Enumerate

Мнения (31)

Все эти хорошие люди уже прокомментировали запись. Поделитесь собственным мнением, расскажите, что вы думаете о поставленной проблеме, задаче, озвученных мыслях.

• Mischka

  01 марта 200811:48 Обычно, все же, уникальности добиваются с помощью имени пользователя. «Сообщение системы безопасности: пользователь с таким паролем уже существует!» И все. Можно заходить под его аккаунтом.

• Дин

  01 марта 200812:46 Увеличить длину требуемого пароля, как вариант.

• Dragon

  01 марта 200812:41 Аутентикация лишь по паролю - нихрена не безопасно.

• Дин

  01 марта 200812:45 Без аргументов не принимаю.

• Dragon

  03 марта 200811:43 Каких аргументов? Если у меня "пароль" 12345, я ошибся и написал qwerty, который является паролем другого юзера, я что, зайду под его именем?
  
  И еще. "Такой пароль уже существует" - спасибо, что сказали! Щас я его наберу!

• Дин

  03 марта 200811:53 На эти аргументы я уже ответил ниже и они нисколько не переубедили меня.

• Dragon

  03 марта 200812:04 Ну блин. Это просто глупо.
  Есть такая фигня - авторизация по сертификату. Там вообще ничего вводить не надо (в некоторых случаях).

• Дин

  03 марта 200812:17 Это не глупо, просто никогда не пробовали ни реализовывать, ни использовать.
  
  Авторизацию по сертификату я уже рассматривал как вариант. Пока безрезультатно.

• Dragon

  03 марта 200812:23 А не реализовывали потому, что это несекурно.
  Ты попробуй, там посмотрим.

• Дин

  03 марта 200812:24 Считают, что это небезопасно потому, что нереализовывали.

• Dragon

  03 марта 200812:29 А авторизацию только по имени пользователя не реализовывали тоже из-за этого?

• Дин

  03 марта 200812:34 Это уже выходит за рамки обсуждаемой темы и не может являться прямым аргументом несостоятельности предлагаемой системы.

• Dragon

  03 марта 200812:52 Мы академиеф не кончали, по-умному вот так говорить не обучены.

• Дин

  03 марта 200812:57 Вы институт кончали, молодой человек!

• Sannis

  05 марта 200802:06 В общем пришли к тому, что предложенный метод ограничен по применимости определённым кругом сервисов, где можно запретить короткие пароли, которые смогут совпадать. Т.е., насколько мне думается, такие плотоколы авторизации уже реализованы в соответсвтвующих приложениях.
  
  Это я к тому, что с этого и надо было начинать статью, или заканчивать, не было бы непонимания. Прочитав не подумаешь сразу, что описывается не совсем привычная для "обычного сёрфера" система. На форум или блог такую не особо можно ставить в общем :)
  
  Хотя всё равно не понимаю, как при такой простой схеме избежать взломов. Вероятность конечно маленькая будет при длмнных паролях, но вдруг всё-таки они совпадут? :)

• DnAp

  01 марта 200821:12 Незащищенность:
  Возможен прямой брут, тк 3 попытки это 3 попытки попасть в произвольный аккаунт, распределив атаку на бот сеть можно добится большего результата чем в классическом случае.
  В классическом случае мы можем отследить 3 неверных ввода для одного логина. А потом уже без картинки даже при смене ip не давать перебирать.
  Неудобность:
  Выдается уникальный длинный пароль который надо запомнить, а для среднестатестического пользователя это проблема.
  Различие прользователей на сайте должно быть по уникальному идентификатору(ник например), иначе смысла от регистрации нет.
  Бессмысленость:
  Как правило люди стараются пользоватся одинакомым ником на всех сайтах и параноидальность у них не западает. В этом случае поле ник уже будет заполнено браузером или сведется к 2 кликам мыши.
  Тоесть среднестатистический пользователь и не набирает логина, а зачастую и пароля, но это уже совсем другая история.
  
  ЗЫ
  Извиняюсь за граматность, чекспел в фф полетел.

• Дин

  01 марта 200821:34 Прямой брут будет идти довольно долго, особенно, если оставить пользователю всего три попытки перебора.
  
  Так при регистрации пользователь вводит ник, а при аутентификации — нет. Не надо путать два разных процесса.
  
  То же самое и тут, как ты говоришь, пользователь может нажать «запомнить пароль», так как данная опция есть во всех браузерах, и вообще не делать лишних телодвижений при повтороной аутентификации.
  
  Пользователю не выдаётся никаких паролей, он сам создаёт себе пароль. Во втором варианте это уже называется не пароль, а ключ, а сбрутить ключ становится абсолютно невозможным, так как создаётся он не по одному и даже не по двум параметрам (при обобщённом завышенном по сложности алгоритму).

• Sannis

  01 марта 200822:31 Не, вы видимо не понимаете друг друга.
  
  Во-первых, сложность пароля. Если пользователь будет его вводить сам, то как обеспечить его сложность или размер? Имхо, сообщение при регистрации "Ошибка: вы должны ввести пароль длиннее 30 символов" повергнет кого угодно в шок. Кроме того, предположу, что в базе будут всё равно хранится хеши паролей, а тогда частота совпадений не будет зависеть от пароля.
  
  Во-вторых, брут. При паре логин-пароль что происход-то: если для конкретного логина было слишком много неверных попыток, то он блокируется. Если же при аутентификации вводится только пароль, то системе остаётся фиксировать не попытка взлома конкретного логина, а попытки взлома с конкретной машины взломщика. Получается что в перовм случае для продолжения подбора пароля нужно было ждать, то теперь злоумышленнику будет достаточно сменить компьютер, что на данный момент довольно просто решается.
  
  Где мы не поминаем друг друга?)

• Дин

  01 марта 200822:46 Большинство повергнет, да, но не всех и не на всех сервисах (делаем сальдо сервисов по их «серьёзности». Хотя кто знает пользователей...
  
  «Достаточно сменить компьютер» — звучит.
  
  Нет, вы меня не понимаете... ;)

• Rebe

  15 марта 200807:48 Держите меня семеро!
  И сколько ты знаешь сервисов, где пользователи согласятся вводить >30 значные пароли? Пентагоновские?
  Да еще и в у нас, когда после бурно проведенной субботы на утро и 4 значный пароль вспомнить никак... Но это не про тебя, канешн, ты у нас положительный со всех строн и пароли по 30 символов запоминаешь "с лету".

• Дин

  15 марта 200809:33 Если пароль несёт смысловую нагрузку, то запомнить его не составит большого труда. Если же нет — то, конечно же, запомнить его будет довольно трудно.
  
  Всё упирается в то, что дело тут не в длине пароля.

• Rebe

  15 марта 200817:47 Осмысленный пароль:-) И даже без логина. Жжошь! Пешы истчо!
  Кстати, у тебя сейчас админский пароль какой? Вова или год твоего рождения?

• Дин

  15 марта 200817:54 У тебя странная ассоциация с понятием «осмысленный пароль».

• Rebe

  15 марта 200823:12 А! Я знаю! Значит у тя пароль, как в Лабиринте Отражений (про абизян;-)) Ну, да. Тады ладно. С такми паролем тя никто не взломает.
  А как быть другим пользователям? Ведь, если не один ты читал ЛО, то как предлагаешь разделять пользователей с одним паролем (да и вообще, почему паролем? С тем же успехом это можно и логином назвать)? Или ты будешь автоматом при реге выдавать случайную строку из 16 символов для запоминания? Не надумано ли?
  
  З.Ы. Но самое обидное знаешь в чем? За более чем 40 летнюю историю ВЧ, никому и в голову не пришла такая гениальная мысля. И траву курили, и вотку бухали, даже натуральные психи были, но ни один не догадался. Теперь вопрос - ты сам то че принял перед этим озарением? Поделись с ближними, мож мы тоже че придумаем:-)

• Дин

  16 марта 200810:27 Лабиринт Отражений, увольте, не читал. «Логин» — это несколько другое. «Логин» будет существовать независимо от принципа аутентификации.
  
  А вот острить не надо.

• Неуловимый Б

  16 марта 200801:28 +1

• Fiat88

  08 марта 200800:26 А если...
  Сделать привязку к одной из IM-служб? =)
  Ну или хотя бы как нибудь скрестить?
  Вот допустим OpenID (я правда подробно в него ещё не вникал) как работает?
  Вводишь свой индификатор, твой сервак опрашивает сервер за которым закреплён OpenID, ты подтверждаешь что хочешь зарегистрироваться(залогиниться) на этом сайте.
  А если допустим на сайт повесить бота, ты вводишь свой UIN(JID), бот шлёт мессагу типа: 'Вы уверены что хотите зарегаться/войти на этот сайт?', ну и Юзер подтвердит...
  И считайте, что первоначальный профиль на сайте будет уже заполнен некой информацией из vCard допустим...
  Идея может и не очень. Не все пользуются Аськой или Джаббером...
  Но если хорошо всё продумать...

• Дин

  08 марта 200800:46 Неплохо, очень даже неплохо звучит!

• zerkms

  10 марта 200806:48 Предлагаю пойти дальше и сделать аутентификацию по файлу :-)
  
  ps: непонятно чем мой красивый ник из 6 букв не понравился валидатору :-(

• Дин

  10 марта 200811:35 Система валидации иногда кешируется, так как я её часто обновляю.

• qqqqqqq

  18 марта 200816:30 Совсем не в тему. просто прочитал тут и мысл проснулся. Я хочу клавиатуру с 25 дополнительными кнопками . под каждой место для записи как на телефонном аппарате для номера. туда записывается для чего пароль. а сами пароли аппаратно запоминаются клавой. а чтобы оградить физически саму клаву от сослуживцев- сбоку порт точмемори. процедура такая- заходишь на сайт-прикладываешь точмемори-жмёшь на кнопку логинсайт1-жмёшь на кнопку пасссайт1 - и пароль лезет сам из клавы. и запоминать ничего не надо.

Я тоже знаю!

Вы можете тоже написать собственный комментарий. Если хотите к кому-то обратиться, используйте символ @, после которого не забудьте написать имя того, к кому обращаетесь. Не забывайте про существование XHTML-элементов, с помощью которых вы можете оформить ваш комментарий как вам угодно. И, да: ведите себя достойно, вы же не роботы, правда? Если вам интересно, можете подписаться на комментарии по RSS.