LINUX.ORG.RU
ФорумTalks

Можно ли выпилить на сайте пароли в пользу одноразовых ссылок на email?

 


0

1

Есть несколько кейзов, которые делают использование пароля на вебне не желательным или бессмысленным:

- юзеры вводят 123456
- юзеры используют «восстановление пароля», и забывают до следующего логина

Все это наталкивает на мысль, что неплохо бы пароль совсем выпилить, и сделать логин по одноразовым ссылкам на мыло. Какие есть минусы у подобного подхода? Пока нашел только один - если IP сайта попадет в блеклист как спамерский, может сразу куче юзеров стать грустно.

Вариант «йа сминил работу и патирял почту» не особо отличается от ситуации когда накрылась напоминалка пароля.

Кто-нибудь может сформулировать модный подход к логинам на сайте? Я пока сделал поле «пароль» не обязательным - если заполнят, то юзаем, если пустое - шлем ссылку на мыло.

UPD Логин через google, facebook,... как секурно продаваться в рабство? - тут отдельно по логину через гуглофейсбуки, чтобы все в кучу не валить.

★★★★★

Последнее исправление: Vit (всего исправлений: 1)
Сообщить в военкомат о смене места работы
Дистрибутив для людей старше 70-80 лет.
1 2
Ответ на: комментарий от Vit

Как избавиться от пароля в тех случаях, когда он не нужен.

Пароль не нужен когда не нужна аутентификация, это очевидно. Если нужно авторизовать пользователя, то это как правило лишь когда он создал какойто ресурс, например загрузил картинку, и чтоб мог потом удалить - то вот на, юзер, держи токен или ссылку - по ней пройдешь система тебя узнает и ты можешь удалить эту картинку.

Deleted
()
Ответ на: комментарий от Psych218

https://github.com/dropbox/zxcvbn

Я пока выбрал, что если пароль, то третьего уровня сложности, либо без пароля. Третий уровень - это адские крякозяблики либо комбинация слов. Жестких требований, что нужны спецсимволы там нет, но сходу ввести приемлимый пароль не совсем просто.

Vit ★★★★★
() автор топика
Ответ на: комментарий от leave

Йя шпишиалист разнообразного профиля :) . Перед тем как говнокодить, приходится формулировать, что именно и как.

Vit ★★★★★
() автор топика

Да я видел такие сайты, где нужно вводить email, потом тебе пришлют специальный код, который нужно вставить или перейти по ссылке, которая включает такой код. Это удобно при регистрации, но очень неудобно так логиниться, особенно если нет быстрого доступа к почте. Например, не стоит полагать, что юзер всегда будет использовать свою личную почту, а не воспользуется отдельной или временной почтой.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)

- юзеры вводят 123456

А что, если сделать, как предлагают тут?

  1. Enforce a minimum Unicode password length
  2. Check for common passwords
  3. Check for basic entropy
  4. Check for special case passwords
theNamelessOne ★★★★★
()
Ответ на: комментарий от theNamelessOne

Это уже давно сделано. Тут вопрос в другом, как бороться с причиной а не с последствиями.

Vit ★★★★★
() автор топика
Ответ на: комментарий от Vit

Тут вопрос в другом, как бороться с причиной а не с последствиями

Нужно устройство, которое будет через интернет током бить.

theNamelessOne ★★★★★
()

Выпили пароли в пользу OTP. Никаких сторонних сервисов, надежность выше и юзер ничего не забудет (пока смартфон не потеряет).

KillTheCat ★★★★★
()

Да, например, на biglumber.com так и сделано. Только там e-mail'ы зашифрованные и всё как надо.

intelfx ★★★★★
()

высылай связку логин-пароль на авторизованую почту после регистрации. и не давай вводить легкие пароли

bvn13 ★★★★★
()

Тотальная зависимость от чужих сервисов непредсказуемой надежности?

dk-
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Сообщить в военкомат о смене места работы
Talks
Дистрибутив для людей старше 70-80 лет.