Перейти к публикации
casper_por

Двухфакторная Авторизация Вместо Регулярной Смены Пароля

Рекомендованные сообщения

Здравствуйте. Пробовал зайти в ЛК, долго вспоминал какой же у меня пароль установлен... надоело ломиться, ткнул на смену пароля. После этого перепробовал несколько вариантов "своих" паролей, пока случайно не увидел сообщение "новый пароль должен отличаться от текущего" - тогда просил затею смены пароля, и наконец-то вошёл. Собственно регулярная смена пароля понятна с точки зрения безопасности, жаль только что теперь вы храните информацию о предыдущих паролях (или их хэш?) и нет возможности сменить пароль на предыдущий. Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей.

Поделиться сообщением


Ссылка на сообщение

Можете не беспокоиться, пароли не хранятся ни текущие ни прошлые.

Альтернативные варианты авторизации планируются для мобильных программ. Для входа с пк мы все равно рекомендуем использовать уникальные пароли и хотя-бы иногда их менять. (судя по всему у вас есть пара паролей что вы везде используете, и если кто-то оба пароля поломает например в соц сетях или на форумах, то получит доступ ко всем вашим аккаунтам)

Поделиться сообщением


Ссылка на сообщение

 

судя по всему у вас есть пара паролей что вы везде используете

У меня есть несколько паролей, от самых простых которые для форумов, до сложных, связанных с финансами. Там где что-то может храниться (почты) везде двухфакторная авторизация, в т.ч. и в соцсети. Угоняли пока только аккаунт в скайпе черех службу поддержки, переведя его на похожий адрес электронной почты. Так что даже если кто-то узнает пароль, не имея доступа к мобильному телефону доступ от моего имени мало куда можно будет получить...

Просто доступ в ЛК Задармы считаю уже так же весьма важным с точки зрения защиты, а заведение более 4-5 различных паролей черевато тем что их надо будет уже записывать где-то кроме своей памяти, что потенциально более небезопасно.

Изменено пользователем casper_por

Поделиться сообщением


Ссылка на сообщение

Ок согласен, обсудим у себя двухфакторную авторизацию.

Поделиться сообщением


Ссылка на сообщение

Здравствуйте!

 

 

...Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей.

 

Полностью солидарен! Предлагал сделать это в 2012 году, но видимо идея не вдохновила техподдержку (support@zadarma.com) на передачу её разработчикам.
Именно хороша будет реализация подобной функции без всяких там СМС, а через ПО (благо и на стационарных и на мобильных ОС подобное имеется в достатке).
 

Ок согласен, обсудим у себя двухфакторную авторизацию.

 

Игорь, да по сути её часть уже есть у "Задарма", а точнее та часть, которую Google именует паролями приложений (пароль для доступа в ЛК и пароли для регистрации SIP-сессий). Полагаю можно воспользоваться опытом Google и при включении одноразово высвечивать QR-code (для мобильных устройств) и/или сам мастер-ключ (seed) для подключения приложения на ПК, которые после подключения будут недоступны для просмотра. Метод использовать TOTP, а не HOTP. А для пущей безопасности длину одноразового пароля можно увеличить до 8 символов.

 

Всем удачи! :)

Поделиться сообщением


Ссылка на сообщение

С отделом разработки это уже обсуждали.

Думаю в будущем обязательно сделаем.

Поделиться сообщением


Ссылка на сообщение

Игорь, а капчу при входе отменили? Временно?

Вероятно, количество неправильных попыток ввода пароля ограничено?

Понятно, что пароли типа 1234, qwerty или Love - "не наша тема", но ведь брутфорс тоже никто не отменял...

Поделиться сообщением


Ссылка на сообщение

Попробуйте ввести пароль не верно и все увидите. Так что перебора не будет.

 

Капча с первой попытки включается и будет включаться для некоторых доменов для других целей безопасности. Можете изменить имейл например на свой корпоративный домен, и капчи при первом вводе не будет.

Поделиться сообщением


Ссылка на сообщение

голосую за 2 факторную и за гугл аудентификтор, но пожелание сразу продумать вариант сохранения браузера на 30 дней (в случае 2 факторной),

просто наблюдаю, что её реализуют двумя способами:

1) когда один раз ввёл, поставил галку, чтоб в этом браузере на 30 дней не просить повторно вводить 2 фактор (в следующие 30 дней вводим только пароль)

2) когда сделали через не понятно что, и на каждый вход просит ещё раз ввести код -- это задалбывает

Изменено пользователем lenny

Поделиться сообщением


Ссылка на сообщение

А если появляется алерт про смену пароля, то сделайте её человеческой  без отправки на почту ссылки.

 

Как сейчас это сделано, это очень не безопасно, даже с учётом того, что у ссылки  TTL в 24 часа, но я вот жмакнул дважды на кнопку, получил два письма. Думаю, а какая валидная? ну думаю, логично, что последняя, иду и меняю. А потом думаю, а не щёлкнуть ли мне по второй ссылке из первого письма, нажимаю, перехожу, ввожу ещё один пароль и.. он меняется.

т.е. при том, что я только что сменил по запрошенной пароль, все остальные ссылки на смену не протухли.

 

Но все эти письма это прям не айс, лучше ввёл старыйновый -- сменили.

 

во-вторых зачем спрашивать там почту, если я перешел по ссылке из письма, с того адреса куда вы отправили? можно же сразу заполнить это поле. (я вот к слову не знаю почту на которую у меня аккаунт, оно всё подставляется из менеджера паролей).

 

ну и напоминаю про второй фактор.

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...