LINUX.ORG.RU

Наиболее удачный способ аутентификации в web с вашей точки зрения


0

2

Какую бы систему аутентификации вы бы хотели видеть на каждом веб-сайте? Посмотрите на вопрос с точки зрения как пользователя, так разработчика (и эксперта по безопасности), так и собственника сайта

  1. username/email + password 550 (56%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. OpenID 255 (26%)

    ****************************************************************************************************************************************************

  3. отсутствие аутентификации 242 (25%)

    ********************************************************************************************************************************************

  4. социальные сети, OAuth 221 (23%)

    ********************************************************************************************************************************

  5. Клиентская SSL аутентификация 166 (17%)

    ************************************************************************************************

  6. биометрика 71 (7%)

    *****************************************

  7. Mozilla Persona 30 (3%)

    *****************

  8. Basic/Digest 14 (1%)

    ********

Всего голосов: 1549, всего проголосовавших: 975

★★★★★

Проверено: beastie ()

Ответ на: комментарий от vold

А недостающие заинтересованные лица и организации добудут из других источников.

если уж они, заинтересованные лица, такие проинформированные (из своих источников) — то зачем же им нужна моя пустая социальная страничка? :)

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

если уж они, заинтересованные лица, такие проинформированные (из своих источников) — то зачем же им нужна моя пустая социальная страничка? :)

Это Ваша пустая. А у многих она очень даже заполненная разной личной инфой.

vold ★★★★★
()
Ответ на: комментарий от Xellos

Это вот например что?

Имя пользователя + действующий электронный адрес + куча персональных данных из соцсети, выложенных самим юзером — этого мало?

vold ★★★★★
()

Хочу аутентификацию в вебе на манер ssh по ключам.
При регистрации клиент засылает на сервер свой открытый ключ, сервер его запоминает и в дальнейшем использует для аутентификации этого клиента.
Ключ можно например зашить в аппаратный токен.

MrClon ★★★★★
()

Вот запереть бы в место эту страшную говорящую капчу, в которой буквы хрен разберешь был бы рай. Я про ту которая почти сейчас везде.
ps: помню инет без регистраций всяких...

hbars ★★★★★
()
Ответ на: комментарий от BambarbiyaKirgudu

Это вообще дибилизм. И за это нужно бить е.
Еще греет когда после регистрации кидает не туда где был...

hbars ★★★★★
()
Последнее исправление: hbars (всего исправлений: 2)

username/email + password & Клиентская SSL аутентификация

dormeur86 ★★★★
()

номер читательского билета в аудитории библиотеки!

bioreactor ★★★★★
()
Ответ на: комментарий от Axon

С другой стороны, иногда коммент оставить хочется, а аккаунт заводить - нет. В этом случае котирую логин через гуглоплюс.

Вот и тебе стала очевидна прелесть OpenID.

rtvd ★★★★★
()
Ответ на: комментарий от rtvd

Нет, не стала. Гуглоплюс хорош тем, что он уже есть, и его не надо заводить. И он не подходит на роль основного средства аутентификации.

Axon ★★★★★
()
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от Binary

У меня есть гугл, но категорически не хочу заводить гугл-плюс.

а как же вы такой смельчаг — решились на такой смелый шаг — как заведение аккаунта на LOR ?

не страшно?

LOR безопаснее чем G+ ? :-)

user_id_68054 ★★★★★
()
Ответ на: комментарий от Axon

Зачем нужны все эти openID и OAuth я слабо понимаю.

точно знаю: удобство.

(вот только точно не знаю чьё).

drBatty ★★
()
Ответ на: комментарий от vertexua

OpenID, OAuth, Mozilla Persona. Чем лучше читаем в википедии

прочитал. Так и не понял. Так чем оно лучше моего локального текстового файлика с кучей паролей?

drBatty ★★
()
Ответ на: комментарий от pacify

хэш-код, вычисляемый на клиенте.

ок, клиент вычислил хеш, что он даёт, по сравнению с паролем?

drBatty ★★
()
Ответ на: комментарий от Ford_Focus

«username/email + password» могут себе позволить разве что ресурсы уже накопившие базу пользователей.

…или те, кому такая база не нужна, и которые согласны с тем, что комменты может ставить аноним, который подписывается как ему нравится.

drBatty ★★
()
Ответ на: комментарий от drBatty

Так чем оно лучше моего локального текстового файлика с кучей паролей?

Отсутствием локального текстового файлика с кучей паролей как лишней сущности, которую нужно поддерживать самому?

vertexua ★★★★★
() автор топика
Последнее исправление: vertexua (всего исправлений: 2)
Ответ на: комментарий от user_id_68054

Причем тут безопасность? Зачем мне ещё одна социалочка?

Binary ★★★★★
()
Ответ на: комментарий от vertexua

лишняя сущность всё равно есть. Это твой локальный ключ.

причём этот ключ даёт доступ к куче сайтов одновременно.

drBatty ★★
()
Ответ на: комментарий от drBatty

Но если его можно будет инвалидировать везде одновременно, то это будет уже неплохо.

Binary ★★★★★
()
Ответ на: комментарий от Axon

В этом случае котирую логин через гуглоплюс.

Ах вот почему у тебя клетчатая рубашка на аватарке! :)

Deleted
()

Очень хотел проголосовать за OpenID, но увы - гемора с ним много, причём периодически на ровном месте.

Поэтому в результате выбрал «username/email + password». Да, у этой системы тьма недостатков, надо помнить кучу паролей... но ОНО ТУПО РАБОТАЕТ.

hobbit ★★★★★
()

А зачем вообще аутентификация нужна? куда не зайдёшь, просят регистрацию, а зачем? нет никакого желания давать адрес почты чтобы потом завалили спамом.

zaramoth
()

Дурацкий опрос. Все способы нужны, зависит от задачи. Проголосовал за все сразу )

gobot ★★★★
()
Ответ на: комментарий от MrClon

Хочу аутентификацию в вебе на манер ssh по ключам. При регистрации клиент засылает на сервер свой открытый ключ, сервер его запоминает и в дальнейшем использует для аутентификации этого клиента.

Это называется сессия\куки

oskar0609
()
Последнее исправление: oskar0609 (всего исправлений: 1)

Конечно, куки. Простите, email/password. А что вы ожидали? Если был бы вменяемый другой способ, он был бы уже везде реализован.

coderage
()
Ответ на: комментарий от oskar0609

Вы в курсе как работает несимметричная криптография? Я говорю именно об этом, печеньки тут и близко непричём.
Публичный (открытый) ключ клиента передаётся серверу только один раз (при заведении клиентом учётки на сервере). В дальнейшем клиент аутентифицирует себя подписывая своим закрытым ключом некоторое рандомное сообщение от сервера, сервер проверяет подпись клиента используя ассоциированный с него учёткой публичный ключ. Если подпись сходится — значит клиент тот за кого себя выдаёт. Дальше уже включается стандартный механизм с куками, тут просто особого выбора нет, хотя клиент конечно может подписывать каждое своё сообщение, но это дорого.

MrClon ★★★★★
()

где вариант «показывать писюн» ? Я возмущён!

darkenshvein ★★★★★
()
Ответ на: комментарий от oskar0609

Да, но у асимметрии есть киллер-фича: у тебя будет одна и та же печенька для всех сайтов, нет надобности её держать в тайне. При наличии некого публичного хранилища публичных же ключей (жел-но децентрализованного) можно будет вообще не регистрироваться на сайтах, а сразу представляться публичным ключом. Также можно сделать процедуру инвалидации ключа, которая сделает его недействительным и отрежет доступ сразу ко всем сайтам злоумышленнику, укравшему приватный ключ.

Binary ★★★★★
()
Последнее исправление: Binary (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.