Регистрация, пароли и одно место (ч.I½)

А вот гражданин Proton в камментах к предыдущему опусу не повёлся на мой вброс и даже привёл конструктивную критику. Попробую что-нибудь ответить.

1. Пароль на почту — не секьюрно.

Ну, правил на все случаи нет, всегда головой нужно думать. Если важна безопасность, можно и не высылать на почту, можно и вводить мышкой на виртуальной клавиатуре. Плюс https, двухфакторная авторизация, usb-токен и бумажное письмо с паролем почтой России. Хотя последнее я бы не рекомендовал.

У меня таких сайта четыре, где я готов поеб.цо ради безопасности. Ещё есть полтора десятка сайтов, утеря доступа к которым принесла бы мне некий дискомфорт.

И ещё есть сотня разных форумов, рассылок, coub’ов, весёлых картинок, эксклюзивных фоточек котеков и остальной порнографии. Когда у меня сопрут почту, я больше буду волноваться за саму почту, чем за этот трэш.

Когда на подобных сайтах меня заставляют лишний раз думать, я обычно ухожу. Я не люблю думать лишний раз.

Итого: если у вас банк, вы можете требовать от клиентов каких-то действий ради их же безопастности.
А если у вас фоточки котиков и вы хотите удержать случайного посетителя, чтобы он зарегистрировался и написал в камментах «ми-ми-ми», то будьте проще. И в первую очередь подумайте, зачем вам вообще эта регистрация сдалась.

2. «один клик по полю с паролем и lastpass генерит мне уникальный пароль необходимой мне сложности и длины и заполняет оба поля»

Да, не надо забывать и о более прошаренных боярах. Значит просто вкладочка «ввесть пароль самому» и вкладочка «создать пароль и прислать».

5 комментариев »

  • >Да, не надо забывать и о более прошаренных боярах. Значит просто вкладочка «ввесть пароль самому» и вкладочка «создать пароль и прислалть».

    Ну да, это оптимальный вариант.
    Сейчас я помню всего четыре пароля:
    1. пароль от почты
    2. пароль от lastpass
    3. пароль пользователя, заведённого у меня на компе
    4. пароль от зашифрованной директории encfs

    И всё, вот и вся безопасность :)

    proton, 24.07.2014, 11:27

  • Пароль на почту это вообще пофиг если есть возможность сбросить или восстановить пароль с помощью почты.

    kostyl, 24.07.2014, 17:19

  • Лично меня с моей паранойей очень бы устроил вариант вообще не вводить и не показывать пароль, только генерировать. Пусть браузер помнит токен в куках. При необходимости затребую на почту ссылку на генерацию новой куки. Главное чтобы ссылка была гарантированно одноразовая и короткоживущая.

    Проблема только если надо временно опустить жопу за чужой комп. Тут надо думать…

    artoodetoo, 29.07.2014, 14:43

  • Запасной вариант беспарольной аутентификации это генератор ответов в мобилке — запись в Google Authenticator.

    Пароль не нужен!

    artoodetoo, 29.07.2014, 14:49

  • психослёт ждёт тебя

    pyhabot, 7.08.2014, 10:41

Leave a comment