Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion

Показано с 1 по 9 из 9
  1. #1
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое

    Save Password — новый стандарт авторизации в вебе

    Каждая новая кибератака возвращает нас к мысли, что традиционная авторизация на сайты, состоящая из связки логина и пароля, изживает себя. Приходится доверять свои данные десяткам и сотням серверов и уповать на то, что администраторы вовремя закрывают дырки. В худшем случае пользователь просто выставляет один пароль на всех сайтах и надеется на авось. В лучшем случае, если речь идет о продвинутом юзере, он вынужден выполнять следующий набор действий:

    устанавливать специальное приложение для работы с паролями, например 1Password или Dashlane;
    выставлять уникальные пароли для всех сайтов и записывать их в свой менеджер паролей;
    в случае любой утечки пользовательских данных оперативно менять свои пароли;
    для самых важных учеток (вроде Google, Dropbox, Evernote, учетки в интернет-банке) использовать двухфакторную авторизацию.
    Если же появятся глобальные угрозы, вроде недавнего Heartbleed, придется заменить пароли во всех критичных сервисах. А как часто пользователь вообще не в курсе, что его данные были слиты?

    Чтобы решить эту проблему, ребята из Москвы запустили проект [Только зарегистрированные могут видеть это. ] Суть — в комбинации всех перечисленных методов, где центральным элементом становится двухфакторная авторизация. Для пользователя это выглядит следующим образом:

    Пользователь регистрируется на сервисе Save Password, при этом присваивает себе логин.
    При заходе на сайт, поддерживающий Save Password, пользователю показывается поле, в которое нужно ввести свой логин.

    [Только зарегистрированные могут видеть это. ]

    После этого приходит SMS с тремя случайными цифрами, которые нужно ввести в то же поле на сайте после логина.


    [Только зарегистрированные могут видеть это. ]

    Все, авторизация завершена!
    Если пользователь заходит на сайт, где он уже регистрировался без Save Password, ему предложат сменить существующий пароль на более сложный. Записывать или хранить новый пароль уже не потребуется, так как для работы с сайтом будет достаточно запомнить свой логин. На серверах самого Save Password эти данные храниться не будут.

    Также Save Password устранит саму процедуру регистрации: для каждого пользователя сервис будет хранить данные о дате рождения, поле, имени, а также его фото/аватар. Поэтому для любого сайта, поддерживающего SP, вводить какие-либо дополнительные данные просто не потребуется.

    При утере доступа к учетной записи на Save Password пользователь сможет восстановить его по почте с помощью секретного вопроса. На введение трех случайных символов пользователю дается две попытки, в случае неудачи они могут быть заново сгенерированы сервисом SP. Для пользователя авторизация через SP будет проще, чем в обыденных случаях, которые распространены сегодня, — потому что нет базы из десятков и сотен логинов и паролей, которые нужно запоминать либо где-то хранить.



    Сейчас на краудфандинговой платформе [Только зарегистрированные могут видеть это. ]
 идет сбор средств, которые требуются для реализации этого проекта. Нужно не только продвигать проект в Сети, но и писать API и документацию для сторонних разработчиков, разрабатывать плагины для популярных CMS (минимум десяти — сейчас есть тестовая версия первого плагина). Необходимы средства и на техническую поддержку пользователей и администраторов сайтов.

    По мере получения необходимых средств создатели планируют расширять команду и приглашают всех желающих, в том числе и читателей «Хакера». О том, как поучаствовать в самой разработке проекта, можно также прочитать на странице проекта на [Только зарегистрированные могут видеть это. ].

  2. #2
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    351
    Репутация
    149 + / -
    Безопасность
    Короче LastPass дял firefox - лучше нету.

  3. #3
    Аватар для pilot114

    Статус
    Offline
    Регистрация
    11.10.2013
    Сообщений
    19
    Репутация
    15 + / -
    Script Kiddie
    Где/у кого будут храниться мои персональные данные в т.ч. номер телефона? В чём преимущества по сравнению с OpenID?

  4. #4
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое
    Цитата Сообщение от pilot114 Посмотреть сообщение
    Где/у кого будут храниться мои персональные данные в т.ч. номер телефона? В чём преимущества по сравнению с OpenID?
    посмотри [Только зарегистрированные могут видеть это. ]

  5. #5
    Аватар для pilot114

    Статус
    Offline
    Регистрация
    11.10.2013
    Сообщений
    19
    Репутация
    15 + / -
    Script Kiddie
    Там нет ответа на мои вопросы.
    Зато есть православный дизайн и лютый шизофазийный бред. Нет, сама идея хорошая (хоть и старая как какашки мамонта), но формулировки просто выносят мозг.
    Окей, только один вопрос: почему не OpenID? Проект открытый, можно форкнуть, припилить SMS токен и всего делов (Хотя нахрена, я, например, криптографии больше доверяю). А деньги на это просить вообще стыдно, особенно если нет ни API, ни документации, не даже просто более менее рабочего примера.
    Изображения Изображения

  6. #6
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое
    Цитата Сообщение от pilot114 Посмотреть сообщение
    Там нет ответа на мои вопросы.
    Зато есть православный дизайн и лютый шизофазийный бред. Нет, сама идея хорошая (хоть и старая как какашки мамонта), но формулировки просто выносят мозг.
    Окей, только один вопрос: почему не OpenID? Проект открытый, можно форкнуть, припилить SMS токен и всего делов (Хотя нахрена, я, например, криптографии больше доверяю). А деньги на это просить вообще стыдно, особенно если нет ни API, ни документации, не даже просто более менее рабочего примера.
    если честно мне и ваще по... я не тем и не тем не пользуюсь, и с моей точки зрения случись утечка с их сервака будет пипец, тем кто там зарегался...

  7. #7
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое
    pilot114, а ето просто новость...

  8. #8
    Аватар для Fischer2014

    Статус
    Offline
    Регистрация
    25.04.2014
    Сообщений
    377
    Репутация
    143 + / -
    Программист
    И что не так тут [Только зарегистрированные могут видеть это. ] ?

  9. #9
    Аватар для pilot114

    Статус
    Offline
    Регистрация
    11.10.2013
    Сообщений
    19
    Репутация
    15 + / -
    Script Kiddie
    Сорри, если что, просто у меня бомбит от подобных "принципиально новых" проектов.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.