casper_por 0 Опубликовано: 25 января 2016 Share Опубликовано: 25 января 2016 Здравствуйте. Пробовал зайти в ЛК, долго вспоминал какой же у меня пароль установлен... надоело ломиться, ткнул на смену пароля. После этого перепробовал несколько вариантов "своих" паролей, пока случайно не увидел сообщение "новый пароль должен отличаться от текущего" - тогда просил затею смены пароля, и наконец-то вошёл. Собственно регулярная смена пароля понятна с точки зрения безопасности, жаль только что теперь вы храните информацию о предыдущих паролях (или их хэш?) и нет возможности сменить пароль на предыдущий. Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей. Ссылка на сообщение
Igor 0 Опубликовано: 25 января 2016 Share Опубликовано: 25 января 2016 Можете не беспокоиться, пароли не хранятся ни текущие ни прошлые. Альтернативные варианты авторизации планируются для мобильных программ. Для входа с пк мы все равно рекомендуем использовать уникальные пароли и хотя-бы иногда их менять. (судя по всему у вас есть пара паролей что вы везде используете, и если кто-то оба пароля поломает например в соц сетях или на форумах, то получит доступ ко всем вашим аккаунтам) Ссылка на сообщение
casper_por 0 Опубликовано: 25 января 2016 Автор Share Опубликовано: 25 января 2016 (изменено) судя по всему у вас есть пара паролей что вы везде используете У меня есть несколько паролей, от самых простых которые для форумов, до сложных, связанных с финансами. Там где что-то может храниться (почты) везде двухфакторная авторизация, в т.ч. и в соцсети. Угоняли пока только аккаунт в скайпе черех службу поддержки, переведя его на похожий адрес электронной почты. Так что даже если кто-то узнает пароль, не имея доступа к мобильному телефону доступ от моего имени мало куда можно будет получить... Просто доступ в ЛК Задармы считаю уже так же весьма важным с точки зрения защиты, а заведение более 4-5 различных паролей черевато тем что их надо будет уже записывать где-то кроме своей памяти, что потенциально более небезопасно. Изменено 25 января 2016 пользователем casper_por Ссылка на сообщение
Igor 0 Опубликовано: 25 января 2016 Share Опубликовано: 25 января 2016 Ок согласен, обсудим у себя двухфакторную авторизацию. Ссылка на сообщение
rlsd 0 Опубликовано: 9 марта 2016 Share Опубликовано: 9 марта 2016 Здравствуйте! ...Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей. Полностью солидарен! Предлагал сделать это в 2012 году, но видимо идея не вдохновила техподдержку (support@zadarma.com) на передачу её разработчикам. Именно хороша будет реализация подобной функции без всяких там СМС, а через ПО (благо и на стационарных и на мобильных ОС подобное имеется в достатке). Ок согласен, обсудим у себя двухфакторную авторизацию. Игорь, да по сути её часть уже есть у "Задарма", а точнее та часть, которую Google именует паролями приложений (пароль для доступа в ЛК и пароли для регистрации SIP-сессий). Полагаю можно воспользоваться опытом Google и при включении одноразово высвечивать QR-code (для мобильных устройств) и/или сам мастер-ключ (seed) для подключения приложения на ПК, которые после подключения будут недоступны для просмотра. Метод использовать TOTP, а не HOTP. А для пущей безопасности длину одноразового пароля можно увеличить до 8 символов. Всем удачи! :) Ссылка на сообщение
Igor 0 Опубликовано: 10 марта 2016 Share Опубликовано: 10 марта 2016 С отделом разработки это уже обсуждали. Думаю в будущем обязательно сделаем. Ссылка на сообщение
Andrew340 0 Опубликовано: 12 марта 2016 Share Опубликовано: 12 марта 2016 Игорь, а капчу при входе отменили? Временно? Вероятно, количество неправильных попыток ввода пароля ограничено? Понятно, что пароли типа 1234, qwerty или Love - "не наша тема", но ведь брутфорс тоже никто не отменял... Ссылка на сообщение
Igor 0 Опубликовано: 12 марта 2016 Share Опубликовано: 12 марта 2016 Попробуйте ввести пароль не верно и все увидите. Так что перебора не будет. Капча с первой попытки включается и будет включаться для некоторых доменов для других целей безопасности. Можете изменить имейл например на свой корпоративный домен, и капчи при первом вводе не будет. Ссылка на сообщение
lenny 0 Опубликовано: 24 марта 2016 Share Опубликовано: 24 марта 2016 (изменено) голосую за 2 факторную и за гугл аудентификтор, но пожелание сразу продумать вариант сохранения браузера на 30 дней (в случае 2 факторной), просто наблюдаю, что её реализуют двумя способами: 1) когда один раз ввёл, поставил галку, чтоб в этом браузере на 30 дней не просить повторно вводить 2 фактор (в следующие 30 дней вводим только пароль) 2) когда сделали через не понятно что, и на каждый вход просит ещё раз ввести код -- это задалбывает Изменено 24 марта 2016 пользователем lenny Ссылка на сообщение
lenny 0 Опубликовано: 15 ноября 2017 Share Опубликовано: 15 ноября 2017 А если появляется алерт про смену пароля, то сделайте её человеческой без отправки на почту ссылки. Как сейчас это сделано, это очень не безопасно, даже с учётом того, что у ссылки TTL в 24 часа, но я вот жмакнул дважды на кнопку, получил два письма. Думаю, а какая валидная? ну думаю, логично, что последняя, иду и меняю. А потом думаю, а не щёлкнуть ли мне по второй ссылке из первого письма, нажимаю, перехожу, ввожу ещё один пароль и.. он меняется. т.е. при том, что я только что сменил по запрошенной пароль, все остальные ссылки на смену не протухли. Но все эти письма это прям не айс, лучше ввёл старыйновый -- сменили. во-вторых зачем спрашивать там почту, если я перешел по ссылке из письма, с того адреса куда вы отправили? можно же сразу заполнить это поле. (я вот к слову не знаю почту на которую у меня аккаунт, оно всё подставляется из менеджера паролей). ну и напоминаю про второй фактор. Ссылка на сообщение
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас