Наиболее удачный способ аутентификации в web с вашей точки зрения

А недостающие заинтересованные лица и организации добудут из других источников.

если уж они, заинтересованные лица, такие проинформированные (из своих источников) — то зачем же им нужна моя пустая социальная страничка? :)

золотые слова

если уж они, заинтересованные лица, такие проинформированные (из своих источников) — то зачем же им нужна моя пустая социальная страничка? :)

Это Ваша пустая. А у многих она очень даже заполненная разной личной инфой.

Это вот например что?

Имя пользователя + действующий электронный адрес + куча персональных данных из соцсети, выложенных самим юзером — этого мало?

а меня вот очень расстраивает, когда вложения на сайтах никак не посмотреть без регистрации

Я внимательно слушаю варианты использования в коммерческих и преступных целях.

Хочу аутентификацию в вебе на манер ssh по ключам.
При регистрации клиент засылает на сервер свой открытый ключ, сервер его запоминает и в дальнейшем использует для аутентификации этого клиента.
Ключ можно например зашить в аппаратный токен.

Вот запереть бы в место эту страшную говорящую капчу, в которой буквы хрен разберешь был бы рай. Я про ту которая почти сейчас везде.
ps: помню инет без регистраций всяких...

Это вообще дибилизм. И за это нужно бить е.
Еще греет когда после регистрации кидает не туда где был...

Стандартные логин/пароль

Пожалуй, плюсану.

username/email + password

OpenID

OAuth

username/email + password & Клиентская SSL аутентификация

Лорчую!

номер читательского билета в аудитории библиотеки!

Ssl ключ.

С другой стороны, иногда коммент оставить хочется, а аккаунт заводить - нет. В этом случае котирую логин через гуглоплюс.

Вот и тебе стала очевидна прелесть OpenID.

Нет, не стала. Гуглоплюс хорош тем, что он уже есть, и его не надо заводить. И он не подходит на роль основного средства аутентификации.

OpenID есть у всех, у кого есть аккаунт на яндексе, например.

Аккаунт гугла есть у большего числа людей.

У меня есть гугл, но категорически не хочу заводить гугл-плюс.

Ваши половые проблемы.

Взаимно.

У меня есть гугл, но категорически не хочу заводить гугл-плюс.

а как же вы такой смельчаг — решились на такой смелый шаг — как заведение аккаунта на LOR ?

не страшно?

LOR безопаснее чем G+ ? :-)

Зачем нужны все эти openID и OAuth я слабо понимаю.

точно знаю: удобство.

(вот только точно не знаю чьё).

OpenID, OAuth, Mozilla Persona. Чем лучше читаем в википедии

прочитал. Так и не понял. Так чем оно лучше моего локального текстового файлика с кучей паролей?

хэш-код, вычисляемый на клиенте.

ок, клиент вычислил хеш, что он даёт, по сравнению с паролем?

за биометрикой будущее

«username/email + password» могут себе позволить разве что ресурсы уже накопившие базу пользователей.

…или те, кому такая база не нужна, и которые согласны с тем, что комменты может ставить аноним, который подписывается как ему нравится.

Так чем оно лучше моего локального текстового файлика с кучей паролей?

Отсутствием локального текстового файлика с кучей паролей как лишней сущности, которую нужно поддерживать самому?

Причем тут безопасность? Зачем мне ещё одна социалочка?

лишняя сущность всё равно есть. Это твой локальный ключ.

причём этот ключ даёт доступ к куче сайтов одновременно.

Но если его можно будет инвалидировать везде одновременно, то это будет уже неплохо.

В этом случае котирую логин через гуглоплюс.

Ах вот почему у тебя клетчатая рубашка на аватарке! :)

Очень хотел проголосовать за OpenID, но увы - гемора с ним много, причём периодически на ровном месте.

Поэтому в результате выбрал «username/email + password». Да, у этой системы тьма недостатков, надо помнить кучу паролей... но ОНО ТУПО РАБОТАЕТ.

А зачем вообще аутентификация нужна? куда не зайдёшь, просят регистрацию, а зачем? нет никакого желания давать адрес почты чтобы потом завалили спамом.

Капча.

Дурацкий опрос. Все способы нужны, зависит от задачи. Проголосовал за все сразу )

Хочу аутентификацию в вебе на манер ssh по ключам. При регистрации клиент засылает на сервер свой открытый ключ, сервер его запоминает и в дальнейшем использует для аутентификации этого клиента.

Это называется сессия\куки

Конечно, куки. Простите, email/password. А что вы ожидали? Если был бы вменяемый другой способ, он был бы уже везде реализован.

Вы в курсе как работает несимметричная криптография? Я говорю именно об этом, печеньки тут и близко непричём.
Публичный (открытый) ключ клиента передаётся серверу только один раз (при заведении клиентом учётки на сервере). В дальнейшем клиент аутентифицирует себя подписывая своим закрытым ключом некоторое рандомное сообщение от сервера, сервер проверяет подпись клиента используя ассоциированный с него учёткой публичный ключ. Если подпись сходится — значит клиент тот за кого себя выдаёт. Дальше уже включается стандартный механизм с куками, тут просто особого выбора нет, хотя клиент конечно может подписывать каждое своё сообщение, но это дорого.

Печеньку можно украсть, она передаётся по сети, а ключ публичный — бери, кто хочет.

Печеньку можно украсть, она передаётся по сети

согласен, так есть же https

где вариант «показывать писюн» ? Я возмущён!

Да, но у асимметрии есть киллер-фича: у тебя будет одна и та же печенька для всех сайтов, нет надобности её держать в тайне. При наличии некого публичного хранилища публичных же ключей (жел-но децентрализованного) можно будет вообще не регистрироваться на сайтах, а сразу представляться публичным ключом. Также можно сделать процедуру инвалидации ключа, которая сделает его недействительным и отрежет доступ сразу ко всем сайтам злоумышленнику, укравшему приватный ключ.