casper_por Posted January 25, 2016 Share Posted January 25, 2016 Здравствуйте. Пробовал зайти в ЛК, долго вспоминал какой же у меня пароль установлен... надоело ломиться, ткнул на смену пароля. После этого перепробовал несколько вариантов "своих" паролей, пока случайно не увидел сообщение "новый пароль должен отличаться от текущего" - тогда просил затею смены пароля, и наконец-то вошёл. Собственно регулярная смена пароля понятна с точки зрения безопасности, жаль только что теперь вы храните информацию о предыдущих паролях (или их хэш?) и нет возможности сменить пароль на предыдущий. Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей. Link to comment
Igor Posted January 25, 2016 Share Posted January 25, 2016 Можете не беспокоиться, пароли не хранятся ни текущие ни прошлые. Альтернативные варианты авторизации планируются для мобильных программ. Для входа с пк мы все равно рекомендуем использовать уникальные пароли и хотя-бы иногда их менять. (судя по всему у вас есть пара паролей что вы везде используете, и если кто-то оба пароля поломает например в соц сетях или на форумах, то получит доступ ко всем вашим аккаунтам) Link to comment
casper_por Posted January 25, 2016 Author Share Posted January 25, 2016 (edited) судя по всему у вас есть пара паролей что вы везде используете У меня есть несколько паролей, от самых простых которые для форумов, до сложных, связанных с финансами. Там где что-то может храниться (почты) везде двухфакторная авторизация, в т.ч. и в соцсети. Угоняли пока только аккаунт в скайпе черех службу поддержки, переведя его на похожий адрес электронной почты. Так что даже если кто-то узнает пароль, не имея доступа к мобильному телефону доступ от моего имени мало куда можно будет получить... Просто доступ в ЛК Задармы считаю уже так же весьма важным с точки зрения защиты, а заведение более 4-5 различных паролей черевато тем что их надо будет уже записывать где-то кроме своей памяти, что потенциально более небезопасно. Edited January 25, 2016 by casper_por Link to comment
Igor Posted January 25, 2016 Share Posted January 25, 2016 Ок согласен, обсудим у себя двухфакторную авторизацию. Link to comment
rlsd Posted March 9, 2016 Share Posted March 9, 2016 Здравствуйте! ...Собственно хотелось бы иметь возможность двухфакторной авторизации посредством какой-нибудь из технологий доступных (к примеру через программу для смартфона google authenticator) и таким образом снять ограничения на использование предыдущих паролей. Полностью солидарен! Предлагал сделать это в 2012 году, но видимо идея не вдохновила техподдержку (support@zadarma.com) на передачу её разработчикам. Именно хороша будет реализация подобной функции без всяких там СМС, а через ПО (благо и на стационарных и на мобильных ОС подобное имеется в достатке). Ок согласен, обсудим у себя двухфакторную авторизацию. Игорь, да по сути её часть уже есть у "Задарма", а точнее та часть, которую Google именует паролями приложений (пароль для доступа в ЛК и пароли для регистрации SIP-сессий). Полагаю можно воспользоваться опытом Google и при включении одноразово высвечивать QR-code (для мобильных устройств) и/или сам мастер-ключ (seed) для подключения приложения на ПК, которые после подключения будут недоступны для просмотра. Метод использовать TOTP, а не HOTP. А для пущей безопасности длину одноразового пароля можно увеличить до 8 символов. Всем удачи! :) Link to comment
Igor Posted March 10, 2016 Share Posted March 10, 2016 С отделом разработки это уже обсуждали. Думаю в будущем обязательно сделаем. Link to comment
Andrew340 Posted March 12, 2016 Share Posted March 12, 2016 Игорь, а капчу при входе отменили? Временно? Вероятно, количество неправильных попыток ввода пароля ограничено? Понятно, что пароли типа 1234, qwerty или Love - "не наша тема", но ведь брутфорс тоже никто не отменял... Link to comment
Igor Posted March 12, 2016 Share Posted March 12, 2016 Попробуйте ввести пароль не верно и все увидите. Так что перебора не будет. Капча с первой попытки включается и будет включаться для некоторых доменов для других целей безопасности. Можете изменить имейл например на свой корпоративный домен, и капчи при первом вводе не будет. Link to comment
lenny Posted March 24, 2016 Share Posted March 24, 2016 (edited) голосую за 2 факторную и за гугл аудентификтор, но пожелание сразу продумать вариант сохранения браузера на 30 дней (в случае 2 факторной), просто наблюдаю, что её реализуют двумя способами: 1) когда один раз ввёл, поставил галку, чтоб в этом браузере на 30 дней не просить повторно вводить 2 фактор (в следующие 30 дней вводим только пароль) 2) когда сделали через не понятно что, и на каждый вход просит ещё раз ввести код -- это задалбывает Edited March 24, 2016 by lenny Link to comment
lenny Posted November 15, 2017 Share Posted November 15, 2017 А если появляется алерт про смену пароля, то сделайте её человеческой без отправки на почту ссылки. Как сейчас это сделано, это очень не безопасно, даже с учётом того, что у ссылки TTL в 24 часа, но я вот жмакнул дважды на кнопку, получил два письма. Думаю, а какая валидная? ну думаю, логично, что последняя, иду и меняю. А потом думаю, а не щёлкнуть ли мне по второй ссылке из первого письма, нажимаю, перехожу, ввожу ещё один пароль и.. он меняется. т.е. при том, что я только что сменил по запрошенной пароль, все остальные ссылки на смену не протухли. Но все эти письма это прям не айс, лучше ввёл старыйновый -- сменили. во-вторых зачем спрашивать там почту, если я перешел по ссылке из письма, с того адреса куда вы отправили? можно же сразу заполнить это поле. (я вот к слову не знаю почту на которую у меня аккаунт, оно всё подставляется из менеджера паролей). ну и напоминаю про второй фактор. Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now