Двухфакторная Авторизация Вместо Регулярной Смены Пароля

[casper_por]

Здравствуйте. Пробовал зайти в ЛК, долго вспоминал какой же у меня пароль установлен... надоело ломиться, ткнул на смену пароля. После этого перепробовал несколько вариантов "своих" паролей, пока случайно не увидел сообщение "новый пароль должен отличаться от текущего" - тогда просил затею смены пароля, и наконец-то вошёл. Собственно регулярная смена пароля понятна с точки зрения безопасности, жаль только что теперь вы храните информацию о предыдущих паролях (или их хэш?) и нет возможности сменить пароль на предыдущий. Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей.

[Igor]

Можете не беспокоиться, пароли не хранятся ни текущие ни прошлые.

Альтернативные варианты авторизации планируются для мобильных программ. Для входа с пк мы все равно рекомендуем использовать уникальные пароли и хотя-бы иногда их менять. (судя по всему у вас есть пара паролей что вы везде используете, и если кто-то оба пароля поломает например в соц сетях или на форумах, то получит доступ ко всем вашим аккаунтам)

[casper_por]

 

судя по всему у вас есть пара паролей что вы везде используете

У меня есть несколько паролей, от самых простых которые для форумов, до сложных, связанных с финансами. Там где что-то может храниться (почты) везде двухфакторная авторизация, в т.ч. и в соцсети. Угоняли пока только аккаунт в скайпе черех службу поддержки, переведя его на похожий адрес электронной почты. Так что даже если кто-то узнает пароль, не имея доступа к мобильному телефону доступ от моего имени мало куда можно будет получить...

Просто доступ в ЛК Задармы считаю уже так же весьма важным с точки зрения защиты, а заведение более 4-5 различных паролей черевато тем что их надо будет уже записывать где-то кроме своей памяти, что потенциально более небезопасно.

Edited January 25, 2016 by casper_por

[Igor]

Ок согласен, обсудим у себя двухфакторную авторизацию.

[rlsd]

Здравствуйте!

 

 

...Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей.

 

Полностью солидарен! Предлагал сделать это в 2012 году, но видимо идея не вдохновила техподдержку (support@zadarma.com) на передачу её разработчикам.

Именно хороша будет реализация подобной функции без всяких там СМС, а через ПО (благо и на стационарных и на мобильных ОС подобное имеется в достатке).

 

Ок согласен, обсудим у себя двухфакторную авторизацию.

 

Игорь, да по сути её часть уже есть у "Задарма", а точнее та часть, которую Google именует паролями приложений (пароль для доступа в ЛК и пароли для регистрации SIP-сессий). Полагаю можно воспользоваться опытом Google и при включении одноразово высвечивать QR-code (для мобильных устройств) и/или сам мастер-ключ (seed) для подключения приложения на ПК, которые после подключения будут недоступны для просмотра. Метод использовать TOTP, а не HOTP. А для пущей безопасности длину одноразового пароля можно увеличить до 8 символов.

 

Всем удачи! :)

[Igor]

С отделом разработки это уже обсуждали.

Думаю в будущем обязательно сделаем.

[Andrew340]

Игорь, а капчу при входе отменили? Временно?

Вероятно, количество неправильных попыток ввода пароля ограничено?

Понятно, что пароли типа 1234, qwerty или Love - "не наша тема", но ведь брутфорс тоже никто не отменял...

[Igor]

Попробуйте ввести пароль не верно и все увидите. Так что перебора не будет.

 

Капча с первой попытки включается и будет включаться для некоторых доменов для других целей безопасности. Можете изменить имейл например на свой корпоративный домен, и капчи при первом вводе не будет.

[lenny]

голосую за 2 факторную и за гугл аудентификтор, но пожелание сразу продумать вариант сохранения браузера на 30 дней (в случае 2 факторной),

просто наблюдаю, что её реализуют двумя способами:

1) когда один раз ввёл, поставил галку, чтоб в этом браузере на 30 дней не просить повторно вводить 2 фактор (в следующие 30 дней вводим только пароль)

2) когда сделали через не понятно что, и на каждый вход просит ещё раз ввести код -- это задалбывает

Edited March 24, 2016 by lenny

[lenny]

А если появляется алерт про смену пароля, то сделайте её человеческой  без отправки на почту ссылки.

 

Как сейчас это сделано, это очень не безопасно, даже с учётом того, что у ссылки  TTL в 24 часа, но я вот жмакнул дважды на кнопку, получил два письма. Думаю, а какая валидная? ну думаю, логично, что последняя, иду и меняю. А потом думаю, а не щёлкнуть ли мне по второй ссылке из первого письма, нажимаю, перехожу, ввожу ещё один пароль и.. он меняется.

т.е. при том, что я только что сменил по запрошенной пароль, все остальные ссылки на смену не протухли.

 

Но все эти письма это прям не айс, лучше ввёл старыйновый -- сменили.

 

во-вторых зачем спрашивать там почту, если я перешел по ссылке из письма, с того адреса куда вы отправили? можно же сразу заполнить это поле. (я вот к слову не знаю почту на которую у меня аккаунт, оно всё подставляется из менеджера паролей).

 

ну и напоминаю про второй фактор.