота приходит id пользователя в телеграме и его юзернейм(если он заполнен), в БД заносится сгенерированный пароль где telegram_id = тому что прислал бот. Далее, когда пользователь вводит пароль, в сессию заносится id пользователя.
Пример имеет чисто демонстративный характер
Пример имеет чисто демонстративный характер
Можно еще проще — не присылать пароль, а сразу давать короткую ссылку. Как только пользователь по ней проходит, сервер это понимает и автоматически авторизовывает пользователя на компьютере. Почти аналогично это сделано в whatsapp web.
А почему не использовать deep linking?
Я делал авторизацию и привязку аккаунта таким способом какое-то время назад.
Пользователю в итоге нужно было нажать «Войти через Telegram» и ткнуть /start в боте
Я делал авторизацию и привязку аккаунта таким способом какое-то время назад.
Пользователю в итоге нужно было нажать «Войти через Telegram» и ткнуть /start в боте
UFO just landed and posted this here
Мне нравится идея, но немного другая реализация.
С удовольствием бы пользовался таким способом авторизации. Единственным минусом считаю, что при должном распространении этой модели история переписок действительно будет захламлена сообщениями от разных ботов. Но, думаю, в Telegram что-нибудь придумают с группировкой.
UFO just landed and posted this here
Идея нравиться, телеграм все больше становиться популярным. Но слово «унизительная процедура» не нравиться. Чем она унизительная, не совсем понял? Второй момент, мне нужно взять телефон в руки или программу вконтакте открыть. У меня на сайте, чтобы получить доступ ко всему функционалу достаточно нажать на одну кнопку соц. сети.
tsya.ru
https://habrahabr.ru/info/help/rules/, правило №6
Когда-то давно, мне приходила в голову такая же идея. Но я погуглил и нашёл готовую реализацию, поэтому решил не переизобретать велосипед :)
Минус еще к тому же, хранение либо открытого пароля в базе, либо шифра который можно с легкостью декриптовать, т.б. отметаем сразу соли и т.п.
А вот если наоборот:
1. Пользователь вводит свой логин на странице (конечно используется TLS)
2. Нажимает кнопку войти
3. В телеграмме получаем запрос на вход на сайт, с информацией(и предупреждением) кто и откуда пытается зайти
4. подтверждаем простой коммандой, a-ля /letmein
5. Профит!
Для простоты можем слушать ивенты на фронте, кот. сообщат когда подтверждение пришло через мессенджер.
Если честно то ранее уже в комментариях указывали OAUTH/OAUTH2, так что я думаю лучше использовать именно последнее для публичных ресурсов. Другое дело реализация скажем для «интранета», где основное общение между коммандами реализовано через Telegramm.
А вот если наоборот:
1. Пользователь вводит свой логин на странице (конечно используется TLS)
2. Нажимает кнопку войти
3. В телеграмме получаем запрос на вход на сайт, с информацией(и предупреждением) кто и откуда пытается зайти
4. подтверждаем простой коммандой, a-ля /letmein
5. Профит!
Для простоты можем слушать ивенты на фронте, кот. сообщат когда подтверждение пришло через мессенджер.
Если честно то ранее уже в комментариях указывали OAUTH/OAUTH2, так что я думаю лучше использовать именно последнее для публичных ресурсов. Другое дело реализация скажем для «интранета», где основное общение между коммандами реализовано через Telegramm.
с информацией(и предупреждением) кто и откуда пытается зайти
Как вы себе это представляете?
Предположим, я злодей и я пытаюсь зайти в ваш аккаунт на том же сайте, из того же места и одновременно с вами. (Сижу в той же кафешке что и вы, подключен к тому же вайфаю, подглядываю через плечо).
С вероятностью 50% вы впустите меня, а не себя.
Как это пофиксить? Например: показывать одноразовый пароль при входе, просить его отправить в телеграм. В этом случае, даже если я его подсмотрю или украду из базы, это мне не поможет, т. к. вы должны его отправить боту.
Думаю что если при входе на сайт, генерировать, секретную куку\сессию\или еще какой-нибудь секретный идентификатор по которому можно опознать пользователя, и потом это сверять на сервере, то злодей, даже если увидит пароль и начнет вводить, он не сможет войти, так как секретная кука\сессия\или еще какой-нибудь секретный идентификатор не совпадут
Пожалуйста, перечитайте комментарий drfill и мой.
Суть в том, что сверять нужно с чем-то. Для этого нужно либо передать токен/пароль, полученный от телеграм-бота в веб-интерфейс, либо отправлять телеграм-боту пароль, полученный из веб-интерфейса.
Иначе невозможно гарантированно установить связь между пользователем, который заходит через веб и пользователем, с которым вы связываетесь через телеграм.
Во-первых я имел ввиду показать пользователю информацию, например из места по Геотаргетингу определенную, либо по GeoIP. UA браузера в человекочитаемом формате
Во-вторых:
Подглядывать нехорошо! :) а если так, то скажем доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь… ну и чтоб он сам без внешних источников/специалистов определил, что это он, а не тот кто подсматривает.
По теме можно дискутировать бесконечно, но боюсь что такого рода реализации оч. вендор специфичные, что нехорошо для конечного пользователя.
Кстати для информации x07, не для всех платформ реализован Telegramm клиент, например для BB10 его толкового нет вовсе!
Во-вторых:
Подглядывать нехорошо! :) а если так, то скажем доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь… ну и чтоб он сам без внешних источников/специалистов определил, что это он, а не тот кто подсматривает.
По теме можно дискутировать бесконечно, но боюсь что такого рода реализации оч. вендор специфичные, что нехорошо для конечного пользователя.
Кстати для информации x07, не для всех платформ реализован Telegramm клиент, например для BB10 его толкового нет вовсе!
Самого BB воде тоже больше нет.
Минус еще к тому же, хранение либо открытого пароля в базе, либо шифра который можно с легкостью декриптовать, т.б. отметаем сразу соли и т.п.
Изначально, вы указали на то, что пароль, который хранится открыто в базе — это не хорошо.
Но потом, вы предложили использовать вместо него ещё более открытую информацию, ту информацию, которую можно добыть и без кражи базы.
показать пользователю информацию, например из места по Геотаргетингу определенную, либо по GeoIP.
Вы уже забыли, что я сижу прямо за вашей спиной, на том же айпишнике? :)
UA браузера в человекочитаемом формате
UA передаётся при каждом запросе, да я и так прекрасно вижу, что у вас Firefox под Ubuntu (например).
доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь
Как насчёт, сгенерировать случайный код и показать его и там и там? :)
Мне как пользователю какого-либо сайта это неудобно: открыть Телеграм, добавить канал, получить пароль. Регистрационные формы сейчас на 2-4 поля + автозаполнение полей браузером.
Мне как владельцу сайта это на фиг не нужно, так как я получаю не полноценного пользователя, а какой-то телеграм-обрубок при пароле.
Мне как владельцу сайта это на фиг не нужно, так как я получаю не полноценного пользователя, а какой-то телеграм-обрубок при пароле.
>>Не нужно проходить долгую и унизительную процедуру регистрации на сайте, а потом лезть в почтовый ящик и искать там письмо либо с паролем либо со ссылкой на подтверждение регистрации.
Проблема не в самой процедуре, а в том, как её реализуют 99% сайтов. Процедура регистрации может быть быстрой. Может не требовать перехода по ссылке. Т.е. ввел email и пароль — вошел на сайт. Всё, пользуешься.
Самый главный минус предложенного способа — зависимость от стороннего сервиса. Всё остальное, что вы перечислили — тоже плохо, но не так критично.
Проблема не в самой процедуре, а в том, как её реализуют 99% сайтов. Процедура регистрации может быть быстрой. Может не требовать перехода по ссылке. Т.е. ввел email и пароль — вошел на сайт. Всё, пользуешься.
Самый главный минус предложенного способа — зависимость от стороннего сервиса. Всё остальное, что вы перечислили — тоже плохо, но не так критично.
уже изобрели. называется 2ух факторная аутентификация.
Любители всех этих аутентификаций только через соц.сети/мессенджеры/приложение-только-для-этого-сайта забывают об одной маленькой детали:
Не у всех есть аккаунт в соц.сети, мессенджер или телефон/смарт, для которого бы была бы версия этого приложения.
Если я на своем сайте сделаю аутентификацию только через, например PIN BBMa с отсылкой на него пароля, Вы что сделаете? В 95% покрутите у виска, скажете «Чо за BBM?!» и уйдете.
Если Ваш сайт/бложик посещают 1,5 анонимуса и Вы точно знаете, что они в случае потери доступа к смарту/приложению смогут аутентифицироваться — тогда да.
Если у Вас сайт/блог с хорошей посещаемостью, то делать только такую функцию аутентификации и без каких-либо альтернатив — ИМХО, не самая лучшая идея.
Не у всех есть аккаунт в соц.сети, мессенджер или телефон/смарт, для которого бы была бы версия этого приложения.
Если я на своем сайте сделаю аутентификацию только через, например PIN BBMa с отсылкой на него пароля, Вы что сделаете? В 95% покрутите у виска, скажете «Чо за BBM?!» и уйдете.
Если Ваш сайт/бложик посещают 1,5 анонимуса и Вы точно знаете, что они в случае потери доступа к смарту/приложению смогут аутентифицироваться — тогда да.
Если у Вас сайт/блог с хорошей посещаемостью, то делать только такую функцию аутентификации и без каких-либо альтернатив — ИМХО, не самая лучшая идея.
В чем прикол открыть на компе сайт, потом открыть на телефоне телеграм, найти где добавлять ботов, ввести имя бота, добавить, потом хз сколько шагов еще? Это не проще обычной регистрации, особенно если через oauth.
Телефон доставать незачем — никто не мешает по ссылке перейти в веб-версию мессенджера (искать бота в этом случае тоже не нужно). А если сделать deep linking, как писали выше — то и пароль не нужно будет копировать/вставлять: немедленно после начала диалога с ботом пользователь будет авторизован. Регистрация буквально в три клика.
Чтож мне идея нравится. Кто-то против. Но с другой стороны если ничего не придумывать, то и будет все на месте стоять. Лучше бы не критиковали, а дельные советы давали.
Закопайте стюардессу. Телеграм вообще никак не приспособлен для авторизации. Из телеграма в интернет — еще как то, если основной ресурс — бот, с которым вы что то делаете и надо по пути глянуть что то на сайте. Тогда бот просто генерит ссылку с токеном, вы по ней переходите и сайт знает что вы и есть тот пользователь телеграма (бот синтегрирован с сайтом) Других вменяемых юзкейсов телеграм не поддерживает, если заблуждаюсь — поднимите мне веки, скажу спасибо.
К слову, у меня есть знакомая, которая входит в некоторые сервисы по восстановлению пароля через смс. Она не запоминает паролей и не парится по этому поводу. И я думаю, что есть такой класс людей.
В принципе, чем такой способ хуже, если вместо смс использовать телеграмм или, например, вконтакте или любую другую соцсеть.
Но вместо отправки пароля по запросу в бесседе лучше действовать в обратном ключе: на форме входа отображать временный пароль, символов на 5. Пользователь вводит его в доступный ему месседжер, а дальше уже серверная часть получает извещение, от какого пользователя пришел пароль и заводит на него сессию и дает какие-то данные.
К слову, удобно использовать глубокие ссылки телеграмма, или вконтакте (vk.me/username) чтоб не искать бота вручную.
Понятное дело, использование такого способа авторизации, как основного, сейчас — это большая ошибка. Но в качестве дополнительной альтернативы, почему нет? Думаю, подобно тому как авторизация через соцсети сейчас стоит в одном ряду с email, так и этот способ сможет получить своё место под солнцем в будущем. Надеюсь в ближайшем.
В принципе, чем такой способ хуже, если вместо смс использовать телеграмм или, например, вконтакте или любую другую соцсеть.
Но вместо отправки пароля по запросу в бесседе лучше действовать в обратном ключе: на форме входа отображать временный пароль, символов на 5. Пользователь вводит его в доступный ему месседжер, а дальше уже серверная часть получает извещение, от какого пользователя пришел пароль и заводит на него сессию и дает какие-то данные.
К слову, удобно использовать глубокие ссылки телеграмма, или вконтакте (vk.me/username) чтоб не искать бота вручную.
Понятное дело, использование такого способа авторизации, как основного, сейчас — это большая ошибка. Но в качестве дополнительной альтернативы, почему нет? Думаю, подобно тому как авторизация через соцсети сейчас стоит в одном ряду с email, так и этот способ сможет получить своё место под солнцем в будущем. Надеюсь в ближайшем.
Мой внутренний параноик негодует.
Человечество в край обленилось иотуп поглупело. Запомнить десяток своих комбинаций паролей уже сложно, не говоря про пароли типа «QWERTY», «123654» и подобные в любых их проявлениях. Про оригинальность уже и не вспоминаю.
Как мне кажется все эти генераторы паролей все таки, где то хранят сгенерированные последовательности знаков, дабы исключить повторение в… ну скажем в короткие временные промежутки до завершения какого либо цикла. Ну или пока не кончатся все возможные варианты. А если это все где то хранится (Повторюсь, это мое предположение), то где то эту нехилую базу можно использовать в бруте паролей, учитывая что сейчас множество сервисов авторизации привязывает к логину номер телефона или адрес почты (и то и другое не сложно узнать, в сети каждый где то оставлял эти данные в свободном доступе, будь то объявление по поиску / предоставлению работы, покупке / продаже, соц.сети)
Поправьте если не так. Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…
Человечество в край обленилось и
Как мне кажется все эти генераторы паролей все таки, где то хранят сгенерированные последовательности знаков, дабы исключить повторение в… ну скажем в короткие временные промежутки до завершения какого либо цикла. Ну или пока не кончатся все возможные варианты. А если это все где то хранится (Повторюсь, это мое предположение), то где то эту нехилую базу можно использовать в бруте паролей, учитывая что сейчас множество сервисов авторизации привязывает к логину номер телефона или адрес почты (и то и другое не сложно узнать, в сети каждый где то оставлял эти данные в свободном доступе, будь то объявление по поиску / предоставлению работы, покупке / продаже, соц.сети)
Поправьте если не так. Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…
Нет не так. С кодом генератора паролей, используемого в моем примере, можно ознакомиться тут https://www.npmjs.com/package/generate-password
Смысла складировать одноразовые генерируемые пароли нет никакого.
Во первых, в БД стоит констрейнт на уникальность, во вторых символов в пароле столько, что вероятность совпадения крайне мала, учитывается так же регистр, что увеличивает количество генерируемых вариантов.
При желании, любой посещаемый крупный ресурс, может слить все пароли или хеш пароля, телефоны, логины и емейлы тому кто хорошо попросит.
Смысла складировать одноразовые генерируемые пароли нет никакого.
дабы исключить повторение
Во первых, в БД стоит констрейнт на уникальность, во вторых символов в пароле столько, что вероятность совпадения крайне мала, учитывается так же регистр, что увеличивает количество генерируемых вариантов.
Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…
При желании, любой посещаемый крупный ресурс, может слить все пароли или хеш пароля, телефоны, логины и емейлы тому кто хорошо попросит.
любой посещаемый крупный ресурс, может слить все пароли
Собственно по этой причине к каждому сервису где я нахожусь используется индивидуальный пароль. Почти десяток адресов почты (за исключением пары адресов куда сыпется спам от сомнительных сервисов или одноразовых регистраций)
В данном случае конечно все субъективно и уровень паранойи (если таковая имеется) у всех различный. Кому как, но лично мне как то спокойнее спится, если в сети как можно меньше инфо можно «накопать».
PS: Не все так плохо, пока дополнительными одноразовыми симками не закупаюсь, но по возможности стараюсь находить аналоги интернет-сервисов, где не требуется верификация по номеру телефона.
Ну вот, вы используете для каждого ресурса неповторяемый пароль, помнить более 10 восьмизначных(а то и более) паролей для более 10 ресурсов, это надо обладать феноменальной памятью, особенно когда часть ресурсов посещается редко. Вот собственно эта задача успешно решается тем способом, который я описал в статье.
На самом деле как то задавался идеей для генерации и хранения паролей и сделал вот такого бота — passworder_bot
В общем-то у Telegram есть крайне неплохой веб-клиент, который постоянно развивается вместе с приложением. То есть совершенно необязательно иметь телефон с платформой, поддерживающей Telegram. Я как-то раз в течение полугода пользовалась исключительно web-клиентом, так как ходила с телефоном-раскладушкой десятилетней давности. Что касается самой идеи: она крайне неплоха. Особенно в случае постоянных забываний паролей от почты. На множествах форумах и сайтах наверняка есть «умершие» подобным образом аккаунты юзеров, которые просто напросто не смогли восстановить доступ, благополучно забыв пароль от основной почты. По поводу использования номера телефона: не вижу в этом ничего плохого. Вспомните фейсбук или тот же vk. И там, и там номер телефона используется как привязка к аккаунту в случае утери пароля или же взлома. Лишних движений тоже особо не вижу: как пояснил автор, взаимодействие с ботом может быть только 1 раз при регистрации или восстановлении пароля, а далее пользователь установит свой пароль в настройках профиля. Тут уже по желанию.
Номер телефона доступен только телеграму, как уже упомянули выше, бот не может без ведома пользователя получить его https://habrahabr.ru/post/321682/#comment_10067330
так что волноваться тут не о чем.
Я считаю, что это наоборот плюс, есть сайты, которые борются со спамерами, фейками, размножением аккаунтов, путем подтверждения регистрации по смс. Многие пользователи не хотят светить свой номер в интернете, но все равно это делают, потому что нет другого выбора. Если сайт окажется с гнильцой, то потом на телефон будет лететь смс-спам как минимум. В случае с телеграммом, номер телефона останется в тайне, ресурс не сможет его узнать, но зато, для ресурса это будет означать что пользователь с определенной долей вероятности настоящий. Ведь пойти купить левую симку сложнее, чем пойти зарегить 10 новых емейл адресов.
так что волноваться тут не о чем.
Я считаю, что это наоборот плюс, есть сайты, которые борются со спамерами, фейками, размножением аккаунтов, путем подтверждения регистрации по смс. Многие пользователи не хотят светить свой номер в интернете, но все равно это делают, потому что нет другого выбора. Если сайт окажется с гнильцой, то потом на телефон будет лететь смс-спам как минимум. В случае с телеграммом, номер телефона останется в тайне, ресурс не сможет его узнать, но зато, для ресурса это будет означать что пользователь с определенной долей вероятности настоящий. Ведь пойти купить левую симку сложнее, чем пойти зарегить 10 новых емейл адресов.
Никакой дополнительной вероятности, что пользователь настоящий. Арендовать симку и получить на неё смс можно даже не вставая, есть куча сервисов. У меня был случай, когда пришлось создать кучу аккаунтов телеграма, всё очень просто и быстро и стоит дешевле, чем покупать симки — 20 рублей за аккаунт.
В случае, если подтверждение приходит по смс, то как вы вернете этот аккаунт, если при входе на сайт вас попросят ввести код, который отправит вам ресурс в смс?
Сомневаюсь что за 20р вам дают номер навсегда. Вы скажете что аккаунт уже создан в телеграмме и номер уже не нужен, то, как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем?
В моем примере подтверждение входа не требуется, но в боевой версии алгоритм можно поменять, бот, например, будет отправлять в телеграмм уведомление о входе, или же вход будет осуществляться через телеграмм. Опять же на ресурсе, для борьбы с фейками, должен быть алгоритм который выявляет подозрительную активность пользователя, и в случае если такая активность есть, просить подтвердить свою личность через смс или телеграм. Вероятность тут все же есть, в отличие от емейла.
Сомневаюсь что за 20р вам дают номер навсегда. Вы скажете что аккаунт уже создан в телеграмме и номер уже не нужен, то, как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем?
В моем примере подтверждение входа не требуется, но в боевой версии алгоритм можно поменять, бот, например, будет отправлять в телеграмм уведомление о входе, или же вход будет осуществляться через телеграмм. Опять же на ресурсе, для борьбы с фейками, должен быть алгоритм который выявляет подозрительную активность пользователя, и в случае если такая активность есть, просить подтвердить свою личность через смс или телеграм. Вероятность тут все же есть, в отличие от емейла.
Я вам возразил исключительно по поводу вашей фразы:
"это будет означать что пользователь с определенной долей вероятности настоящий. "
Для чего вам возвращать фейковый аккаунт? Но уж если зачем-то потребовалось и требуется ещё раз ввести смс, делаете заявку и вам опять этот же номер предоставляют. Номер ваш навсегда, его используют для других сервисов, но телеграм уже никто на него не зарегистрирует. Правда я думаю это не гарантированно будет вечно работать.
как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем
На компе можете открыть сколько угодно клиентов телеграма на разные номера и подтверждать вход в ваши аккаунты. У меня два аккаунта открыто постоянно, и ещё десяток просто хранятся, чтобы я мог дать доступ к аккаунту, не прибегая к смс.
Я вам возразил исключительно по поводу вашей фразы:
«это будет означать что пользователь с определенной долей вероятности настоящий. „
Я не ради спора это все пишу) Просто высказываю точку зрения, почему вероятность есть).
Для чего вам возвращать фейковый аккаунт?
вы же зачем-то его создавали? Причем, потратили деньги, пусть даже и незначительную сумму.
Я к тому, что этот процесс, в отличии от регистрации кучи емейлов, более трудоемкий и стоит денег. Если система будет эффективно выявлять такие фейковые аккаунты, то скорее всего, их будет просто не выгодно создавать.
Простой пользователь, врятли будет заморачиваться со всякими сервисами и покупкой второй симкарты(если конечно для него это не жизненоважно), но тем не менее, для него это препятствие, пусть и небольшое.
Sign up to leave a comment.
Вход на сайт при помощи Telegram