Xpoint
   [напомнить пароль]

Авторизация пользователей на сайте через файл-ключ

Метки: [без меток]
2010-02-03 16:30:58 [обр] Павел Карасёв(0/14)[досье]

Я заранее извиняюсь, что не совсем в тему пишу, но мне важно мнение разработчиков, коим и я сам являюсь об идее авторизации пользователей на сайте через файл-ключ. Просто если не здесь, то где же я могу поделиться своей идеей..? ))

Это просто, также как иметь ключ от двери в кармане штанов, вместо того чтобы помнить в голове логин и пароль, которые нужно ещё набирать на клавиатуре и не ошибиться в регистре или раскладке клавиатуры...

Идея в том, чтобы логин и пароль пользователя хранился в одном файл-ключе. Тогда, чтобы авторизоваться на сайте пользователь должен предоставить сайту свой файл-ключ, в котором содержаться его авторизационные данные.
Просто попробуйте представить, как это может выглядеть:

  • Вы помните, что регистрировались на определенном сайте, значит у вас есть к нему файл-ключ;
  • У вас на компьютере есть секретная папочка с файл-ключами от сайтов
    • помнить нужно только где эта папка находится;
    • вы можете переименовывать файлы ключей так как вам удобно, главное ведь — это информация внутри файла;
  • Или вы записали один файл-ключ на флешку, и можете предоставить его для авторизации, только если флешка подключена к компьютеру;
  • Больше не нужно мучительно перебирать в голове свои электронные ящики, которые вы могли указать при регистрации на сайте, у вас есть файл-ключ от этого сайта, в котором все данные сохранены и вы сами можете освежить свою память заглянув туда и посмотрев свои авторизационные данные;
  • Вашей бабушке теперь легко объяснить, что для входа на её страничку нужно нажать вот эту кнопочку и выбрать вот этот файл! Моя дорогая бабушка, это также как ваш ключ от входной двери, только в виде файла для входа на сайт.

Конечно такая идиллия возможна, если на самом сайте предусмотрена возможность входа по файл-ключу.
Я призываю разработчиков использовать эту идею, как благо для своих любимых пользователей.
Ведь каждый разработчик тоже является пользователем, когда пользуется другими сайтами, ну или наверняка у каждого есть своя любимая бабушка :-)
В сущности всё просто:

  • Мы как и раньше просим пользователя зарегистрироваться;
  • Затем присылаем пользователю письмо, на указный ящик, а в приложение кладём файл-ключ, для авторизации на сайте;
  • Причём, пароль мы генерируем сами, любой сложности и длины! Или мы можем ввести произвольное количество авторизационных параметров, чтобы их комбинации было не реально подобрать. По крайней мере, теперь хотя бы паролей «123» можно гарантировано избежать;
  • А ещё появляется магия:
    • Нужно заполнить только одно поле вместо двух;
    • И войти на сайт теперь можно не используя клавиатуру вообще!

Ну, и раз все так просто, то вы прямо сейчас можете проверить как это работает.

Специально для примера я сделал myfilekeys.net
Попробуйте!

зы. я сам уже две недели пользуюсь, магия действительно работает ))

спустя 45 минут [обр] Филипп Ткачев(6/112)[досье]
Магии не бывает. Дух спама витает...
спустя 13 минут [обр] Давид Мзареулян(7/1003)[досье]

Поздравляю, Вы придумали клиентские SSL-сертификаты.

Ну и спам конечно, да…

спустя 3 часа 20 минут [обр] Павел Карасёв(0/14)[досье]

Филипп Ткачев[досье]
Давид Мзареулян[досье]
Не понял про спам... поясните?

Я не притендую на новые открытия в криптографии или хитрые встречные ключи и т.д.
Я лишь предлагаю иной подход к авторизации, при этом степень защиты повышается сама собой, только за счёт новой конструкции авторизации, если можно так сказать. Но главное получается на уровень быстрее и удобней:

  1. нужно заполнить только одно поле, вместо двух, как обычно
  2. вам не нужно делать копи/паст, чтобы заполнять поля. Вообще не нужно дотрагиваться до клавиатуры, все делается только мышкой, вальяжно откинувшись на спинку кресла ))

Мне кажется наиболее корректное сравнение получается с аяксом! Т.е. до аякса все технологии уже имелись, просто в подход аякса, какбы объединил уже существующие технологии в единую законченную концепцию.
Тоже самое и у меня, я не предлагаю ничего нового! Просто новый подход к вводу данных для авторизации!
Уделите минутку времени и попробуйте, на приведенной мной страничке myfilekeys.net ничего кроме авторизации нету. Я её сделал, только для демонстрации, чтобы слова подкрепить делом, так сказать. У нас это обычно не практикуется: типа один придумал, пусть другие используют... я же это сделал для себя и уже две недели использую.
Планирую во всех своих проектах, этот подход внедрять.
По началу конечно в связке с привычных входом.

спустя 9 минут [обр] Алексей Севрюков(6/1280)[досье]

Павел Карасёв[досье] Для магии существуют куда более надежные средства - менеджеры паролей. Ваш файл ключ я могу украсть и использовать, а с базой менеджера паролей Вы особо ничего не сделаете, шифрование + длинный мастер пароль.

Более того, файл менеджер:

  1. Можно использовать не только для хранения паролей от сайтов, а еще и для многих других вещей.
  2. Они, как правило, интегрируются в браузер, а значит нажав одну кнопку и набрав мастер пароль я попаду в закрытую область еще проще.
  3. За счет этой интеграции я могу логиниться не только по логину и паролю, а еще автоматически заполнять и другие поля. Более того, я могу эти поля поменять в любой момент через удобный интерфейс.
  4. Автоматическое обновление паролей (при вводе нового пароля для того же логина)
  5. Возможность хранения нескольких аккаунтов для одного сайта. Выбор реализуется простым контекстным меню, с выбором логина (строку можно менять на свое усмотриение, можно писать как "vasya@matil.ru", а можно и "Васин ящик".

Так что, простите конечно, но идея Ваша врядли будет актуальной:

  1. Дополнительные действия - нужно нажать кнопку обзор, найти файл, потом его загрузить. Слишком много кликов.
  2. Неудобная структура хранения
  3. Отсутствие шифрования
  4. Крайне неудобное редактирование

P.S. Продолжая развивать тему Вы точно так же дойдете до менеджера паролей. Вашу же текущую схему можно признать абсолютно нерабочей.

спустя 3 часа 2 минуты [обр] Thirteensmay(0/157)[досье]
Павел Карасёв[досье] В принципе идея правильная, но вы не первый, во многом это cookies, но + междоменность, сейчас развивается идея более менее полноценного клиентского "файлового" хранилища, по последней информации перед использованием файла пользователем он должен его просто явно указать, браузер будет программно выдавать запрос на указание локального файла, если не опустят то это оно.
спустя 10 часов [обр] Филипп Ткачев(6/112)[досье]
Первое, что пришло мне в голову, при прочтении поста, что это какой-то спам.
А если честно, мне по духу ближе OpenID. Хотя это совсем другая история...
спустя 5 минут [обр] Павел Карасёв(0/14)[досье]
Для магии существуют куда более надежные средства - менеджеры паролей. Ваш файл ключ я могу украсть и использовать, а с базой менеджера паролей Вы особо ничего не сделаете, шифрование + длинный мастер пароль.

Спасибо рассказ о менеджере паролей, я о таком не знал. Обязательно почитаю в ближайшее время об этих программах.

Заметьте, я не говорил об безусловной надёжности идеи авторизации через файл-ключ, я лишь говорю об некоторой более высокой надёжности, которая появляется сама собой, только за счёт подхода.
Здесь можно привести удачный пример распространённой регистрации на сайтах, когда сам сайт создаёт вам пароль, который отправляет на элепочту. Как правило, присланный пароль совершенно не удобочитаем (но он считается более надёжным, чем самостоятельно придуманный пользером) и его приходится копи/пастить, причём делать это каждый раз при авторизации (кстати захват пробельных симловол при выделении пароля для копирования – тоже нюанс). Я развиваю именно эту идею!

Т.е. я говорю, если для обычного входа на сайт мне нужно:

  1. придумать логин (а мой любимый логин может быть уже занят и придётся выдумывать и запоминать ещё один)
  2. указать свою почту, для получения надёжно сгенерированного пароля
  3. затем пойти с себе на почту, скопировать присланный пароль
  4. после, пойти на страничку для входа и ввести свой логин и присланный пароль

эта схема авторизации работает здесь на xpoint.ru, если я не ошибаюсь ))

А я предлагаю развить этот подход и упростить его. Потому что вместо авторизационных данных: логина и сгенерированного пароля (присланного пользеру), которые нужно будет аккуратно вбивать ручками в соответствующие поля. Я предлагаю присылать пользеру сразу файл-ключ, где все необходимые данные уже набраны в нужном порядке и остаётся только эти данные передать сайту обратно для авторизации, причём не по отдельности (логин, пароль), а скопом — через файл-ключ!

Это всё равно как если бы взять логин и пароль пользователя, склеить их в единую ключ-строчку, и дать пользеру одно поле для ввода этой ключ-строчки. Только ещё лучше – не нужно морочиться с копи/пастом, т.е. ввести эту ключ-строчку через файл-ключ, путем загрузки на сайт.
.
.

Так что, простите конечно, но идея Ваша врядли будет актуальной:
  1. Дополнительные действия - нужно нажать кнопку обзор, найти файл, потом его загрузить. Слишком много кликов.
  2. Неудобная структура хранения
  3. Отсутствие шифрования
  4. Крайне неудобное редактирование
  1. Да, количество кликов увеличивается, но это смотря как далеко вы храните свой файл-ключ. А если вы только, что зарегистрировались, то файл-ключ можно сохранить на рабочем столе, а затем перенести его куда угодно. В том числе и в специальное хранилище, доступ к которому может осуществлятся по дополнительному паролю. Или на флешку, которую вы вообще из компьютера вытащите, после авторизации! ))
  2. Не совсем понял про неудобство хранения, поясните?
  3. Шифрование тут не причём и может использоваться дополнительно, как я показал в первом пункте.
  4. Про редактирование тоже не понял вашу мысль, если можно поясните?

Причём, переводить существующих пользователей на новую авторизацию не составит никаких проблем!

Представим, что xpoint.ru решил воспользоваться моим подходом )) Как в этом случае действовал бы я.

  1. В личном кабинете сделать ссылку: перейти на авторизацию через файл-ключ
  2. Предупреждение: ваш пароль для входа измениться на новый, потому что все пароли у нас в базе хранятся в зашифрованном виде, мы не можем записать ваш текущий пароль в файл-ключ, поскольку он нам не известен.
  3. Создать форму на сайте для приёма файл ключей, ограничить размер присылаемых файлов.
  4. Отправить пользеру письмо, тоже самое письмо, что и при восстановлении пароля, только в дополнение положить файл ключ для авторизации, и объяснить в письме что в приложении находиться файл-ключ через который можно авторизоваться на сайте вот по этой ссылке.
спустя 6 минут [обр] Павел Карасёв(0/14)[досье]
Собственно именно так я и сделал на http://myfilekeys.net для демонстрации ))
спустя 4 часа 22 минуты [обр] Алексей Севрюков(6/1280)[досье]

Павел Карасёв[досье]

  1. Неудобство хранения - одна пара логин/пароль -  один файл. У меня их, например, несколько сотен.
  2. Как же не причем? Нет шифрования - значит мне достаточно стянуть файлик у пользователя и все, его данные доступа у меня. Даже если Вы его зашифруете, я просто смогу им воспользоваться для авторизации. Ведь никакой дополнительный пароль не требуется.
  3. Мысль банальная, желание поменять пароль, например. Сколько нужно сделать махинаций чтобы его сменить? По вашему пути два варианта:
    1. Через Ваш интерфейс менять пароль, потом сохранять отправленный серверов файлов вместо старого.
    2. Искать файл, открывать в блокноте и править руками.

оба варианта неудобные.

Вы почитайте про менеджеры паролей, узнаете много нового. Перечисленные мною удобства далеко не все, и в каждой программе есть свои "вкусняшки".

В том, что Вы предлагаете, какой то смысл конечно есть, но я это решение не буду использовать, по крайней мере не появится защита от простого копирования этих самых файлов, с последующей кражей паролей или логином под ними (в случае если они зашифрованы). Можете называть меня параноиком.

спустя 3 часа 1 минуту [обр] Dennis F. Latypoff aka funky_dennis(0/78)[досье]
тема, конечно, специфична только для PHP.
спустя 3 часа 17 минут [обр] Алексей Севрюков(6/1280)[досье]
М Перенесено из форума "Программирование::PHP"
спустя 10 часов [обр] Прокаев2(0/35)[досье]
Павел Карасёв[досье]http://ru.wikipedia.org/wiki/OpenID еще проще для пользователя
а что об этом думают параноики ?
спустя 2 часа 16 минут [обр] Павел Карасёв(0/14)[досье]

Алексей Севрюков[досье]

2.
Я, как раз рассчитывал, что с файл-ключами будет удобней как раз людям с подобной историей. У самого похожая ситуация, но конечно не 100 акаунтов... ))

Уверен, что в вашем случае действительно удобней использовать менеджер паролей с его интеграцией в браузер и такими богатыми дополнительными возможностями. Может ссылку дадите на собственный менеджер паролей? По-моему будет очень в тему.

Однако для обычного офисного сотрудника, который имеет в пределах 5-10 акаутнов на разных сайтах, установка дополнительно менеджера паролей – это лишние грабли, от маньяков прогеров ))

Кстати, как в менеджере паролей дело обстоит с переносимостью на разные компьютеры?
Я например, пользую домашний и рабочий компьютер, да ещё с телефона постоянно чего-нибудь проверяю.
И вот как раз при таком разнообразии точек доступа, файл-ключ работает очень эффективно, особенно с телефона, где нет лёгкой возможности пользоваться копи/пастом. Сам вот уже вторую неделю проверяю это на себе ))

3.
Вы знаете с шифрованием, мне кажется все не так просто как и с соблюдением предосторожности вообще... Дело в том, что здесь сильно влияет т.н. человеческих фактор и психология.
Мне думается, что хранить данные в открытом виде в файл-ключе, это правильно, как бы это парадоксально не казалось. Потому что (а для обычного офисного сотрудника особенно) здесь есть фактор ответственности самого пользователя. Т.е. сам пользователь должен знать, что его файл-ключ, это табу и его нужно всячески прятать. На сколько далеко прятать, это уже решает каждый сам для себя.
На эту тему очень интересный диалог пользера и прогера вот здесь http://avva.livejournal.com/2179569.html
Особенно познавательно посмотреть комментарии и прикинуть каков процент за прогера, и каков за пользера ))

Идеализированный вариант пользования файл-ключами мне видится таким:

  1. Скопировать файл-ключ из письма к себе на комп
  2. Произвести авторизацию на сайте
  3. Удалить свой файл-ключ со своего компа, т.е. чтобы его вообще нигде на компе не осталось )) Даже не смотря на большое кол-во описанных действий (читай кликов), все это делается очень быстро с помощью мышки.

А для обычных офисных сотрудников, это вообще не проблема, когда нужно затратить немного больше времени на авторизацию. Наоборот, из моей практики, офисные люди, предпочитают все делать мышкой, не дотрагиваясь до клавиатуры. Мне кажется это очень важно!

4.
Желание поменять пароль или его восстановить, происходит ровно также как я уже написал в фантазии перехода xpoint.ru на авторизацию через файл-ключи. Строго говоря – это и не переход вовсе, это просто дополнительная входная дверь на сайт.
Относительно пунктов а) и б) то моя страничка тут совсем не причём... ))
Это всё происходит внутри сайта, который предоставляет авторизацию по файл-ключам. Т.е. сам сайт меняет пользеру пароль и присылает новое письмо с новым файл-ключом.
Мой пример реализации, служит только для примера, не более того! Чтобы можно было наглядно пощупать файл-ключи на практике.

В том, что Вы предлагаете, какой то смысл конечно есть, но я это решение не буду использовать, по крайней мере не появится защита от простого копирования этих самых файлов, с последующей кражей паролей или логином под ними (в случае если они зашифрованы). Можете называть меня параноиком.

Здесь я приведу сразу два примера из реальной жизни, где идея файл-ключа используется, как раз в том виде как вы написали! ))

  1. Если файл зашифрован. Пример http://habrahabr.ru/register/ там он используется в контексте инвайта (в виде картинки), как я понял.
  2. Если файл-ключ зашифрован + закрыт дополнительным паролем. Пример http://www.bifit.com/ru/decisions/internet-banking/index.html это ребята серьёзно занимаются разработкой ява-аплетов для банков. Так случилось, что в моём банке я пользуюсь их решением. Но они пошли ещё дальше, они выпустили отдельную флешку для своих файл-ключей http://ru.wikipedia.org/wiki/EToken

т.е. авторизация возможна только при наличии этой флешки. Кстати говоря, крайне не удобная система, хотя конечно для банковской сферы лучше наверное перебдить, чем недобдить... ))

спустя 1 минуту [обр] Павел Карасёв(0/14)[досье]
Прокаев2[досье]
Вы знаете OpenID — это всё же несколько иной подход. К тому же, за вами следит большой брат в этом случае не вольно ))
спустя 14 минут [обр] Василий Свиридов(3/175)[досье]
Павел Карасёв[досье]Поставьте свой OpenID провайдер, и никто кроме вас за вами смотреть не будет.
Да и упомянутая аутентикация по сертификату всяко полезнее будет, т.к. ей можно и почту подписывать, и файлы шифровать, и отозвать, если скомпроментировали...
спустя 37 секунд [обр] Василий Свиридов(3/175)[досье]
В смысле шифровать самим сертификатом, неправильно предложение построил.
спустя 27 минут [обр] Павел Карасёв(0/14)[досье]

Василий Свиридов[досье]
Очевидно, что мой подход развивает уже существующую идею генерации пароля сайтом, чтобы пользователь не придумывал пароль "123", а заодно проверяет почту пользователя на актуальность.
Я предлагаю, если можно так сказать, надстройку над этим распространённым подходом. И показываю его удобства. Не более того.

Я обращаюсь к создателям сайтов и рассказываю о новой реализации авторизации, чтобы прогеры, делали это для своих любимых пользователей или чтобы своей любимой бабушке было легче объяснить как войти на сайт используя файл-ключ.

Вы же предлагаете, как я понял, рассказывать пользерам о том как пользоваться OpenID (или не дай бог ставить собственный сервер) или SSL-сертификаты.
Согласитесь ваша бабушка будет принято удивлена, когда не услышит от вас о существовании этих страшных аббревиатур?

спустя 1 минуту [обр] Алексей Севрюков(6/1280)[досье]
  1. Собственного менеджера паролей у меня нет, я использую платный сторонний продукт 1Password. Одно но - он только под Mac, хотя уверен что под также есть достойные приложения.

 С переносимость конкретно в 1Password дела обстоят так: синхронизация с iPhone встроенная, по Wi-Fi. С синхронизацией нескольких компьютеров - сложнее, необходимо руками копировать зашифрованную базу. Обещают поправить это и скорее всего будет синхронизация через MobileMe, т.е. автоматически через интернет, на неограниченное количество компьютеров подключенных к одной учетной записи. И тут правда есть минусы, сервис платный.

Устал с Вам спорить по поводу эффективности. Мне чтобы ввести логин нужно сделать 3 действия - нажать кнопку 1P в браузере, в контекстном меню выбрать нужный аккаунт для текущего сайта, ввести мастер пароль, дальше менеджер автоматически заполнит нужные поля и сам же отправит форму (т.е. даже кнопку ВХОД нажимать не надо). Ввод мастер пароля у меня работает следующим образом - после ввода разблокируется связка ключей и во все последующие разы вводить мастер пароль не нужно. Заблокировать связку я могу руками, либо настроить автоматическую блокировку, либо включить параноидальный режим запроса мастер пароля при каждом логине.

  1. Вы снова заставляете пользоваться лишний раз думать и напрягаться. Да не хочу я никуда ничего прятать. У меня лежит база со всеми паролями по заранее известному адресу, берите, пользуйтесь на здоровье. Только толку от нее будет мало.

Про мышку Вы вообще зря упомянули, при желании мышкой можно и символы вводить, и конечно же пароли в менеджере тоже легко вводятся мышкой. Про ввод мастер пароля же я писал выше, я могу его ввести один раз руками утром и целый день логиниться без его использования.

Зачем вообще копировать файл ключ из почты? Зачем это? Намного проще получить на почту ссылку и просто на нее кликнуть в этой же почте. Избавляемся от 4-5 лишних кликов (это минимум), и от проблем с запоминанием куда же сохранился этот файл ключ.

  1. Как я и описал в пункте а, просто у Вас это не реализовано пока.

P.S. Я не вижу смысла продолжать беседу. Свои мысли я высказал, с Вашим вариантом я не согласен и Вы меня не переубедите. Все остальное - из пустого в порожнее.

спустя 5 минут [обр] Павел Карасёв(0/14)[досье]
Алексей Севрюков[досье]
Спасибо, за ваше мнение!
спустя 13 часов [обр] Василий Свиридов(3/175)[досье]

Если у бабушки почта на яндексе и она пользуется OpenID провайдером яндекса - ей ещё проще. И никакой паранои, т.к. яндекс про неё и так знает достаточно.

Рассказ о том как пользоваться OpenId:

Введите свою почту от яндекса или лайвджорнала.

Рассказ окончен. Даже бабушки могут усвоить такое количество материала.

Свой OpenId провайдер я предлагал ставить только параноикам, которые не хотят передавать свои данные третьей стороне. Но обычно подобная параноя развивается у людей, технологически подкованных, так что для них все перечисленные вами проблемы и затруднения являются сильно надуманными.

Если ваш провайдер сертификата вам выдал этот сертификат и он установлен в браузер - на этом "пользование" заканчивается, т.к. сайт автоматически получит этот сертификат от браузера, никаких лишних телодвижений.

При использовании сертификатов весь траффик между вами и сервером будет шифроваться, что ваш файл-ключ в данный момент не предлагает, да и предлагать не будет, т.к. это просто набор случайных битов. И скомпроментировать его достаточно легко. Не защищает от man-in-the-middle, не защищает от replay attack. Вобщем - неудачное решение, на мой взгляд.

спустя 20 часов [обр] Павел Карасёв(0/14)[досье]

Василий Свиридов[досье]
Вы знаете, во многом я с вами соглашусь. Однако я искренне полагаю, что подход к авторизации через OpenID и вариации различных способов авторизации через сертификаты – это просто другие идеи авторизации.
Я не готов отвергать их или искать безусловные отрицательные стороны этих подходов в рамках этой темы. Наоборот, думаю, что в разных ситуациях уместно выбирать разные авторизационные модели, как наиболее подходящие для конкретных задач или складывающейся ситуации.

Давайте, для удобства, классифицируем авторизацию на xpoint.ru как авторизацию по выданному паролю, чтобы можно было коротко сослаться на эту идею, и сразу было понятно, о чем идет речь. Тогда предлагаемое мной расширение можно назвать авторизацией по выданному файл-ключу, и будем иметь ввиду, что это лишь расширение идеи авторизации по выданному паролю, которая очень сильно распространена в сети, а также проверена временем.

Очевидно, что поскольку я предложил идею авторизации по файл-ключу, то я являюсь её сторонником, а также готов защищать её в силу своих знаний и опыта. Однако, с моей стороны было бы глупо утверждать, что этот способ самый-самый, а другие нужно выбросить на помойку… Хотя бы потому, что моя идея нова и требует как минимум теоретической проверки, опирающейся не только на мой личный опыт, но и ваш опыт и знания, уважаемые коллеги!
Кроме этого нужно обсудить практический опыт эксплуатации идеи авторизации по файл-ключу, потому что практика обычно расставляет все на свои места: любые теоретические фантазии. Собственно я и предлагаю разработчикам заинтересоваться моей идеей и попробовать её в деле, особенно тем, которые у себя в проектах используют авторизацию по присланному паролю, потому что добавить файл ключ в регистрационное письмо и сделать приёмную форму, это займет не много времени. Однако поможет получить реальный отклик пользователей, а также, возможные негативные нюансы, которые потребуют нового осмысления.

Поэтому, давайте в этой теме поступим так – здесь будем обсуждать мою идею авторизации по файл-ключу, а также авторизацию по присланному паролю: искать подводные камни и возможные способы работы с этими идеями.

Тогда как для сравнения разных идей авторизации можно создать отдельную тему, где можно попытаться суммировать различные положительные и отрицательные стороны разных идей авторизации, а также условий их применения. Думаю, так будет меньше каши в обсуждении, в данной теме.

спустя 1 день 8 часов [обр] ibnteo[досье]

Очень не удобный способ авторизации, на чужом компьютере вообще не войти на такой сайт, да и перепутать файлы легко.

Лучше всего плагин для браузера, который формирует хэш пароль из мастер пароля (один-два на все сайты), и доменного имени сайта. Программ такого рода полно, плюс они дают возможность использовать эту систему с любого компьютера, обычно у них есть сайт, где есть страница, формирующая пароль прямо на javascript (т.е. нет трафика с вашим мастер паролем).

спустя 3 часа 30 минут [обр] Филипп Ткачев(6/112)[досье]
А если использовать Weave Sync, то проблема вообще снимается. И дома, и на работе твое всегда с тобой.
спустя 1 час 37 минут [обр] Павел Карасёв(0/14)[досье]

Забавно, что практически все упоминаемые минусы или альтернативы авторизации, можно в равной степени отнести и к авторизации по выданному паролю. Ну, т.е. на xpoint.ru авторизация, явно не надёжная и совершенно не приемлемая, судя по высказываниям... )) Тем не менее все мы ею легко пользуемся, и даже не обращаем внимание, и в принципе никаких таких краж паролей и жёстких взламываний вроде не наблюдается ))

Как бы то ни было, но я вижу один существенный плюс в авторизации по выданному файл-ключу. Собственно ради чего все и затевалось: авторизационные данные можно передать обратно сайту не используя клавиатуру (без сопутствующих проблем: копи/паст, раскладка, регистр).

спустя 8 минут [обр] Павел Карасёв(0/14)[досье]
ibnteo[досье]
А что касается "перепутать файлы легко", вот для проверки этого предположения и нужен практический опыт использования файл-ключей на разных сайтах. Как раз для того чтобы подтвердить или опровергнуть это предположение.
спустя 11 дней [обр] Павел Карасёв(0/14)[досье]

Вышла рецензия на файл-ключи от Артема Горбунова. Я её сюда перепечатаю, чтобы и ответить и обсуждение собрать в одном месте.

Павел!

Не обижайтесь, но я нахожу вашу идею слабой.

В качестве шаблона для своего изобретения вы используете другое изобретение — механический ключ от замка, который далёк от идеала.

Ключ легко потерять или забыть. «Внучок, приезжай в Бибирево, я флешку к Одноклассникам потеряла.— Бабушка, посмотри на комоде».

Задача ключа и замка — ограничить доступ к объекту всем, кроме владельца. Допущение в том, что ключом всегда владеет хозяин. Но мы знаем из реальной жизни, что допущение очень зыбкое.

Идеальный ключ всегда с хозяином и им нельзя завладеть. То есть это сам хозяин. Пароль — шаг в сторону идеала, но его можно забыть или выпытать. Сетчатку и отпечатки пальцев наверняка можно подделать или отделить от хозяина. Остаётся, наверно, регистрировать мозговые волны :-)

Хорошее решение аутентификации в вебе предлагает Аза Раскин (сын Джефа Раскина). Твоё «я» должно жить прямо в браузере, а не на каждом сайте. И автоматически распространяться на все твои личные устройства.

Уважаемый, Артём!

Я нисколько не обижаюсь, это было бы глупо и неадекватно с моей стороны, чесслово ))
К тому же, я бы не назвал это своей идеей – это скорее моё открытие, потому что, как вы верно заметили, идея замка и ключа уходит в века, а я лишь пытаюсь использовать в электронном мире, то что мы используем в мире физическом.

Я полностью разделяю ваше мнение относительно слабой надёжности, но предлагая авторизацию по файл-ключу я имею ввиду что:

  1. Любой ключ можно подделать, и он не надёжен, особенно перед тем, кто его хочет добыть не законно;
  2. Идеальный ключ не возможен по определению, в этом нужно честно признаться, хотя многие пытаются снова и снова, придумать что-то позаковыристей (отпечатки, сетчатка, мозговые волны и т.д.);
  3. Электронный мир, казалось бы, пошёл своим путём: придумал логин и пароль. Однако это было сделано по необходимости: связи с физическим миром не было;
  4. Я предлагаю сделать мостик между физическим и электронным миром, т.е. перенести обычные ключи с замками, на электронный манер: файл-ключи с приёмными формами;
  5. Мыслить физическими понятиями гораздо легче: работает абстрактная, зрительная, и ассоциативная память. В отличии от простого логина с паролем, когда работает только прямая память (не знаю как её назвать).

Ваш пример с биберево – это как раз то на что я рассчитывал! Именно для людей не особо подкованных в электронном смысле. Мостик между физическим и электронным миром через ассоциацию ключ-замок, может открыть дорогу в электронный мир, где в принципе все тоже самое, только на свой электронный манер.

Короче, я предлагаю своим решением, не изменять мир, а наоборот: электронный мир подстраивать под мир физический. Ибо нет тока, нет и электричества. А значит ключ с замком никуда не денутся, хотя все мы знаем что это не очень надёжно ))

спустя 6 месяцев [обр] SNiP[досье]
По-моему идея вообще никакая. То есть если мне вдруг понадобится доступ к какому-либо сервису, а рядом нет моего ноутбука, флешки, я не могу авторизоваться на сервисе из интернет кафе или воспользовавшись любым чужим устройством (ноутбуком, смартфоном, планшетом).
спустя 14 часов [обр] Павел Карасёв(0/14)[досье]

SNiP[досье], к сожалению из ваших слов я не понял воспользовались ли вы моим примером реализации myfilekeys.net, который в полной мере показывает, что именно я вкладываю в идею. Однако, могу вам заметить, что вы же не жалуетесь на изобретателя ключа, когда, например, обнаружили его отсутствие подойдя к своему автомобилю ;)

Процесс авторизации через файл-ключ занимает гораздо меньше времени при пользовании ежедневными сайтами (где истекает сессия) + не требует участия клавиатуры. Я ежедневно пользуюсь файл-ключами на своих сайтах и меня уже немного начинает напрягать обычная авторизация с заполнением полей...

спустя 6 дней [обр] Иван Жуков(0/2)[досье]
А что, мне понравилось.
Почему такой способ никто раньше не использовал?
спустя 11 часов [обр] Павел Карасёв(0/14)[досье]
Иван Жуков[досье] может все ждали пока я про этот способ напишу ;)
Спасибо за поддержку.
спустя 1 час 15 минут [обр] Иван Жуков(0/2)[досье]
Можно на habrahabr.ru опубликовать.
Там любят обсуждать такие вещи.
Если нету регистрации, то сначала
опубликовать в песочнице
habrahabr.ru/sandbox/ppg/
спустя 10 часов [обр] Филипп Ткачев(6/112)[досье]
Попробуйте как со своей супер авторизацей поработать с мобильного телефона, с OperaMini 4? Таких телефонов предостаточно. А кроме них еще достаточно подобных устройств неподдерживающих аплоад файлов.
спустя 1 час 11 минут [обр] Павел Карасёв(0/14)[досье]

Иван Жуков[досье] Я там публиковал эту тему в феврале, но из песочницы она не вылезла ))

Филипп Ткачев[досье] У меня нокия 5800 + Опера Мобиле, так вот на телефоне мне файл-ключами пользоваться как раз удобней всего, т.к. копи/пастить пароли не нужно. К тому же я предлагаю пользоваться файл-ключами параллельно с авторизацией по выданному паролю.
Радикальный переход только на файл-ключи, по-моему не оправдан, как раз в силу того, что существуют разные точки доступа на сайт (инет кафе, комп у друга, моб. телефон и др.)

спустя 4 часа 56 минут [обр] Филипп Ткачев(6/112)[досье]
Nokia 6260, ни о каких файл-ключах речи быть не может. А вот форма с обычным POST запросом работает повсюду.
спустя 27 минут [обр] Павел Карасёв(0/14)[досье]

Филипп Ткачев[досье] Из ваших слов я понял, что вы рассматриваете радикальную замену логина с паролем, на авторизацию только через файл-ключ. Так ведь я же этого и не предлагаю...
Согласен с вами, что файл-ключ не может полностью заменить собой обычный ввод логина с паролем, в некоторых ситуациях. Например, в силу ограничений разных браузеров на телефонах.

Вместо этого я предлагаю разработчикам использовать файл-ключи совместно с обычным вводом пароля, т.к. это просто удобно и не требует особых изменений программной части сайта. Нужно лишь положить в приложение к регистрационному письму файл-ключ и добавить <input type="file" name="keyfile" /> в авторизационную форму (распарсить содержимое файл-ключа - тривиальная задача). Делов то? ))

спустя 23 дня [обр] 30-ый(0/584)[досье]
Я вот читаю, читаю и никак не могу понять. А чем уже имеющиеся в нашем распоряжении клиентские сертификаты принципиально отличаются от изложенного предложения с файлами. Это как раз точно вот такие файлы... ну может чуть чуть более продуманная их версия. Где собственно новизна изобретения?
спустя 21 час [обр] Павел Карасёв(0/14)[досье]
30-ый[досье]
Согласен, написано уже воды навалом.
Резюмирую, используйте файл-ключи, если посчитаете нужным. Например, потому что это оригинально ))
Я вот использую и мне нравиться. Планирую в будуших сайтах также использовать.
спустя 4 месяца 6 дней [обр] Павел Карасёв(0/14)[досье]
Изменился адрес демонстрационного сайта на http://myfilekeys.karasev.ru
спустя 8 часов [обр] Евгений Седов aka KPbIC(4/176)[досье]
М Перенесено из форума "Программирование::Теория и алгоритмы"
спустя 10 часов [обр] Павел Карасёв(0/14)[досье]
Евгений, мне сразу много писем пришло на счет этой темы (удаление, архивирование, перенесение...)
У меня просьба - не удалять эту тему, т.к. здесь все обсуждение и на сайте ссылка на это обсуждение стоит. Мне это обсуждение дорого, я хочу всегда иметь его под рукой.
Powered by POEM™ Engine Copyright © 2002-2005