Comments 36
возможность переноса аутентификатора с одного устройства на другое. Точный механизм пока неизвестен, но, вероятно, его можно будет загрузить из облака.
Раньше ваш пароль знали вы и гугль, теперь его будет знать только гугль, доооо.
так это уже и так работает - когда на сайтах есть кнопки "социального" входа через фейсбук, гугл, эппл и прочие...
Именно поэтому я их избегаю всеми силами. Не хватало ещё из-за бана мастер-аккаунта потерять все связанные через них другие аккаунты...
По той же причине ненавижу привязку авторизаций к номеру телефона (это даже невзирая на проблему небезопасности СМС). Надо не забывать, что номер телефона принадлежит не вам лично, а властям страны, и операторы вполне рутинно эти номера телефона вводят в оборот повторно...
Даже с эмейлом не всё гладко, но там хоть есть возможность свой собственный домен купить. Что тоже не панацея, впрочем.
тут сложный вопрос. С одной стороны - они (гугл и эппл) привязывают почту автоматически. С другой - все стороны таким образом идентифицируют клиента и потом по объединенному профилю там такая недетская бигдатка работает - с отслеживанием интересов потенциального клиента и все такое. А то Вы думали - откуда все Ads объявления появляются. С третьей стороны - гуглу и фейсбуку я априори доверяю сильно больше, чем криво сверстанному сайту какого-то третьего васяна... И я не хочу придумывать и запоминать пароли для третьих сайтов. Анонимность - да, при этом при всем страдает, но учитывая, что половина сайтов все равно требует какую-то форму оплаты и рассчитана на отправку каких-то товаров на мой адрес... ну, короче, добро пожаловать в антиутопию. Остаются только всякие форумы и доски, на которых все еще хочется придумать себе левачную личину и под ней высказывать свою точку зрения. Хотя те, кто хочет, все равно деанонимизируют
Ну сделайте копию своих ненаглядных паролей. Ведь вы же сделали копию, ведь так? Или...
Если делаешь профиль для входа на помоечный сайт, который требует, например, емейл или номер телефона, или паспортные данные, то много лучше туда залогиниться через помоечный аккаунт VK, например
Лично я вообще ненавижу идеологию mobile first и привязку всего подряд даже не к номеру телефона, а к смартфонам.
А что там в FIDO думают про утечки? Или в их светлом будущем такого не будет? :) Биометрия - не пароль, ее не сменить...
А что там в FIDO думают про утечки? Или в их светлом будущем такого не будет? :) Биометрия - не пароль, ее не сменить...
Насколько я понимаю - думают то, что биометрия должна хранится не где-то там, в серверах сайта, а непосредственно в той железке, что ключики хранит. И доказываешь при помощи ее что ты это ты то же не сайту в интернете, а этому токену (в контексте данной статьи - только своему смарту). И по хорошему эта железка никаких лишних интерфейсов, по которым биометрия утечь может, иметь не должна.
И, соответственно, не нравится биометрия - настраивай/выбирай железку, которая проверяет твою личность другим способом. Сами сайты, пользующиеся этим способом входа, об этом даже не узнают.
Нельзя отказываться от паролей.
Если мне надо, я могу дать пароль другому человеку. С биометрией или токеном так не получится. Кто считает, что так делать неправильно - напоминаю, техника создавалась, чтобы служить человеку, и только человек решает, как ей пользоваться. Если я считаю, что в мой акаунт может зайти другой человек - это моё решение и моя ответственность. А система, которая это не позволяет, не нужна.
Потом, биометрию не поменять, а пароль - легко.
Кому сложно запоминать пароли - пусть заведут секретный бумажный блокнотик и карандаш и носят их в кошельке рядом с документами, банковскими карточками и деньгами. Можно и менеджер паролей, но я им не доверяю, это лишняя точка отказа и потенциальной утечки. Ответственность за утечку пароля должна быть только на пользователе, если он оставляет пароль на бумажке под клавиатурой - он идиот и должен страдать (быть уволен и т.п.).
Привязка к смартфонам и т.п. не годится. Сел аккум - и что делать? А пароль - в памяти или в блокнотике.
Привязка к смартфонам и т.п. не годится.
Смартфоны тут (и биометрия в них) - исключительно потому что 'у всех есть'. Так то хорошо бы использовать нормальный аппаратный токен. Я не знаю, почему они так туго взлетают.
Так-то уже почти у всех уже несколько в карманах лежит (SIM-ки в телефоне, чип в карте).
Если мне надо, я могу дать пароль другому человеку
не надо. Если жене-подруге или кому-то еще нужен доступ к этому сайту - надо заводить индивидуальную учетку. А то действительно - знает двое, знает и свинья. Но обычно никаких рисков нет. А для серьезных вещей вроде банков - там заводится новая учетная запись + пишется доверенность на предоставление набора доступов. И voila! Два пользователя имеют доступ к одному набору счетов, сервисов и прочего.
То есть вся проблема только лишь в том, что такое доверие не реализовано в бытовых сервисах. Техника разве что только до "семейных" аккаунтов дошла.
К тому же, я не понимаю, как поможет пароль другому человеку в ситуации с 2FA или OTP... Разве что диктовать его по стороннему каналу связи...
сли жене-подруге или кому-то еще нужен доступ к этому сайту — надо заводить индивидуальную учетку.
Так доступ нужен не к сайту, а к моей учётке.
Ну тогда сгенерировать в ее токене/телефоне еще одну ключевую пару и привязать к своей учетке и ее ключик тоже.
А сервисам, которые думают, что отношение ключевая пара <-> учетка должно быть взаимно однозначно, нужно долго капать на мозги, чтобы они перестали так думать. Потому что иметь один артефакт доступа (ключевую пару) при себе, а другой (другую пару) - где-то в надежном месте, на случай потери или поломки первого -- это совершенно нормально.
Это, кстати, и про возможность бакапа. По идее - довольно вредная возможность. Возможность восстановления доступа должна решаться вот таким вторым артефактом, а не копированием первого.
А как я эту ключевую пару передам?
отправить смс, написать на бумажке и приклеить на монитор…
очень секурно, ага.....
Кстати, пароль на мониторе неплохо защищён от хакеров.
Чтобы узнать, они должны к вам ножками придти.
Никак. Дополнительный артефакт доступа делается заранее.
Смотри пример из физического мира - какой-нибудь гараж на физическом замке (или сейф с деньгами). Если кому-то, кроме себя, надо дать доступ, то даешь ему еще один (физический) ключ.
Ну так 'отдать свой ключ', который физический токен доступа - тоже никто не мешает.
Ну это уже зависит от степени паранойи. Те ключи, которые неизвлиекаемые и от чего-нибудь серьёзного - те лучше таки каждый ключ - в отдельном токене (смотри банковские карты с чипом, кстати - как раз сценарий использования подходит).
Те которые в связке - тоже нет смысла иметь именно в виде пароля, даже если их кому-то отдать хочется. Потому что в современном мире передать даже несколько килобайт ключа - делается так же просто, как переслать картинку с баркодом. И даже если только звуковой канал доступен - ну каким-нибудь DTFM насвистеть можно.
Бывают всякие, в том числе экстренные ситуации, когда пароль надо дать, иначе будет катастрофа. Мало ли что может быть? А если вход будет по моей сетчатке или отпечатку - другой человек не зайдёт никак. И наоборот, если у меня будет подозрение, что мой пароль засветился - я его сразу поменяю, а вот при подозрении, что кто-то отсканировал мои отпечатки пальцев и сделал условную силиконовую подушечку и ей открывает замок, представляясь системе мною, - то поменять папиллярный узор на пальце я не смогу.
Бывают всякие, в том числе экстренные ситуации, когда пароль надо дать, иначе будет катастрофа.
Какая катастрофа? Придумайте нормальный пример, не высосанный из пальца. Я понимаю, что, скажем, пропуск регистрации на рейс самолета или не оплата гостиничной брони может привести к временным неудобствам и определенным финансовым потерям. Но представить себе экстренную ситуацию, которая потребует пароля от какого-то электронного сервиса я попросту не могу. Повторюсь - именно экстренную, от которой может зависеть жизнь человека
расскажите как вы храните пароли от многочисленных сайтов?
лично я 4 первых символа имени сайта + длинное число которое помню
надеюсь, что длинное число - это в hex кодировке и минимум 20 цифр? Иначе энтропия вообще никакая
Да ладно, мне вполне хватает расчетного времени раскрытия пароля 10 в 100 степени секунд :-))
лучше OTP. Цифр меньше, ошибиться сложнее. А то, что они постоянно меняются - означает, что подобрать невозможно. Это нужно знать алгоритм генерации + seed значение. Но даже с этим были скандалы.
https://habr.com/ru/post/120787/ - яркий пример.
Самое лучшее число - это единица с двадцатью одним нулем, пока введешь раз двадцать ошибешься то один лишний то два не хватает :-))
Я же говорю - в блокнотике, который лежит дома в надёжном месте. А если я уезжаю дольше чем на день - беру его с собой. Но часто используемые пароли и так запоминаются, даже при условии их периодической замены. Это просто, достаточно безопасно, удобно. Только надо выработать привычку параноидально следить за своим кошельком и прочими вещами, чтобы не забыть нигде и не потерять.
Еще многократно ужаснее чем с паролями, в каком звании эти «специалисты» забыли указать.
Так ли близко беспарольное будущее