LINUX.ORG.RU

А как вам такая система аутентификации?


0

1

Пользователь входит на сайт по номер телефона на который отправляется одноразовый пароль
Если телефон новый в базе - просим заполнить имя и прочие данные если нет то пишем куку и и возвращаем его функции.
Из преимуществ - не уведут пасс.
Из недостатков - нужно ждать пока придет смс
Прошу обсудить

★★★

Ответ на: комментарий от t184256

тоже про это думаю - это и отпугивает от внедрение. но в разговорах с пользователями некоторых ресурсов которые я делал и админил согласны на неудобства в обмен на безопасность...

chapay ★★★ ()

>Из недостатков - нужно ждать пока придет смс

... и нужны пользователи, готовые слить номер мобилки.

massimus ★★★ ()
Ответ на: комментарий от g1itch

В приват24 эта гадость из соображений безопасности прикручена, как ни как из акка можно ворочать баблом, а на обычных сайтах оно в хрен не уперлось, https наше все.

x0r ★★★★★ ()
Ответ на: комментарий от elverion

Если использовать свою железку с безлимитным смс то 3 рубля сутки....
8 смс в минуту тестинг показал

chapay ★★★ ()

У Альфы интернет-банкиг так работает - на каждый чих смс с кодом подтверждения.

yirk ★★★ ()
Ответ на: комментарий от chapay

>40 лимонов на вконтакте подтверждают

Ну я ж не знаю, для какого сайта ты это планируешь. Контингент везде разный. Если, например, к ЛОРу СМС-аутентификацию прикрутить, он опустеет :)
А для каких-нибудь серьёзных применений, разумеется, такая система повысит безопасность и на минусы можно забить.

massimus ★★★ ()
Ответ на: комментарий от g1itch

>Это используется в Приват24. Гадость.
гадость, но безопаснее, чем без этого.

OramahMaalhur ()

это плохо, очень плохо.

разве что для взаимодействия с клиентами, которым предоставляются услуги.

jeuta ★★★★ ()

Г-О-В-Н-О! У-Б-И-В-А-Т! h-A-t-E!

мне данный метод аутентификации категорически не нравится. хуже только если пров будет пускать в инет через специальные типа АТМ, которые считывают инфу с паспорта, отпечатки пальцев и снимок сетчатки, плюс всё будет логироваться через кэбню

anonymous ()

Из недостатков очевидно отсутствие запятых и синтаксические ошибки.

И хотелось бы знать, для чего нужны такие сложности. Критичная проблема с пассом? А если уведут телефон?

aedeph ()
Ответ на: комментарий от chapay

>Ну этого не многие бояться 40 лимонов на вконтакте подтверждают

Насколько я слышал, номер мобильника раньше там не требовался, поэтому 40 млн. - явное преувеличение.

Tigger ★★★★★ ()

Только в случае, если взлом аккаунта приведет к потере _реальных_ денег владельцем аккаунта. В остальных случаях - не нужно.

kernelpanic ★★★★★ ()

Было дело, реализовывал. С отладкой загребёшься, хотя народ этим вроде как пользуется.

Наибольшие проблемы представляет поиск нормального СМС-шлюза. В рекламных проспектах они все хорошие красивые. Реально же задержки в доставке СМС --- до 20 мин как нефиг-нафиг, и потеря смс до 10%. Только если непосредственно с опсосами договариваться.

r_asian ★☆☆ ()
Ответ на: комментарий от Alve

>У вас номер мобилки - секретен?

Для посторонних — да. Даю его только тем людям и организациям, связь с которыми важна для меня. Раздавать личные данные направо и налево — помогать мошенникам и спамерам.

massimus ★★★ ()
Ответ на: комментарий от Tigger

>>Ну этого не многие бояться 40 лимонов на вконтакте подтверждают

Насколько я слышал, номер мобильника раньше там не требовался, поэтому 40 млн. - явное преувеличение.


Кстати да. У меня там пара брошенных аккаунтов, в обоих никаких телефонов нет. Да и вообще, из этих 40 миллионов как минимум половина — боты и виртуалы.

massimus ★★★ ()

Вы администратор webmoney.ru? Такие меры безопасности однозначно свидетельствуют о дырявости ресурса.

Нормальные банки, например, работают по ключу + пасс.

adepto ()

Говно идея. Если магазин - тупо лишние напряги. Если не магазин - логинзу прикрутите и не сношайте юзерам мосх.

SMS годится для восстановления, но не как основная фича.

Vit ★★★★★ ()

параноидально и напрягает мысль о том, что эта база может быть взломана и попадёт «спамерам»

lawliet ()
Ответ на: комментарий от r_asian

у меня в сервер воткнут Мегаслон модем разлоченый и пропатченый и через gammu шлёт - а местный оператор за 3 рубля в день позволяет отсылать неограниченное количество смс в день

chapay ★★★ ()
Ответ на: комментарий от chapay

Нищеброд-эдишен в действии. У момеда тупо пропускная способость никакая. Плюс, оператор доставку не гарантирует. Если надо нормально - забудьте про свои момеды.

Vit ★★★★★ ()

А может сразу через УЭК, перспективненько :)

AlexVR ★★★★★ ()

Все это - игрушки!

Нас ждет великое будущее: каждому по чипу, вшиваемому на всю жизнь куда-нибудь в глубины мозга. Для аутентификации - спец. считывалки (в т.ч. и для персоналок, нет/ноут/говнобуков, телефонов и прочей дребедени). Встроенный в чип GPS-приемник позволит определить местонахождение человека. Встроенный анализатор даст характеристику его текущего мед. состояния...

В общем, прелесть, а не жисть! я так хочу!!! =)

Eddy_Em ☆☆☆☆☆ ()

Не, такая способа неправильная.

У меня для такого дела есть пластиковая карточка замазанная с одной стороны как лотерейный билет. В каждом квадратике новый пароль.

valich ★★★ ()
Ответ на: комментарий от chapay

>но в разговорах с пользователями некоторых ресурсов которые я делал и админил согласны на неудобства в обмен на безопасность...

Для безопасности достаточно генерить сложные пароли через apg или pwgen, хранить их в каком-нибудь kwallet или keepassx, и использовать для сайта ssl. Ну и, естественно, на компе не должно быть вирусов, а лучше всего вообще пусть будет линукс.

И нахрен эти смс не нужны.

anonymous ()
Ответ на: комментарий от chapay

Очинь смишно. Потом такие вот бегают по лору с воплями «правайдир ни делал бакапы маиво VPS за 1$ в год». Ожидать, что вам за 3 рубля в день будут качественно доставлять большие потоки SMS по всему миру - несколько наивно. Да и 8 смс в минуту мягко говоря не много и не быстро.

Vit ★★★★★ ()
Ответ на: комментарий от Eddy_Em

> Встроенный в чип GPS-приемник позволит определить местонахождение человека.

Для того, чтобы определить местонахождение человека, достаточно сверить id считывателя с базой инсталляций (а для мобильных считывателей - id точки подключения). GPS-приемник в чипе тут не нужен. Но велосипедить, конечно, никто не запрещает.

GateKeeper ★★ ()
Ответ на: комментарий от GateKeeper

Я имел в виду определить местонахождение человека в любой момент времени, вне зависимости от того, пользуется он компьютером, или нет.

Eddy_Em ☆☆☆☆☆ ()

>Пользователь входит на сайт по номер телефона на который отправляется одноразовый пароль

Если вы платежная система или просто очень известный сайт, такое пройдет. Но вообще такая система скомпрометирована всякими скрытыми подписками (совершенно бесплатно, всего за 80 рублей в день).

proud_anon ★★★★★ ()
Ответ на: комментарий от GateKeeper

s/приемник/приемопередатчик/

и не надо к словам цепляться. Вы в курсе, что собачкам вшивают под кожу или цепляют к ошейнику, чтобы не потерялись.

Eddy_Em ☆☆☆☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.