Удобство
- Как правило, сейчас каждый пользователь интернета имеет несколько email адресов (личный, рабочий, тот который он забыл и т.д). Желательно что бы у всех адресов были разные пароли от 8 символов. Со временем, пароли забываются, особенно когда пароль сохранен в браузере и при входе в почту он заполняется автоматически.
- Думаю многие сталкивались с ситуацией, когда, зайдя на какой-нибудь ресурс, для получения необходимой информации, нужно было пройти унизительную процедуру регистрации и подтвердить свой email, зайдя в свою почту, и нажать на страшную ссылку, состоящую из непонятных символов. После этого, в ящик начинает сыпаться всякий хлам в виде подписки, на которую вы дали согласие при регистрации, а может даже и обычный спам.
- На каждом ресурсе так же желательно использовать разные пароли. В случае когда пользователь не может зайти на свой любимый ресурс, приходится выполнять очередную процедуру по восстановлению пароля: заходить в почту (вспоминать пароль от почты, если вход происходит, например, с рабочего места) искать письмо, ходить по ссылкам восстановления\подтверждения, и опять придумывать новый пароль для сайта. Который потом опять будет успешно забыт.
- Почтовый ящик превращается в свалку уведомлений, акций, предложений, прочей рекламы с ресурсов, на которых вы зарегистрированы. Среди этого можно не заметить важного письма, например. Да это даже просто отвлекает!
Безопасность
- Безответственный подход к использованию почтового ящика может стать причиной утечки пароля от него.
- Фишинговые письма могут стать причиной утечки пароля от ресурса, под который замаскировано гнилое письмо
- email — это как паспорт в интернете: по нему можно собрать определенную информацию из открытых источников и использовать ее в разных целях.
- Получив доступ к email, можно получить доступ ко всем ресурсам, на которых сидит пользователь и к другим email адресам
- Почтовые сервисы и рекламные компании знают о вашей жизни все
К сожалению, нет такой же популярной, простой и удобной альтернативы, как с точки зрения внедрения, так и с точки зрения использования. Есть всякие «технологии открытого входа», они несколько удобнее, но они тоже требуют email адрес, и так же имеют ряд недостатков!
Ближе к делу
Как альтернативу /дополнение этому старейшему способу, я хочу предложить взглянуть на способ авторизации с помощью современных мессенджеров. Регистрация в том виде, котором она используется везде, в принципе исчезает.
На текущий момент под эту задачу по всем параметрам подходит Telegram. Но и не только он. С таким же успехом можно сделать бота и для других мессенджеров. Схема очень проста!
Пользователь, зайдя на сайт, на котором у него нет аккаунта, должен будет добавить в свой Telegram бота этого сайта и запросить у него доступ(например нажав на кнопку «Дай мне пароль») Для тех, кто не пользуется Telegram и не понимает, о какой кнопке идет речь, прикладываю скрин:
В качестве примера, я реализовал схему с одноразовым паролем, которая выглядит следующим образом:
Бот генерирует одноразовый пароль для входа по вашему запросу.
Чтобы войти на сайт, надо заполнить всего одно поле — «пароль»
В этой схеме генерируемый пароль всегда будет уникален и будет принадлежать только одному пользователю Telegram'а, так же пароль будет действителен ограниченное время, а после входа будет уничтожен.
Используя такую схему, нам не нужно ждать письма и проходить процедуру регистрации. Так же не нужно помнить никаких паролей. Нам всегда его напомнит заботливый бот.
Удобство такого подхода заключается еще в том, что Telegram доступен на всех платформах, и искать бота не нужно, достаточно просто пройти по ссылке, которая указана на форме авторизации. Как это выглядит в живую можно посмотреть тут: https://x07.herokuapp.com/login
Эту схему, конечно же, можно сделать более практичной, надежной и безопасной.
Для усиления безопасности и укорачивания паролей, можно сделать бота немного умнее, и в случае если бот что-то заподозрит, он попросит прислать ему вашу локацию (Telegram это поддерживает), а далее в бекенде будет произведен анализ того что вы прислали и откуда происходит вход на сайт.
На случай, если не окажется под рукой Telegram'а, или вдруг Telegram будет не доступен, или вы просто не хотите каждый раз туда лезть, то в БД можно сделать поле с постоянным паролем, по которому можно будет войти всегда. При этом заботливого бота можно научить оповещать вас о любом входе на сайт, если вы не запрашивали у него пароль.
Плюс ко всему, можно также добавить имя, которое используется в Telegram'е или любые другие поля на ваше усмотрение, хоть тот же email.
В качестве защиты от простого перебора паролей, можно не прикручивать капчу (которую не возможно разобрать), как это сделано на большинстве сайтов, а научить бота, что бы тот присылал вам уведомление с просьбой подтвердить вход.
Придумать тут можно огромное количество вариантов реализации.
Плюсы такого подхода:
- Не нужно проходить долгую и унизительную процедуру регистрации на сайте, а потом лезть в почтовый ящик и искать там письмо либо с паролем либо со ссылкой на подтверждение регистрации.
- Не нужно помнить пароль, пароль всегда генерируется новый по запросу!
- Безопаснее чем электронная почта!
- Telegram активно развивается и стабильно работает!
- Пароль невозможно украсть, не завладев мобильным телефоном
- Доступ к Telegram через веб также сложно получить, как к мобиле пользователя
- Telegram доступен на всех платформах
- С помощью этого подхода ваш сайт становится более доступным пользователям
- Для ресурсов, которые требуют ваш номер телефона с целью повысить защиту от фековых аккаунтов, не нужно будет вводить номер телефона, так как Telegram уже привязан к номеру мобильного телефона. Некоторых людей отпугивает регистрация по мобильному телефону
- Ваш номер телефона остается всегда в тайне и не доступен владельцам сайта
Минусы, куда же без них…
- Через ботов тоже можно слать спам
- Что происходит на серверах Telegram неизвестно, там так же может производится сбор и анализ ваших данных (может это не минус)
- При большом количестве пользователей возрастет нагрузка на сервер где будет жить бот
- В какой-то мере появляется зависимость от Telegram
- Telegram может поменять или расширить свой API, что может позволить сайтам извлечь больше информации о вас, или наоборот сделать эту схему не жизнеспособной
Что вы об этом думаете? Будете ли вы внедрять в своих проектах такой способ авторизации?
Комментарии (88)
scronheim
13.02.2017 11:11+4Получил пароль, ввел его на сайте, а мне тут же скзали что «Истек срок действия пароля». Да и вообще, завязывайте Вы с этими авторизациями через месседжеры. А то создается впечатление, что Вы из тех, кто придумал авторизацию через мобильник
kAIST
13.02.2017 11:14+10Про OAUTH забыли? Сейчас все больше и больше авторизацию через этот протокол делают.
Для каждого сайта добавлять еще и бота? Сколько ботов будет висеть в списке? Да и лишних телодвижений очень много, даже по сравнению с обычным подтверждением email.
QDeathNick
13.02.2017 12:36-2Очень удобно. Я уже привык к такому поведению — открываешь на компе сайт, тут же на телефоне выскакивает окошко с большой кнопкой — зайти на сайт.
Если открываешь новый, не авторизованный сайт — вводишь логин OAUTH — нажимаешь на телефоне кнопку.
Параноики вместо кнопки проводят пальцем ноги по сканеру.
Вот это удобно, а то, что предложил автор — слишком сложно.
x07
13.02.2017 12:56+1Речь не идет о том, чтобы отказаться от традиционных способов авторизации, это как дополнение к ним. И этот способ можно упростить
QDeathNick
15.02.2017 17:12Может кто-то из минусующих объяснит, что именно им не понравилось в моём предложении?
x07
13.02.2017 12:37+1Нет не забыли. Что бы пройти авторизацию по протоколу OAUTH нужно сначала зарегистрироваться, у провайдера OAUTH, с которым работает ресурс\сайт. Чаще всего, везде это соц сети. А что делать если человек не пользуется соц.сетями, а если и пользуется, то не хочет привязывать свой личный аккаунт соц.сети к непонятному ресурсу?
wladyspb
13.02.2017 18:40+3В большинстве случаев, если человек не регистрируется в соцсетях, то и телеграму он свой реальный телефонный номер не выдаст. Так же, в большинстве случаев, нужно смотреть за ЦА сайта. Если ЦА — молодёжь, регистрация через гугл\фб\вк будет оптимальна. Для старшего поколения надо добавить вариант авторизации через email — они обычно не доверяют кнопкам «авторизоваться через». Оптимально иметь все варианты в наличии — кто-то не любит заполнять формы и предпочитает регистрацию в 1 клик, кто-то предпочитает на левых сайтах регаться с запасного емэйла — надо учесть пожелания всех.
SandroSmith
13.02.2017 18:43+3Лично я на fb зарегистрирован исключительно для того что бы авторизироваться на сайтах. Как соц сеть он мне ни в одно место не упёрся. Если кто-то пользуется и не хочет светить — заводим ещё один акк там для этих целей. Ну или в твиттере (зачем он ещё нужен?).
avost
14.02.2017 00:30+1А что делать если человек не пользуется соц.сетями, а если и пользуется, то не хочет привязывать свой личный аккаунт соц.сети к непонятному ресурсу?
А что делать если человек не пользуется телеграммом или не хочет светить свой личный телеграмм аккаунт в непонятном ресурсе? Причём для соцсетей этот вопрос решается заведением отдельного аккаунта, а в случае телеграмма, аккаунт жёстко привязан к телефону.
x07
14.02.2017 09:29-1Информация, которую передает телеграмм, минимальна. ID,username — и то если он заполнен. Никакой другой больше информации бот не передает без вашего участия. Я написал статью, не «замена традиционных способов» а дополнение! Нет телеграмма, пользуйтесь соц сетями. И кстати, если рассмотреть создание нового аккаунта вконтакте, то без мобильного телефона у вас ничего не выйдет. Если номер уже привязан к 1 аккаунту, то на этот же номер зарегить новый акк не выйдет. И получается что нужен второй телефон, на котором можно успешно поставить телеграмм для «левых сайтиков».
avost
14.02.2017 10:50И кстати, если рассмотреть создание нового аккаунта вконтакте, то без мобильного телефона у вас ничего не выйдет.
Ну, есть же фейсбучек, он и более универсален. Или там тоже сейчас телефон обязателен?
Не знаю, я вот, положа руку на сердце, скорее через фейсбучек зарегистрируюсь, чем через телеграм. А ещё более вероятно, если ресурс с
левый, просто зарегистрируюсь с отдельной почтой типа мейлрушного анонимайзера. А если совсем левый — с одноразовой почтой.
handicraftsman
13.02.2017 11:35Я против привязки к телеграму, особенно с учётом того, что в РФ (правда, сам живу в Украине) для получения номера требуется пасспорт. И ещё неизвестно, будет ли такая система выдавать номер сайту, где проходит аутентификация.
QDeathNick
13.02.2017 12:38Ничего не требуется, до сих пор свободно продаются симки.
Но, если нет привязки к вам, то и уведут у вас это в два счёта.
ilnuribat
13.02.2017 13:50+1по умолчанию телеграм не показывает номер боту
Бот должен попросить дать ему номер, и пользователь своими руками должен ему его дать
sashabeep
13.02.2017 11:41+2Подумалось мне, что самая очевидная проблема — в том, что пароль надо копировать и вставлять.
pessom
13.02.2017 11:52+2Так можно сразу же генерировать уникальную ссылку для входа на сайт.
sashabeep
13.02.2017 11:59+2Вот это уже лучше. Делали так лет 10 назад, но через почту, разумеется. Но вообще идеальнее всех — какое-то универсальное authentication API, например, стоит у тебя какое-то приложение на телефоне, ты добавляешь в него сайт, и когда хочешь авторизоваться или зарегистрироваться на сайте — телефон просит приложить, например, палец к считывателю — мне кажется, это самый ненапряжный вариант. Сейчас и почты-то у многих людей нету
LestaD
14.02.2017 09:30+3Откройте Google Authenticator
sashabeep
14.02.2017 10:04Это все равно немного не то, потому что не может явно идентифицировать человека, только девайс
maxocklze
16.02.2017 08:49Но ведь с помощью Google на iOS (про андроид не знаю) можно войти в акк гугла по отпечатку пальца. А там уже авторизация с помощью гугла на любом сайте. Я везде, где только можно, использую авторизацию через гугл, чтобы не хранить кучу паролей, и так даже безопаснее из-за того же отпечатка пальца
worldxaker
13.02.2017 22:26+3самый идеальный вариант, это тебе приходит сообщение, с твоим логином пытаются зайти ты жмешь впустить, и все само заходит
OKyJIucT
14.02.2017 09:51Парсер ссылок (который делает скриншоты) переходит по ссылке, и для юзера она уже не действительна, а парсер авторизовался.
fsou11
13.02.2017 12:18Каким образом осуществляется привязка пользовательских данных / идентификация пользователя между сессиями (вводами разных кодов)?
x07
13.02.2017 12:44+2Конкретно в моем примере, когда пользователь, в телеграме жмет на кнопку «дай мне пароль», от бота приходит id пользователя в телеграме и его юзернейм(если он заполнен), в БД заносится сгенерированный пароль где telegram_id = тому что прислал бот. Далее, когда пользователь вводит пароль, в сессию заносится id пользователя.
Пример имеет чисто демонстративный характер
TimsTims
13.02.2017 12:31Можно еще проще — не присылать пароль, а сразу давать короткую ссылку. Как только пользователь по ней проходит, сервер это понимает и автоматически авторизовывает пользователя на компьютере. Почти аналогично это сделано в whatsapp web.
x07
13.02.2017 12:38+1Конечно можно, об этом я и написал в статье, что можно придумать много вариантов реализации
Sovent
13.02.2017 14:02-2С удовольствием бы пользовался таким способом авторизации. Единственным минусом считаю, что при должном распространении этой модели история переписок действительно будет захламлена сообщениями от разных ботов. Но, думаю, в Telegram что-нибудь придумают с группировкой.
x07
13.02.2017 14:10Соглашусь с вами насчет группировок, их действительно не хватает. Сейчас я просто очищаю список, а когда надо открыть какого-то бота или канал, просто ввожу в поиске его имя. В пример же, можно открыть бота нажав на ссылку на форме ввода пароля.
worldxaker
13.02.2017 22:28+2если андроид, то можно использовать plus там и по категориям все разбито и избранные есть
Minusator
13.02.2017 14:15-5Идея нравиться, телеграм все больше становиться популярным. Но слово «унизительная процедура» не нравиться. Чем она унизительная, не совсем понял? Второй момент, мне нужно взять телефон в руки или программу вконтакте открыть. У меня на сайте, чтобы получить доступ ко всему функционалу достаточно нажать на одну кнопку соц. сети.
VovanZ
13.02.2017 17:34Когда-то давно, мне приходила в голову такая же идея. Но я погуглил и нашёл готовую реализацию, поэтому решил не переизобретать велосипед :)
VovanZ
13.02.2017 17:40Кстати, то сервис даёт ссылку с токеном, а не просто пароль. На мой взгляд, это куда более юзер-френдли: не надо держать страницу открытой и вручную копировать туда пароль, достаточно просто кликнуть на ссылку и получить редирект на конечную страницу.
drfill
13.02.2017 17:46Минус еще к тому же, хранение либо открытого пароля в базе, либо шифра который можно с легкостью декриптовать, т.б. отметаем сразу соли и т.п.
А вот если наоборот:
1. Пользователь вводит свой логин на странице (конечно используется TLS)
2. Нажимает кнопку войти
3. В телеграмме получаем запрос на вход на сайт, с информацией(и предупреждением) кто и откуда пытается зайти
4. подтверждаем простой коммандой, a-ля /letmein
5. Профит!
Для простоты можем слушать ивенты на фронте, кот. сообщат когда подтверждение пришло через мессенджер.
Если честно то ранее уже в комментариях указывали OAUTH/OAUTH2, так что я думаю лучше использовать именно последнее для публичных ресурсов. Другое дело реализация скажем для «интранета», где основное общение между коммандами реализовано через Telegramm.VovanZ
13.02.2017 17:57с информацией(и предупреждением) кто и откуда пытается зайти
Как вы себе это представляете?
Предположим, я злодей и я пытаюсь зайти в ваш аккаунт на том же сайте, из того же места и одновременно с вами. (Сижу в той же кафешке что и вы, подключен к тому же вайфаю, подглядываю через плечо).
С вероятностью 50% вы впустите меня, а не себя.
Как это пофиксить? Например: показывать одноразовый пароль при входе, просить его отправить в телеграм. В этом случае, даже если я его подсмотрю или украду из базы, это мне не поможет, т. к. вы должны его отправить боту.
x07
13.02.2017 18:17Думаю что если при входе на сайт, генерировать, секретную куку\сессию\или еще какой-нибудь секретный идентификатор по которому можно опознать пользователя, и потом это сверять на сервере, то злодей, даже если увидит пароль и начнет вводить, он не сможет войти, так как секретная кука\сессия\или еще какой-нибудь секретный идентификатор не совпадут
VovanZ
13.02.2017 18:21Пожалуйста, перечитайте комментарий drfill и мой.
Суть в том, что сверять нужно с чем-то. Для этого нужно либо передать токен/пароль, полученный от телеграм-бота в веб-интерфейс, либо отправлять телеграм-боту пароль, полученный из веб-интерфейса.
Иначе невозможно гарантированно установить связь между пользователем, который заходит через веб и пользователем, с которым вы связываетесь через телеграм.
drfill
13.02.2017 20:21Во-первых я имел ввиду показать пользователю информацию, например из места по Геотаргетингу определенную, либо по GeoIP. UA браузера в человекочитаемом формате
Во-вторых:
Подглядывать нехорошо! :) а если так, то скажем доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь… ну и чтоб он сам без внешних источников/специалистов определил, что это он, а не тот кто подсматривает.
По теме можно дискутировать бесконечно, но боюсь что такого рода реализации оч. вендор специфичные, что нехорошо для конечного пользователя.
Кстати для информации x07, не для всех платформ реализован Telegramm клиент, например для BB10 его толкового нет вовсе!VovanZ
13.02.2017 22:16Минус еще к тому же, хранение либо открытого пароля в базе, либо шифра который можно с легкостью декриптовать, т.б. отметаем сразу соли и т.п.
Изначально, вы указали на то, что пароль, который хранится открыто в базе — это не хорошо.
Но потом, вы предложили использовать вместо него ещё более открытую информацию, ту информацию, которую можно добыть и без кражи базы.
показать пользователю информацию, например из места по Геотаргетингу определенную, либо по GeoIP.
Вы уже забыли, что я сижу прямо за вашей спиной, на том же айпишнике? :)
UA браузера в человекочитаемом формате
UA передаётся при каждом запросе, да я и так прекрасно вижу, что у вас Firefox под Ubuntu (например).
доп. информация (тема для размышлений/brainstorm) должна максимально описывать тот вход с которым пришел пользователь
Как насчёт, сгенерировать случайный код и показать его и там и там? :)
drfill
13.02.2017 23:03Слишком много, но! Нет 100% защищенной системы, но есть некоторые меры которые позволят избежать таких вот ситуаций с кражей или уводом авторизации.
reaferon
13.02.2017 17:54+1Мне как пользователю какого-либо сайта это неудобно: открыть Телеграм, добавить канал, получить пароль. Регистрационные формы сейчас на 2-4 поля + автозаполнение полей браузером.
Мне как владельцу сайта это на фиг не нужно, так как я получаю не полноценного пользователя, а какой-то телеграм-обрубок при пароле.
AlexanderY
13.02.2017 18:11+1>>Не нужно проходить долгую и унизительную процедуру регистрации на сайте, а потом лезть в почтовый ящик и искать там письмо либо с паролем либо со ссылкой на подтверждение регистрации.
Проблема не в самой процедуре, а в том, как её реализуют 99% сайтов. Процедура регистрации может быть быстрой. Может не требовать перехода по ссылке. Т.е. ввел email и пароль — вошел на сайт. Всё, пользуешься.
Самый главный минус предложенного способа — зависимость от стороннего сервиса. Всё остальное, что вы перечислили — тоже плохо, но не так критично.VovanZ
13.02.2017 18:24Т.е. ввел email и пароль — вошел на сайт. Всё, пользуешься.
Ввёл чужой email — настоящий владелец email получит сообщение о том, что этот email уже используется другим пользователем (при попытке регистрации).
Ошибся при вводе email и забыл пароль — не можешь восстановить доступ к аккаунту никак.
susnake
13.02.2017 22:08Любители всех этих аутентификаций только через соц.сети/мессенджеры/приложение-только-для-этого-сайта забывают об одной маленькой детали:
Не у всех есть аккаунт в соц.сети, мессенджер или телефон/смарт, для которого бы была бы версия этого приложения.
Если я на своем сайте сделаю аутентификацию только через, например PIN BBMa с отсылкой на него пароля, Вы что сделаете? В 95% покрутите у виска, скажете «Чо за BBM?!» и уйдете.
Если Ваш сайт/бложик посещают 1,5 анонимуса и Вы точно знаете, что они в случае потери доступа к смарту/приложению смогут аутентифицироваться — тогда да.
Если у Вас сайт/блог с хорошей посещаемостью, то делать только такую функцию аутентификации и без каких-либо альтернатив — ИМХО, не самая лучшая идея.x07
14.02.2017 09:36В статье речь идет не о замене привычных методов рег.\авторизации. Это дополнение к существующим способам.
dmitry_dvm
13.02.2017 23:45+1В чем прикол открыть на компе сайт, потом открыть на телефоне телеграм, найти где добавлять ботов, ввести имя бота, добавить, потом хз сколько шагов еще? Это не проще обычной регистрации, особенно если через oauth.
deNULL
14.02.2017 00:24Телефон доставать незачем — никто не мешает по ссылке перейти в веб-версию мессенджера (искать бота в этом случае тоже не нужно). А если сделать deep linking, как писали выше — то и пароль не нужно будет копировать/вставлять: немедленно после начала диалога с ботом пользователь будет авторизован. Регистрация буквально в три клика.
dmitry_dvm
15.02.2017 12:50Для этого надо быть залогиненным в веб-версии. Не думаю, что много кто залогинен в нее на рабочем компе.
gearbox
14.02.2017 12:34Закопайте стюардессу. Телеграм вообще никак не приспособлен для авторизации. Из телеграма в интернет — еще как то, если основной ресурс — бот, с которым вы что то делаете и надо по пути глянуть что то на сайте. Тогда бот просто генерит ссылку с токеном, вы по ней переходите и сайт знает что вы и есть тот пользователь телеграма (бот синтегрирован с сайтом) Других вменяемых юзкейсов телеграм не поддерживает, если заблуждаюсь — поднимите мне веки, скажу спасибо.
HeadMad
14.02.2017 14:03К слову, у меня есть знакомая, которая входит в некоторые сервисы по восстановлению пароля через смс. Она не запоминает паролей и не парится по этому поводу. И я думаю, что есть такой класс людей.
В принципе, чем такой способ хуже, если вместо смс использовать телеграмм или, например, вконтакте или любую другую соцсеть.
Но вместо отправки пароля по запросу в бесседе лучше действовать в обратном ключе: на форме входа отображать временный пароль, символов на 5. Пользователь вводит его в доступный ему месседжер, а дальше уже серверная часть получает извещение, от какого пользователя пришел пароль и заводит на него сессию и дает какие-то данные.
К слову, удобно использовать глубокие ссылки телеграмма, или вконтакте (vk.me/username) чтоб не искать бота вручную.
Понятное дело, использование такого способа авторизации, как основного, сейчас — это большая ошибка. Но в качестве дополнительной альтернативы, почему нет? Думаю, подобно тому как авторизация через соцсети сейчас стоит в одном ряду с email, так и этот способ сможет получить своё место под солнцем в будущем. Надеюсь в ближайшем.
BigEl
16.02.2017 08:51Мой внутренний параноик негодует.
Человечество в край обленилось иотуппоглупело. Запомнить десяток своих комбинаций паролей уже сложно, не говоря про пароли типа «QWERTY», «123654» и подобные в любых их проявлениях. Про оригинальность уже и не вспоминаю.
Как мне кажется все эти генераторы паролей все таки, где то хранят сгенерированные последовательности знаков, дабы исключить повторение в… ну скажем в короткие временные промежутки до завершения какого либо цикла. Ну или пока не кончатся все возможные варианты. А если это все где то хранится (Повторюсь, это мое предположение), то где то эту нехилую базу можно использовать в бруте паролей, учитывая что сейчас множество сервисов авторизации привязывает к логину номер телефона или адрес почты (и то и другое не сложно узнать, в сети каждый где то оставлял эти данные в свободном доступе, будь то объявление по поиску / предоставлению работы, покупке / продаже, соц.сети)
Поправьте если не так. Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…x07
16.02.2017 09:18Нет не так. С кодом генератора паролей, используемого в моем примере, можно ознакомиться тут https://www.npmjs.com/package/generate-password
Смысла складировать одноразовые генерируемые пароли нет никакого.
дабы исключить повторение
Во первых, в БД стоит констрейнт на уникальность, во вторых символов в пароле столько, что вероятность совпадения крайне мала, учитывается так же регистр, что увеличивает количество генерируемых вариантов.
Обеспечение безопасности доступа к частной собственности (читай аккаунт в сети) — должно быть делом самого пользователя, а не сервисам, которые при желании могут собрать инфо о тебе и слить куда угодно…
При желании, любой посещаемый крупный ресурс, может слить все пароли или хеш пароля, телефоны, логины и емейлы тому кто хорошо попросит.BigEl
16.02.2017 09:25любой посещаемый крупный ресурс, может слить все пароли
Собственно по этой причине к каждому сервису где я нахожусь используется индивидуальный пароль. Почти десяток адресов почты (за исключением пары адресов куда сыпется спам от сомнительных сервисов или одноразовых регистраций)
В данном случае конечно все субъективно и уровень паранойи (если таковая имеется) у всех различный. Кому как, но лично мне как то спокойнее спится, если в сети как можно меньше инфо можно «накопать».
PS: Не все так плохо, пока дополнительными одноразовыми симками не закупаюсь, но по возможности стараюсь находить аналоги интернет-сервисов, где не требуется верификация по номеру телефона.x07
16.02.2017 09:44Ну вот, вы используете для каждого ресурса неповторяемый пароль, помнить более 10 восьмизначных(а то и более) паролей для более 10 ресурсов, это надо обладать феноменальной памятью, особенно когда часть ресурсов посещается редко. Вот собственно эта задача успешно решается тем способом, который я описал в статье.
LiNNka
16.02.2017 08:52В общем-то у Telegram есть крайне неплохой веб-клиент, который постоянно развивается вместе с приложением. То есть совершенно необязательно иметь телефон с платформой, поддерживающей Telegram. Я как-то раз в течение полугода пользовалась исключительно web-клиентом, так как ходила с телефоном-раскладушкой десятилетней давности. Что касается самой идеи: она крайне неплоха. Особенно в случае постоянных забываний паролей от почты. На множествах форумах и сайтах наверняка есть «умершие» подобным образом аккаунты юзеров, которые просто напросто не смогли восстановить доступ, благополучно забыв пароль от основной почты. По поводу использования номера телефона: не вижу в этом ничего плохого. Вспомните фейсбук или тот же vk. И там, и там номер телефона используется как привязка к аккаунту в случае утери пароля или же взлома. Лишних движений тоже особо не вижу: как пояснил автор, взаимодействие с ботом может быть только 1 раз при регистрации или восстановлении пароля, а далее пользователь установит свой пароль в настройках профиля. Тут уже по желанию.
x07
16.02.2017 09:32Номер телефона доступен только телеграму, как уже упомянули выше, бот не может без ведома пользователя получить его https://habrahabr.ru/post/321682/#comment_10067330
так что волноваться тут не о чем.
Я считаю, что это наоборот плюс, есть сайты, которые борются со спамерами, фейками, размножением аккаунтов, путем подтверждения регистрации по смс. Многие пользователи не хотят светить свой номер в интернете, но все равно это делают, потому что нет другого выбора. Если сайт окажется с гнильцой, то потом на телефон будет лететь смс-спам как минимум. В случае с телеграммом, номер телефона останется в тайне, ресурс не сможет его узнать, но зато, для ресурса это будет означать что пользователь с определенной долей вероятности настоящий. Ведь пойти купить левую симку сложнее, чем пойти зарегить 10 новых емейл адресов.QDeathNick
16.02.2017 12:49Никакой дополнительной вероятности, что пользователь настоящий. Арендовать симку и получить на неё смс можно даже не вставая, есть куча сервисов. У меня был случай, когда пришлось создать кучу аккаунтов телеграма, всё очень просто и быстро и стоит дешевле, чем покупать симки — 20 рублей за аккаунт.
x07
17.02.2017 11:21В случае, если подтверждение приходит по смс, то как вы вернете этот аккаунт, если при входе на сайт вас попросят ввести код, который отправит вам ресурс в смс?
Сомневаюсь что за 20р вам дают номер навсегда. Вы скажете что аккаунт уже создан в телеграмме и номер уже не нужен, то, как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем?
В моем примере подтверждение входа не требуется, но в боевой версии алгоритм можно поменять, бот, например, будет отправлять в телеграмм уведомление о входе, или же вход будет осуществляться через телеграмм. Опять же на ресурсе, для борьбы с фейками, должен быть алгоритм который выявляет подозрительную активность пользователя, и в случае если такая активность есть, просить подтвердить свою личность через смс или телеграм. Вероятность тут все же есть, в отличие от емейла.QDeathNick
17.02.2017 12:24Я вам возразил исключительно по поводу вашей фразы:
"это будет означать что пользователь с определенной долей вероятности настоящий. "
Для чего вам возвращать фейковый аккаунт? Но уж если зачем-то потребовалось и требуется ещё раз ввести смс, делаете заявку и вам опять этот же номер предоставляют. Номер ваш навсегда, его используют для других сервисов, но телеграм уже никто на него не зарегистрирует. Правда я думаю это не гарантированно будет вечно работать.
как тогда вы откроете кучу аккаунтов телеграма на одном устройстве, для подтверждения аккаунта в дальнейшем
На компе можете открыть сколько угодно клиентов телеграма на разные номера и подтверждать вход в ваши аккаунты. У меня два аккаунта открыто постоянно, и ещё десяток просто хранятся, чтобы я мог дать доступ к аккаунту, не прибегая к смс.x07
17.02.2017 12:49Я вам возразил исключительно по поводу вашей фразы:
«это будет означать что пользователь с определенной долей вероятности настоящий. „
Я не ради спора это все пишу) Просто высказываю точку зрения, почему вероятность есть).
Для чего вам возвращать фейковый аккаунт?
вы же зачем-то его создавали? Причем, потратили деньги, пусть даже и незначительную сумму.
Я к тому, что этот процесс, в отличии от регистрации кучи емейлов, более трудоемкий и стоит денег. Если система будет эффективно выявлять такие фейковые аккаунты, то скорее всего, их будет просто не выгодно создавать.
Простой пользователь, врятли будет заморачиваться со всякими сервисами и покупкой второй симкарты(если конечно для него это не жизненоважно), но тем не менее, для него это препятствие, пусть и небольшое.
hungry_ewok
Руки бы в обратную сторону сложить всем этим затейникам, которые придумывают авторизации через очередную новую остромодную хрень.
А тем кто придумал и навнедрял привязку к телефону — и ноги тоже.
TimsTims
Зачем же так жестко. Новые свежие идеи — это всегда хорошо.
В любом случае, вас ведь никто не заставляет пользоваться этим сервисом.
hungry_ewok
Дурная мода имеет свойство расползаться.
TimsTims
Для кого-то она, может, и не дурная.
Время идёт, люди меняются, мода тоже, и это нормально.
100 лет назад было модно носить цилиндры и публично курить табак. Дурная ли это была мода? Но ведь она когда-то кем-то вводилась, и кто-то тоже её мог посчитать дурной модой… прошло время, и она уже не стала дурной. А потом еще немного времени, и вот уже мода стала устаревшей.
jetexe
ага, а потом у меня в чатах будет 150 ботов для авторизации, ну нафиг
TimsTims
Можно сделать единого бота, и давать это как сервис recaptcha 3.0 :)
jetexe
Тогда этим должен заняться сильный игрок(Гугл, мозила, сам телеграмм), а не Вася Пупкин, который, в конечном итоге, сможет получить безграничный доступ к аккаунтам.
tigervname
А мне идея по душе — потому что долгое время пользовался Гуглом, пока он меня не кинул, вот просто удалил случайно аккаунт с телефона и вот тебе не восстановить никак, т.к. нет резервной копии, ни сохранённого ключа. Они хотя бы на Гугле там мини копии делали, что-бы в течении получаса можно было восстановиться, а вот фиг тебе.
Так что бот хоть и маленькая, но надежда на будущее и такие как Вася Пупкин в очередной раз показывают на сколько не совершенны сервисы гиганты в своих проектах, что есть ещё круче творения и задумки.
Не знаю пытался дозвонится до Гугла, что-то не получилось…
v-oz
+100500
Для них нельзя будет создать отдельного категории/каталога, как в почте. А ещё останется куча ретроградов, использующих «устаревшие» методы и тогда вообще наступит коллапс в голове юзера — где же всё это УГ хранится?
Пользоваться надо менеджером паролей. На всех платформах и девайсах. А базу синхронизировать git'ом
е-ящиков можно иметь сколько угодно в т.ч. выделенный под регистрации.
месенджеры приходят и уходят, а е-почта была, есть и будет есть.
чем взрослее становишься, тем больше начинаешь любить почту и её возможности взвешенной переписки.
Остапа понесло :)