Наиболее удачный способ аутентификации в web с вашей точки зрения

И да, аутентификация, т.е. подтверждение своей персоны, при необходимости, лучше всего реализована средствами pgp.

Что не противоречит анонимности (псевдонимность).

username/email + password

Почта/соцсети/магазины/форумы/торрент-трекеры и им подобное.

OpenID

Всё остальное.

pacify

хэш-код, вычисляемый на клиенте.

Имеешь ввиду, что пользователю нужно держать на компьютере отдельную программу, которая генерит новый хэш-код для каждого захода на сайт?

социальные сети, OAuth 45 (17%)

Что они тут забыли, эти хомячки?

Старпер, боишься что фейсбук поработит тебя и заставит вкалывать на шахтах?

Там же возрастное ограничение. Гугл - зло.

Считаю самым лучшим username/email + password.
Меньше ненужных регистраций. Если человеку нужна регистрация на сайте, то ему не влом будет потратить пару минут на регистрацию и войти под своим логином и паролем. А этим OAuth и OpenID вообще не доверяю. Сам использую в проектах защищенную систему регистрации/входа одного из известных форумов, т.к. сам не силен пока в этом.

Я прохожу. Да и кого оно волнует?

СМС же :)

- когда регистрироваться лень - oauth черег гугль, твитте и т.п.
- email/пароль

В списке не хватает номера мобильного телефона т. к. импользуется и очень активно.

Мне нравится как в enum(для webmoney) сделана авторизация: qr-код или sms на мобильник с кодом. При входе есть возможность выбора.
Ну а так да, username/email + password

email ненужен

И еще какой-то психологический тест, а то мало кто телом может воспользоваться.

Почему?

Потому как это дыра в безопасности, любой, кто имеет доступ к твоей почте, может сменить пароль. Так как в своем большинстве при регистрации по email это допускается.

Это уже другой вопрос. Я хочу логиниться по e-mail. Так как ники везде разные и их не запомнишь.

А пароли везде одинаковые?

Нет. Пароли я помню, это другое.

где вариант «Фидо живо! Только телефонный звонок!»

ну это уже лишнее. Достаточно сканера отпечатка пальца или сетчатки глаза. Вероятность того, что придёт Терминатор и выколет глаз/отрежет палец стремится к нулю.

[x] Mozilla Persona

те кто проголосовал «username/email + password192 (57%)» — желаю чтобы вы горели в АДу! :-)

у меня этих паролей уже не меньше 200 разных.. честно

Наиболее удобным для себя вижу фэйкостраницу на FB, ибо очень много где можно логиниться без регистрации на самом ресурсе. Так и делаю часто.

А ещё, это классическое складывание всех яиц в одну корзину. Ну на фиг.

а мне казалось более класическое склыдывание всех яиц в одну корзину — это указание одного и того же пароля на всех (пусть даже «не нужных») сайиах :-)

Любой сайтик при такой аутентификации получит о тебе все основные персональные данные.

прям точно точно ВСЕ ОСНОВНЫЕ ДАННЫЕ?

...или же только те данные, которые указаны на страничке соц-сети (например ни какие :-)) ?

username/email + password

Для особо важных сайтов типа интернет-банкинга - в дополнение к этому биометрическая аутентификация.

через ActiveX через MsIE-8.0

а мне казалось более класическое склыдывание всех яиц в одну корзину — это указание одного и того же пароля на всех (пусть даже «не нужных») сайиах :-)

Этого, хотя бы, можно не делать. Ну, и на то они и ненужные, что поломают - не страшно.

Этого, хотя бы, можно не делать.

но повсеместное использование «username/email + password» — как раз провоцирует это делать [одинаковые пароли] :-)

хотя хорошо что «username/email + password» уже всё меньше и меньше с каждым днём....

*следущее-читать-с-фантазируемой-интанацией*...глядишь и LOR вдруг тоже как нибудь откажется от обязательного «username/email + password» :)

очень очень не многие люди находят в себе волю НЕ делать повторяющихся паролей на сайтах. я один из них, и база данных этих уникальных паролей — уже стала просто огроменной у меня (что с ней делать? как её почистить? :)). а больше я ни кого НЕ знаю из своих знакомых ктобы ни разу не сделал бы ни одного повторяющегося пароля, в случае когда система требовала придумать пароль.

Это такая неудачная шутка? Регистрироваться на вконтактике, *с указанием и подтверждением номера телефона* ради того, чтобы оставить коммент? Как раз подпадает под ваш первый пункт. Регистрация на таком сервисе должна быть если и сложнее, то не сильно, чем обычный login/pass, что сразу отметает все соц.сети.

У тебя нету аккаунта во вконтакте/фейсбуке/гугле/яндексе/...? Думаю таких как ты на столько мало, что вами можно пренебречь.

Кстате по поводу простых комментариев я бы сделал их оставление просто через модерацию. Если ресурс не предполагает использование регистрации для более широких целей.

но повсеместное использование «username/email + password» — как раз провоцирует это делать [одинаковые пароли] :-)

Ещё раз: для сервисов, защита которых важна, пароли запомнить не так уж и сложно. Для этого и программки специальные есть, если на то пошло. Всякие же openid и прочая хрень в принципе не дают такой возможности.

у меня этих паролей уже не меньше 200 разных.. честно

А еще сильно бесит когда на очередном сайте на котором ты проходишь регистрацию, что бы скачать 1 файл, при вводе пароля начинают писать, что qwerasdf слишком простой пароль, нужно что бы он был не менее 20 символов и обязательно содержал маленькие/большие буквы, цифры и спецсимволы.

Ещё раз: для сервисов, защита которых важна, пароли запомнить не так уж и сложно.

ну предположим из 200~300 сайтов — важных сайты только 20 штук..

...то есть ты предлагаешь запомнить 20 паролей? :) ну это можно в принципе, теоретически.. история показывает что люди всякое вытворять с собой могут, при большом желании :-)

(но чего ради такая мука? мы же (человечество) умные люди, и не хотим мучить себя? верно?)

Для этого и программки специальные есть, если на то пошло.

да, этих программ много. например — /usr/bin/gedit :-) .

А еще сильно бесит когда на очередном сайте на котором ты проходишь регистрацию, что бы скачать 1 файл, при вводе пароля начинают писать, что qwerasdf слишком простой пароль, нужно что бы он был не менее 20 символов и обязательно содержал маленькие/большие буквы, цифры и спецсимволы.

дааа!

а ещё бывает что когда подставляешь вывод из

$ head -c 6 /dev/urandom | base64

ну предположим из 200~300 сайтов — важных сайты только 20 штук..

У вас реально 200-300 активных аккаунтов и 20 сайтов, критичных к взлому? А живёте вы когда?

...то есть ты предлагаешь запомнить 20 паролей? :) ну это можно в принципе, теоретически.. история показывает что люди всякое вытворять с собой могут, при большом желании :-)

man keepassx

(но чего ради такая мука? мы же (человечество) умные люди, и не хотим мучить себя? верно?)

Ни один предложенных вариантов эту проблему не решает.

те кто проголосовал «username/email + password192 (57%)» — желаю чтобы вы горели в АДу! :-)

у меня этих паролей уже не меньше 200 разных.. честно

простите, наврал, я.

сейчас всё пересчитал.. за всю мою активную интернет-жизнь — накопилось 750 этих паролей!

но повсеместное использование «username/email + password» — как раз провоцирует это делать [одинаковые пароли] :-)

Осиль уже lastpass/keepassx/etc

man keepassx

я же не против. может быть keepassx это совсем и не плохая программа!

лично я пользоваться ей не буду хотябы как минимум по тому что интернетом я пользуюсь уже много лет, и наверное буду ещё много лет пользоваться.

а вот сколько времени существует программа keepassx (и сколько времени она будет существовать?) — даже не знаю :-).

и будет ли вообще эта программа способна работать на тех компьютерах, которые у меня появятся в будущем?

мне кажется что если нужно сохранить текстовую информацию — разве не самый лучший способ — сделать это через простой тектовый файл?

Просто мыло - http://vpoisk.tv/login/ без пароля.

Просто мыло - http://vpoisk.tv/login/ без пароля.

этот способ кстате даже ещё лучше чем Mozilla Persona! :-)

хотя «Mozilla Persona» в том виде в котором он сейчас реализован — чем-то очень похож на то что в http://vpoisk.tv/login/ :-)

лично я пользоваться ей не буду хотябы как минимум по тому что интернетом я пользуюсь уже много лет, и наверное буду ещё много лет пользоваться.

а вот сколько времени существует программа keepassx (и сколько времени она будет существовать?) — даже не знаю :-).

Загнётся - достанете данные и будете дальше влачить своё задротское существование.

мне кажется что если нужно сохранить текстовую информацию — разве не самый лучший способ — сделать это через простой тектовый файл?

Зависит от информации.

Загнётся - достанете данные и будете дальше влачить своё задротское существование.

ну как я говорил выше — почти все новые сайты сейчас делаются с поддержкой авторизации через Google/Facebook...

...так-что задротства остаёт(ь)ся всё меньше и меньше :-)

ну как я говорил выше — почти все новые сайты сейчас делаются с поддержкой авторизации через Google/Facebook...

Ох, лол. И эти люди рассуждают об опасности одинаковых паролей к сайтам.

И эти люди рассуждают об опасности одинаковых паролей к сайтам.

я не только говорю. я даже один разок был сведетелем покупки пачек логинов/паролей к одному определённому сайту.

как выяснилось — эти пароли были добыты — через создание другого побочного (подставного) сайта. а люди просто оставляли одни и те же логины/пароли на этих двух обоих сайтах.

кстате не дорого: тарифы в среднем: 300 рублей за более чем 1000 логинов/паролей. (чего уж скрывать — открою что это были аккаунты Яндекса.. там же целая жизнь! люди о чём-то переписываются друг с другом, ссорятся, мирятся.. одна девушка даже писала про самоубийство :))

И что в этом страшного?

Они будут использовать персональные данные для рассылки всякой дряни. Это самое безобидное. Заинтересованные могут выкопать о Вас очень много полезной для них инфы, которую можно использовать как в коммерческих, так и в преступных целях.

...или же только те данные, которые указаны на страничке соц-сети (например ни какие :-)) ?

Конечно, которые указаны. А недостающие заинтересованные лица и организации добудут из других источников.

OpenID и аналоги. Для всяких клиент-банков и госуслуг биометрика, но это спецдевайсы нужны... Опять же, если я травму получу, как мне потом доказывать что я это я?

которую можно использовать как в коммерческих, так и в преступных целях

Это вот например что?

OpenID с условием, что к одному аккаунту можно подцепить несколько OpenID-учеток

Mozilla Persona - в принципе, хороший концепт, но нужно совершать много действий, если используется e-mail клиент без веб-интерфейса.

username/email + password
OpenID
социальные сети, OAuth

Если учётка уже есть, то это, наоборот, проще, чем с нуля регистрироваться, т.ч. д.б. оба варианта