username/email + password

отсутствие аутентификации

А как же велосипедострой на каждом сайте, база паролей, обычно без шифрования, кривые руки быдлокодеров, куча логики для восстановления?

openid.

А всё остальное прямо из Рая, идеально и безбажно, что ли? :)

email/password. Зачем нужны все эти openID и OAuth я слабо понимаю.

С другой стороны, иногда коммент оставить хочется, а аккаунт заводить - нет. В этом случае котирую логин через гуглоплюс.

email/password

Зоопарк потом этих паролей. Они или разные или один сайт просто использует твой пароль для доступа к другому сайту

Обычно для всех ненужных сайтов один пароль, и его не жалко, а нужных не так уж много.

Все правильно, костыль ввиду отсутствия нормальной аутентификации

Ok, а как выглядит нормальная аутентификация, и чем она лучше?

OpenID, OAuth, Mozilla Persona. Чем лучше читаем в википедии

Почитал википедию, чем они лучше — не понял. Зато понял, что у них проблемы с приватностью, да и с безопасностью вообще. А ещё, это классическое складывание всех яиц в одну корзину. Ну на фиг.

ага, а потом удивляемся «как это гугль про меня столько знает?»

плюсую

Я не удивляюсь. Более того, мне это удобно. А то, что я не хочу, чтобы гугль про меня знал, он и не знает.

А то, что я не хочу, чтобы гугль про меня знал, он и не знает.

Это тебе так кажется

vk, gplus

А ещё, это классическое складывание всех яиц в одну корзину. Ну на фиг.

Любой сайтик при такой аутентификации получит о тебе все основные персональные данные. И слежка за юзверями сильно упрощается, особенно если авторизоваться через соц.сети. Чпок, чпок — и ты уже знаешь о человеке очень много, включая круг его знакомых.

социальные сети, OAuth

хэш-код, вычисляемый на клиенте.

математических доказательств абсолютной надёжности шифроалгоритмов я что-то не встречал.

+1

По емейлу, конечно же. Одноразовые логин ссылки стартующие вечную сессию, пароль на сервисе не хранится.

[X] username/email + password

социальные сети зло, часть — излишние сложности, часть просто ненужно. Отсутствие аутентификации не рассматриваю, потому что думаю, всё таки опрос относится к случаям, когда аутентификация нужна.

Везде юзаю логин и пароль. Только у Каганова, где пишу редко и постоянно теряю/забываю учетные данные (а восстановить невозможно), пересел на Open ID.

очень хотеть OAuth везде и всегда.

Любой сайтик при такой аутентификации получит о тебе все основные персональные данные. И слежка за юзверями сильно упрощается, особенно если авторизоваться через соц.сети. Чпок, чпок — и ты уже знаешь о человеке очень много, включая круг его знакомых.

И что в этом страшного?

ну и вообще как показывает практика - через социалочки каментов оставляют больше. «username/email + password» могут себе позволить разве что ресурсы уже накопившие базу пользователей.

Много букв

По личному опыту:

username/email + password

Обычно это email+password с юзернеймом в качестве алиаса. Надежное, проверенное, да. Но надоедает. И если необходимо, чтобы пользователи могли безопасно пользоваться левым email-провайдером, и при этом чтобы ни email-провайдер, ни ломающие ящик не могли догадаться, что ящик привязан к сервису, то этот пунки отметается.

Mozilla Persona

Крайне удачное решение. Совмещает в себе плюсы username/email, но убирает необходимость повторной реги на сайтах и при этом ни email-провайдер, ни провайдер person ни знают об привязке аккаунта юзера (его почты) к конкретному сайту. Из минусов лишь js.

социальные сети, OAuth

Все логины юзера легко компрометируются, ибо OAuth провайдер их не скрывает. Нет даже примерного стандарта: лишь связка костылей вокруг https. Проблемы со stateless на стороне сайта, особенно в OAuth 1.0.

OpenID

Есть стадарт, хотя в нём тоже есть бреши. Все логины легко компрометируются, ибо openid-провайдер вынужден их хранить и отображать юзеру.

Клиентская SSL

Трудна для юзера.

Велосипед на каждом сайте, конечно.

В идеальном мире ещё OpenID, но на практике каждый (Google, Yandex) хочет быть провайдером OpenID, но мало кто принимает логин по нему.

xD

username + password (planetext)

username/email + password

email + password

username/email + password

Для особо важных сайтов типа интернет-банкинга - в дополнение к этому биометрическая аутентификация.

Я к своему сайтику вообще OpenID исключительно из-за Каганова прикрутил - забываю логины и пароли в его дневнике :)

OpenID, OAuth.

Где вариант «PAM-модуль»?

Очень сильно зависит от сервиса - какие услуги предоставляет, какие возможности дает аккаунт и от аудитории. На мой взгляд, один из забытых в голосовалке православных методов мобильный телефон + pass.

собственный логин/пароль для постоянных юзеров и логин вконтакте для эпизодических

Только хардкор. Паспортные данные, отпечатки пальцев и анализ кала.

OpenID

Ого сколько ответов

Клиентская SSL аутентификация

Не уверен что все проголосовавшие понимают что это такое

Абсолютной надежности?

А если я сейчас сяду, постучу по клавишам и угадаю парочку закрытых сертификатов международных банков, абсолютно случайно?

Все логины юзера легко компрометируются, ибо OAuth провайдер их не скрывает

В Persona вроде так же, а вы вроде сказали что удачная штука. Или не так?

Проблемы со stateless на стороне сайта

А какие проблемы кстати?

У вас в России может по пасспорту, а в Украине симки полностью анонимные, каждый лох в ларьке может их хоть каждый день новые брать

> username/email + password
> OpenID

Имхо.

1) Авторизация не должна останавливать человека от использования ресурса.
2) Чем меньше используются сторонние сервисы тем лучше.

Вывод: username/email + password или социальные сети в зависимости от задачи.

отсутствие аутентификации

Лишний пункт в опросе. мы ведь рассматриваем сайты где без аутентификации не обойтись? или как вы представляете себе онлайн игры, почтовики... без аутентификации?

отсутствие аутентификации

Только имиджборды, только хардкор.

абсолютно случайно?

Знаешь, понятие «случайности» - до сих пор является предметом споров «большой науки». ;)

отсутствие аутентификации

ммм.. двач...

Наиболее удачный на pgpru.com, где текст комментария можно подписывать gpg ключом. Подпись будет сверена и отображена.

1) Авторизация не должна останавливать человека от использования ресурса.
2) Чем меньше используются сторонние сервисы тем лучше.

Вывод: username/email + password или социальные сети в зависимости от задачи.

Это такая неудачная шутка? Регистрироваться на вконтактике, *с указанием и подтверждением номера телефона* ради того, чтобы оставить коммент? Как раз подпадает под ваш первый пункт. Регистрация на таком сервисе должна быть если и сложнее, то не сильно, чем обычный login/pass, что сразу отметает все соц.сети.