x
 
Павел Карасёв
18 февраля 2010

Как вам идея авторизации на сайте через файл-ключ?

Попробовать можно и нужно.



Павел!

Не обижайтесь, но я нахожу вашу идею слабой.

В качестве шаблона для своего изобретения вы используете другое изобретение — механический ключ от замка, который далёк от идеала.

Ключ легко потерять или забыть. «Внучок, приезжай в Бибирево, я флешку к Одноклассникам потеряла.— Бабушка, посмотри на комоде».

Задача ключа и замка — ограничить доступ к объекту всем, кроме владельца. Допущение в том, что ключом всегда владеет хозяин. Но мы знаем из реальной жизни, что допущение очень зыбкое.

Идеальный ключ всегда с хозяином и им нельзя завладеть. То есть это сам хозяин. Пароль — шаг в сторону идеала, но его можно забыть или выпытать. Сетчатку и отпечатки пальцев наверняка можно подделать или отделить от хозяина. Остаётся, наверно, регистрировать мозговые волны :-)

Хорошее решение аутентификации в вебе предлагает Аза Раскин (сын Джефа Раскина). Твоё «я» должно жить прямо в браузере, а не на каждом сайте. И автоматически распространяться на все твои личные устройства.


Поделиться
Отправить

Комментарии

Денис Попов
18 февраля 2010

Аутентификация (перестаньте наконец путать с авторизацией) при помощи файла-ключа давно существует и применяется. См X. 509 и связанные с ним разработки.

Удобна ли такая система, легко выяснить, погуглив: «webmoney сертификат яндекс пароль».

Кирилл Латинский
18 февраля 2010

При подключении к удалённым компьютерам через SSH файлы-ключи — единственный правильный выбор. Например, на моём сервере уже давно паролей не существует как понятия. В случае кражи файла ключа ничего страшного не произойдёт: ключ защищается собственным «паролем» (passphrase), без ввода которого он не работает.

В случае SSH мне мало куда надо подключаться, чаще всего все команды с прописанными путями к файлам ключей есть в истории. Что-то подобное на вебе для каждого входа неудобно, и имеет смысл только в каких-нибудь суперстрашных банковских системах.

Меня в своё время посещала другая мысль: при регистрации нужно высылать пользователю письмо, и в это письмо класть файл, который использовать для восстановлении пароля.

И последняя мысль: в большинстве проектов достаточно сделать Опен-айди и не мучать никому мозг.

Сергей Хабаров
18 февраля 2010

В какой-то степени технология авторизации по cookies напоминает то, что предлагает Павел. Это действительно удобная вещь, когда человек несколько раз заходит на сайт с одного и того же компьютера. Меньше вводимых данных — эффективнее интерфейс.

Но что будет, если человек захочет зайти на сайт под своей учёткой с компьютера друга или из интернет-салона? Здесь, на мой взгляд, удобнее помнить свой пароль, чем носить с собой флешку-ключ или подобный девайс.

Более продвинутый вариант этой идеи мог бы пригодится там, где в целях защиты информации пароли надо постоянно менять. Тогда записанная на ключе программа, генерирующая ключ по особому алгоритму могла бы оказаться полезной. Но на этот вопрос гораздо лучше меня ответит хороший специалист по информационной безопасности.

А со своей стороны выскажу подозрение, что ввести логин и пароль получится быстрее, чем найти файл-ключ с помощью диалога выбора файлов.

Евгений Бакст
18 февраля 2010

Если ключ должен быть всегда с хозяином и им нельзя завладеть, тогда в системе должна быть возможность к одной учётной записи привязывать несколько ключей.

Например, мой аккаунт на ebay — это наш семейный аккаунт. Моим банковским счётом пользуется и моя жена.

Глеб Арестов
18 февраля 2010

Артём, вы, во-первых, противоречите сами себе, утверждая, что предложенный вариант не подходящий, потому что допускается, что ключом владеет только хозяин, тут же предлагаете вариант, в котором допускается, что к браузеру имеет доступ только один человек.

Во-вторых, файл необязательно хранить на флешке — dropbox, копия в своём почтовом ящике к нашим услугам, а значит, потерять труднее.

И это необязательно должен быть файл (можно использовать очень длинную строку) — тогда «заметки» в Opera link или Evernote. (И всё это распространяется на все устройства).

В-третьих, это реализуемый сейчас вариант. Трудно представить дату, когда браузеры договорятся и сделают такой паспорт, какой предлагает Аза. Мне кажется, этот аспект нужно учитывать при реальном проектировании интерфейса, как приходится учитывать, что люди пользуются мышками и тачскрины у всех.

Последнее, что хочу сказать — вариант действительно спорный, потому что у кого-то файлы могут совпасть. И эта вероятность не нулевая

Павел Карасёв
19 февраля 2010

Уважаемый Артём!

Я нисколько не обижаюсь, это было бы глупо и неадекватно с моей стороны.

К тому же я бы не назвал это своей идеей — это, скорее, моё открытие, потому что, как вы верно заметили, идея замка и ключа уходит в века, а я лишь пытаюсь использовать в электронном мире то, что мы используем в мире физическом.

Я полностью разделяю ваше мнение относительно слабой надёжности, но предлагая авторизацию по файл-ключу, я имею в виду, что:
1. Любой ключ можно подделать, и он ненадёжен, особенно, перед тем, кто его хочет добыть незаконно.

2. Идеальный ключ невозможен по определению, в этом нужно честно признаться, хотя многие пытаются снова и снова придумать что-то позаковыристей (отпечатки, сетчатка, мозговые волны и т. д.)

3. Электронный мир, казалось бы, пошёл своим путём: придумал логин и пароль. Однако это было сделано по необходимости: связи с физическим миром не было.

4. Я предлагаю сделать мостик между физическим и электронным миром, т. е. перенести обычные ключи с замками на электронный манер: файл-ключи с приёмными формами.

5. Мыслить физическими понятиями гораздо легче: работает абстрактная, зрительная и ассоциативная память. В отличии от простого логина с паролем, когда работает только прямая память (не знаю, как её назвать).

Ваш пример с Бибирево – это как раз то, на что я рассчитывал! Именно для людей, не особо подкованных в электронном смысле. Мостик между физическим и электронным миром через ассоциацию «ключ — замок» может открыть дорогу в электронный мир, где в принципе всё то же самое, только на свой электронный манер.

Короче, я предлагаю своим решением не изменять мир, а наоборот: электронный мир подстраивать под мир физический. Ибо нет тока, нет и электричества. А, значит, ключ с замком никуда не денутся.

Антон Шеин
19 февраля 2010

Вебмани ведь уже с незапамятных времён используют систему ключей. Более того, их нужно раз в год обновлять. Причём обновить можно не раньше, чем за месяц до истечения срока предыдущего. Если не успеешь обновить или потеряешь ключ — прощай, кошелёк.

Я вот не успел, и больше этой системой пользоваться не собираюсь :-)

Алексей Федоров
19 февраля 2010

Павел, дело в том, что ввод логина и пароля занимает гораздо меньше времени, чем поиск нужного файла на компьютере или — что более вероятно — на флешке. Я лично ввожу логин и пароль быстрее, чем достаю флешку из кармана джинсов (даже при условии, что они на мне, а не висят на вешалке в соседней комнате :-)

А ключ-файл имеет смысл хранить именно на флешке — на своём компьютере проще поставить галочку «Запомнить логин и пароль».
Или вот пример — можно зайти в интернет-кафе по дороге на пляж. В этом случае тащить с собой флешку не стоит. И ещё одно соображение — проще придумать один-два надежных и запоминающихся пароля и использовать их везде, нежели использовать сто коротких.

Даниил Рус
19 февраля 2010

Солидарен с А. Г. насчёт «ключей», хотя считаю систему «логин-пароль» не менее убогой и неудобной (это если закрыть глаза на тот факт, что каждый сайт с регистрацией так и норовит замусорить ящик «полезными» новостями).

Насчёт же системы Раскина сразу приходит на ум, что когда-то проект OpenID задумывался именно как панацея для интернет-пользователей и предполагал развёртывание в любой ОС по умолчанию (это если вспомнить первые анонсы). Однако сие предприятие по ходу дела захирело, и сейчас OpenID представляет собой исключительно «лекарство» от постоянного копи-пейста логина и пароля на сайтах, хотя толку от него всё ж немного.

Вообще, есть соображение, что W3C надо наконец-то взяться за стандартизацию системы логинов-паролей и сделать это так, как предлагает Раскин, но с той лишь поправкой, что такие важные данные нужно хранить где-то кроме компьютера, т. к. винчестеры постоянно «сыпятся», вирусы эти самые винчестеры тоже непрочь поформатировать чуток и случаются прочие концы света.


Цель рубрики — обсуждение вопросов дизайна всех видов, текста в дизайне и взаимоотношений дизайнеров с клиентами.

Мы публикуем комментарии, которые добавляют к уже сказанному новые мысли и хорошие примеры. Мы ожидаем, что такие комментарии составят около 20% от общего числа.

Решение о публикации принимается один раз; мы не имеем возможности комментировать или пересматривать свое решение, хотя оно может быть ошибочно. Уже опубликованные комментарии могут быть удалены через некоторое время, если без них обсуждение не становится менее ценным или интересным.

Вот такой веб 2.0.

Если пользователь при авторизации на сайте трижды неправильно ввёл пароль, то на его электронную почту автоматически высылается письмо с ссылкой на восстановление 5 Зачем формы авторизации часто делают во всплывающих лайтбоксах 2 При запросе восстановления пароля сайты высылают подтверждение, при нажатии на ссылку генерируется новый пароль и высылается второе письмо 7 23