логин: 
<< предыдущая заметкаследующая заметка >>
09 февраля 2015
удобнейшая авторизация от TeddyId.com

Сегодня расскажу про крайне полезный сервис teddyid.com, который я изучил и привинтил к движку в своем блоге. Это - двухфакторная система авторизации, которая позволяет забыть о паролях (и их утечках) не только на сайтах, где эта система установлена (например, на моем), а вообще на любых сайтах интернета (плагин к браузеру). А для банков, организаций и юрлиц это еще специальный сервис: цифровые подписи, ведение некоторой документации и учета.

Идея в том, что одним из гарантов индентификации является не только компьютер, с которого производится действие, но и личный смартфон, с которым система в нужный момент выходит на связь и запрашивает подтверждение (а также сайт может задавать по API и произвольные вопросы, получая от пользователя ответ со смартфона). Забегая вперед, скажу, что в такой системе важна реализация и юзабилити, и здесь это на высоте: все происходит быстро и удобно.

предыстория

Существующая система паролей в интернете, мягко говоря, устарела. Время от времени где-то чей-то аккаунт ломают, и пользователь начинает громко жаловаться на "подобранный" пароль. Чего в реальности практически не бывает, потому что пароли уплывают после взлома компьютера или методами социальной инженерии. Но дело не в этом. Разработчики систем, напуганные жалобами пользователей, начинают изобретать методы усложнения паролей: и чтоб не менее 8 символов, и чтоб разного регистра буквы, и чтоб была хотя бы одна цифра или спецсимвол... В результате пароль получается таким, что запомнить его нереально (особенно если активно живешь в сети и постоянно где-то регистрируешься). Соответственно, пользователь начинает запоминать пароль в браузере, записывать на бумажке над рабочим столом, соответственно риск угона возрастает... замкнутый круг.

С проявлением мобильников в качестве личного аксессуара некоторым (в первую очередь платежным системам) стала приходить в голову идея двухфакторной авторизации - когда при логине система просит подтверждение с использованием личного мобильника. Однако это обычно оставалось на уровне "дождитесь SMS с кодом и введите его сюда".

Создатели проекта teddyid.com пошли дальше - они предложили избавиться от паролей вообще, забыв их как страшный грех.

В настоящее время система teddyid.com предлагает несколько полезных вещей: для простого пользователя, для разработчика сайтов и для корпорации. Расскажу по порядку.

TeddyId для рядового пользователя

Менеджер паролей от TeddyId работает для любого сайта - даже если сайт ничего не знает о TeddyId. Смотрим короткий ролик:

Как это устроено технически? Плагин к браузеру, который взаимодействует с приложением teddyid на смартфоне. Плагин активизируется при наличии на странице любого сайта формы INPUT/password ввода пароля. При первом вводе плагин предлагает запомнить пароль в системе teddyid (можно отказаться). Далее пароль преобразуется современными криптографическими методами на две шифрованные части. Одна часть запоминается на сайте teddyid, другая - в локальном хранилище браузера и копия в смартфоне. Всё, пароля больше нет нигде. Заполучив лишь одну часть, расшифровать его нельзя. С тех пор при посещении этого сайта плагин будет предлагать ввести пароль через teddyid - достаточно нажать "да" на смартфоне, и пароль введен (собран из двух кусков, дешифрован и подставлен в форму). Что будет, если вы переустановили браузер, Local Store очистилось и половина шифропароля утерялась? Не проблема, она сохранилась в смартфоне, всё будет восстановлено при логине. Что будет, если украли смартфон или он сменился? Не проблема, на сайт teddyid можно войти по-старинке, через код, а в своем аккаунте отключить старый смартфон и активизировать новый - данные снова запишутся. Ну, разумеется, если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться.

Я поставил себе, разумеется, и это оказалось ОЧЕНЬ удобно. Особенно меня бесил сайт Aliexpress, который разрывает сессию через полчаса после ухода со страницы и требует вводить пароль заново.

Что надо сделать простому пользователю, чтобы обезопасить себя от кражи пароля (шифропароль из двух частей украсть не в пример сложнее) и облегчить себе жизнь? Три простых шага:

1) Установить на свой смартфон приложение, оно есть под все мыслимые мобильные платформы (а для безнадежно старинных есть даже java-приложение):

    

2) Завести аккаунт на https://teddyid.com Там все просто. Причем, со смартфона достаточно из приложения сфоткать QR-код на экране, и все само сконнектится.

3) Установить в браузер плагин Teddyid. Плагины тоже есть для любого браузера, кроме Opera (и тот скоро будет): Chrome, Firefox, Explorer, Safari.

Плагин первые 30 дней бесплатный, далее если понравился, его можно одноразово купить за 0.99$. Этот плагин лишь одна из вариаций. Система логина для сайта (например, моего), о которой пойдет речь ниже, бесплатна в непромышленных количествах.

TeddyId для разработчика сайтов

Если вы хотите, чтобы ваши пользователи (независимо от того, установлен ли у них плагин) могли логиниться через эту систему, вы можете установить ее себе на сайт. сделать это очень просто, достаточно вставить в код одну строку:

<script src="https://www.teddyid.com/js/teddypass.js" defer></script>

И смело рисуйте на странице свою форму ввода пароля - браузер посетителя отреагирует так же, словно в нем установлен плагин, описанный в предыдущем разделе.

Способ со вставкой одной строки прост и эффективен, но для серьезного проекта конечно есть более грамотный: API авторизации. Оно подробно описано и не сложно в реализации (есть и готовая библиотека PHP, но я по привычке рисовал код сам).

Помимо простого логина, API позволяет еще много интересных вещей. Например, делать запросы на мобильник и получать ответ "да" или "нет". Что позволяет делать безопасные вещи в разных сетевых проектах. "Вы действительно хотите удалить свой фотоальбом или маленький братишка играется у забытого ноутбука?" - да, нет? "Вы хотите открыть свой архив личной переписки или это жена включила комп и открыла ваш аккаунт в соцсети?" - да, нет? Невероятное количество проблем можно было бы решить, будь подобная настройка (по желанию) на всех крупных проектах.

У меня сайт сейчас умеет через TeddyId (если его подключить и выставить соответствующие галочки в настройках):
- подтверждение любых изменений в личной карточке (смена пароля, юзерпика - кстати, загрузку и смену юзерпика я вчера сделал тоже, welcome :)
- подтверждение входа в архив личных сообщений (жена не должна лезть в переписку мужа)

А также оповещения:
- оповещение о новом личном сообщении
- оповещения об ответе на ваш комментарий
- оповещения об ответе автора блога на ваш комментарий

В оповещениях мил тот факт, что они приходят на смартфон, когда вы не за компьютером. Отвечать на них "да" или "нет" не надо. При этом надо учесть, что оповещения - штука ненадежная, они могут не прийти вообще, а при появление следующего оповещения предыдущее затирается. Кроме того, оповещения не личные, а массовые ("всем читателям: вышла новая заметка!") делать нельзя. Во-первых, это запрещено политикой, например, Apple. Во-вторых, достаточно во-первых, и сервис TeddyId массовым рассылкам рад не будет, отключат.

Для иллюстрации примера запроса API я сделал вот эту кнопку:

Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна :)

Чтобы залогиниться на моем сайте через teddyid, просто откройте личную карточку и нажмите кнопочку "добавить" в строчке "teddyid". Это дополнительный способ логина в добавок к местному паролю и соцсети (можно логиниться любым из трех методов).

Для владельцев моего движка - обновитесь с lleo.me/dnevnik (на остальные источники я пока обновления не накатил), а в config.php добавьте две строки: номер учетки, полученный при регистрации вашего сайта в личном кабинете на teddyid.com ("узлы"-"настольное приложение") и секретный ключ, который вы вбили там же при регистрации, у меня это так:

$teddyid_nodeid='488';
$teddyid_secretkey="Vereshagin, uhodi s barkasa 12345!";

TeddyId для организаций

Поскольку основная монетизация проекта идет с организаций (сервис бесплатен для простых пользователей и сайтов с количеством регистраций до 1000 в сутки), для организаций здесь сделано особенно много - системы документооборота, ведения документов, учет сотрудников и цифровая электронная подпись. Что тоже несказанно удобно, потому что все это работает по двухфакторной системе через смартфон. Для банков, организаций, офисов эта система будет очень полезна, потому что не только решает вопросы безопасности, но и дает удобный деловой сервис. Я зарегистрировался там как ИП, осталось пройти подтверждение:

Интервью с разработчиками

В процессе освоения системы я много переписывался с разработчиками и даже слал предложения и идеи разной степени глупости. В итоге я даже попросил Антона Чурюмова ответить на несколько вопросов специально для блога:

Кто разработчики?

Команда небольшая, всего 4 человека сейчас.

Как пришла идея?

Меня давно достали пароли, запоминать их невозможно, а процесс копирования из парольного менеджера был слишком трудоемким. В то же время я работал тогда над платежным агрегатором Platron.ru, где требовалась усиленная безопасность, которую не может обеспечить даже самый сложный пароль. Хотелось сделать двухфакторную защиту, но без неудобств, характерных для существовавших тогда реализаций двухфакторной защиты. В итоге придумал ту схему, которая легла в основу Teddy ID. Но главная причина, почему идею захотелось реализовать (одного наличия идеи для этого мало), это то, что нам удалось разрушить стереотип о том, что улучшение безопасности возможно только ценой уменьшения удобства. Нам удалось убить двух зайцев - усилить безопасность и сделать логин удобнее. Мне нравятся такие моменты когда рушится старый стереотип.

Столкнулись ли с какими-то трудностями в реализации?

В технической реализации особых сложностей не было. Были разные проблемы, но они все решались. Продвижение на рынок оказалось сложнее, чем я ожидал. Обычное недоверие к новым неизвестным компаниям, особенно в области безопасности, здоровый консерватизм пользователей (буду логиниться как привык, как везде), проблема курицы и яйца (пока почти нет сайтов, которые принимают TeddyID, зачем заморачиваться установкой приложения, и обратно: пока нет пользователей, ...), и неготовность и даже часто неспособность многих пользователей самостоятельно ставить на свой телефон вообще какие-либо приложения, кроме предустановленных.

Что-то планируется добавить в проект в будущем?

Планируем решить проблему логина на том устройстве, где установлено приложение. Множество небольших изменений, которые улучшат user experience в некоторых сценариях использования. Будем смотреть за пользователями и адаптироваться под то, что им нужно.

Каким видится основной пользователь?

Компании, использующие облачные сервисы (Google Apps, Salesforce, ...) и желающие иметь удобную двухфакторную защиту доступа к корпоративным данным для своих сотрудников. Также компании, использующие разделяемые между несколькими сотрудниками пароли для доступа к другим сервисам и желающие навести порядок в этом хозяйстве (прекращение доступа для уволенных сотрудников, автоматическое предоставление доступа новым сотрудникам).

Насколько надежно защищен сервис от взлома, DDOS-атак, аварий? Сервера только в России?

Сервера только в Германии :) Чтобы уберечься от аварий дата-центров, мы держим два одинаковых сервера в разных дата-центрах. Проходим регулярное сканирование на уязвимости, но в целом строим архитектуру так, чтобы как можно меньше интересной для взломщиков информации хранилось у нас.

В общем, рекомендую. Если какие-то вопросы по использованию, API, его работе, встраиванию, программированию) - спрашивайте, я неделю в эту систему въезжал в мельчайших деталях и достаточно подробно разобрался (и с разработчиками много беседовал), так что подскажу, объясню. Может, в комментариях и сами разработчики будут, ответят на вопросы.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Windows Safari Chrome
 Москва
0
0
vivliofika
маладэц. Сделал очень полезное дело.
Windows Firefox
 Челябинск
1
0
vinny-the-poo
«Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна :)»

На главной странице ЖЖ, там, где список топовых тем, в Промо всегда болтается тема, обычно с привлекательным заголовком, которую нельзя открыть, если вы ещё не перевели ваш блог в новый формат.

Такая мотивация — это фууууууууууу!

Так вот, только что проверил, вроде это наглое ограничение уже снято. Так-то.
Windows Firefox
 Израиль
20
0
braintunic
> Хотите увидеть голую Кенгу с заниженной самооценкой?
> Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна

Да лвдно, тоже мне проблема - увидеть голую Кенгу с заниженной самооценкой ;)


Windows Safari Chrome
 Москва
0
0
AllaDimm
Вот теперь все работает.
Очень удивило что плагин к Chrome за деньги.
И заплатить придется за каждое устройство где мне придет в голову использовать TeddyID Password Manager. Как-то это не правильно по моему...
Еще смущают картинки. Это конечно гламурненько, но пин код или просто запрос да/нет был бы уместнее в местах где аутентифицирующее устройство (телефон) имеет узкий канал связи (картинки ведь на телефон из сети грузятся или нет?).
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Набор картинок, насколько я успел заметить, стандартен. Скорее всего, они в поставке приложения - в FAQ написано, что соединение 100 меньше байт: https://www.teddyid.com/faq.php
Windows Safari Chrome
 Москва
1
0
AllaDimm
А все равно гламур, притом не очень уместный во вполне взрослом приложении.
Но деньги за каждый плагин брать, все равно не порядок. За пользование менеджером паролей, справедливо и логично, а за каждую установку на каждое устройство - нет.
Я кстати тоже сервисом проникся. Уже фирму зарегистрировал и денюжку послал "за подтверждение подлинности лица". Интересно их ЭЦПшка на всяких roseltorg-ах и прочих micex-ах прокатывает...
Windows Safari Chrome
 Москва
0
0
AllaDimm
Кстати их plugin не схватывает авторизацию на youmagic.pro, хотя встроенный менеджер паролей Google Chrome сохранить юмейджиковский пароль предлагает..
Linux Firefox
 Москва
3
1
Фыва Jr Олдж
Нет, картинки по интернету не грузяцо. Вот они, все картинки:

[[email protected] ~]$ ls ~/mywork/Teddy/102033E6/midlets/\[1018df3d\]/rms/
_1_0_02e_j_p_g.rs _1_22e_j_p_g.rs _3_02e_j_p_g.rs _5_42e_j_p_g.rs _7_82e_j_p_g.rs
_1_0_22e_j_p_g.rs _1_2_42e_j_p_g.rs _3_22e_j_p_g.rs _5_62e_j_p_g.rs _8_02e_j_p_g.rs
_1_02e_j_p_g.rs _1_2_62e_j_p_g.rs _3_42e_j_p_g.rs _5_82e_j_p_g.rs _8_22e_j_p_g.rs
_1_0_42e_j_p_g.rs _1_2_82e_j_p_g.rs _3_62e_j_p_g.rs _6_02e_j_p_g.rs _82e_j_p_g.rs
_1_0_62e_j_p_g.rs _1_42e_j_p_g.rs _3_82e_j_p_g.rs _6_22e_j_p_g.rs _8_42e_j_p_g.rs
_1_0_82e_j_p_g.rs _1_62e_j_p_g.rs _4_02e_j_p_g.rs _62e_j_p_g.rs _8_62e_j_p_g.rs
_1_1_02e_j_p_g.rs _1_82e_j_p_g.rs _4_22e_j_p_g.rs _6_42e_j_p_g.rs _8_82e_j_p_g.rs
_1_1_22e_j_p_g.rs _2_02e_j_p_g.rs _42e_j_p_g.rs _6_62e_j_p_g.rs _9_02e_j_p_g.rs
_1_1_42e_j_p_g.rs _2_22e_j_p_g.rs _4_42e_j_p_g.rs _6_82e_j_p_g.rs _9_22e_j_p_g.rs
_1_1_62e_j_p_g.rs _22e_j_p_g.rs _4_62e_j_p_g.rs _7_02e_j_p_g.rs _9_42e_j_p_g.rs
_1_1_82e_j_p_g.rs _2_42e_j_p_g.rs _4_82e_j_p_g.rs _7_22e_j_p_g.rs _9_62e_j_p_g.rs
_1_2_02e_j_p_g.rs _2_62e_j_p_g.rs _5_02e_j_p_g.rs _7_42e_j_p_g.rs _9_82e_j_p_g.rs
_1_2_22e_j_p_g.rs _2_82e_j_p_g.rs _5_22e_j_p_g.rs _7_62e_j_p_g.rs _p_r_e_f_e_r_e_n_c_e_s.rs
[[email protected] ~]$

То есть они устанавливаются в телефон вместе с приложением, изначально. С сервера приходит только номер картинки какую надо показывать.
Mac Safari
 Израиль
0
0
braintunic
И еще насчет их Password Manager.
Не нашел у них явного описания, но вроде бы все плагины предоставляются только для браузеров на Windows.

То есть, на Linux - не судьба?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Это же браузерные плагины. У меня в Firefox установился.
Linux Safari Chrome
 Израиль
0
0
braintunic
Ну далеко не все браузерные плагины, работающие на Windows, будут работать и на Linux.
Если у них работают, прекрасно.
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
Насколько я знаю, браузерные AddOns - они кроссплатформенные скрипты.
Linux Firefox
 Москва
2
0
Фыва Jr Олдж
Вот я тоже всегда так думал. Они же работают в операционной системе "Браузер", которая одинакова во всех OS, где есть данный браузер. Разве это не так? Не заставляйте меня терять веру в доброе добро и вселенский инопланетный разум, утверждая что это не так.
Mac Safari Chrome
 Herndon
1
0
bugabuga
Ну некоторые типа LastPass ещё примочками пользуются для улучшения безопасности :)
Linux Firefox
 Киев
1
0
Л. Янукович
Не всегда - иногда туда упаковывают и бинарники, если они нужны для работы. Например, упомянутый тут LastPass из JavaScript'а подключает свою библиотеку в .so/.dll файле - загляните как-нибудь для интереса в их .xpi.

PS Несколько смущает, что пароли для сохранения TeddyID, похоже, передает в прямом виде, причем еще и пишет в лог. В одном месте они пишут:

sendXdmCommand("savePassword", {login:full_login, password:password})

А внутри sendXdmCommand():

console.log('teddypass Send: '+message)

То есть, если кто-то доберется до лога консоли браузера, похоже, и до сохраняемых паролей он достучится.

PPS Само расширение на глаз ничего не шифрует, только через postMessage() общается с сайтом TeddyID - в принципе, логично, но лучше было бы шифрование в нем же и делать, хоть это в JavaScript'е и сложно.

PPPS Отдельное спасибо за открытый код - без обфускаторов и довольно читаемый, хоть и без комментариев.
Linux Ubuntu Firefox
 Комсомольск-на-Амуре
4
0
shade-khv (#4004736)
Исходники приложения на андроид есть?

Что прилага требует по части разрешений?
Linux Ubuntu Firefox
 Москва
4
3
Leonid Kaganov
Думаю, вы без проблем скачаете исходники там, где вы обычно качаете исходники всех остальных приложений, установленных на вашем Андроиде.
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Я так думаю (мне так кажется) что там вряд ли будут исходники.
Linux Ubuntu Firefox
 Москва
8
0
Leonid Kaganov
А я как сказал? :)
Linux Firefox
 Москва
1
2
Фыва Jr Олдж
"вы без проблем скачаете исходники там, где вы обычно качаете исходники всех остальных приложений" -- для TeddyID 99.99% что невозможно будет найти исходники даже там, где обычно качают исходники всех остальных приложений. Ну если только из четырёх человек, работающих в Teddy, не найдётся один недобросовестный инсайдер.
Linux Ubuntu Firefox
 Израиль
9
0
vfork (#4777209)
А я думаю, что в жизни не доверю свои пароли ни одной системе не имеющей открытых исходников. Поскольку нам всё очень красиво рассказали, про половинки паролей и прочее. Но в сухом остатке - вы должны разработчику верить на слово. Поскольку приложение имеет доступ к вашим паролям i сети и ХЗ что оно будет делать дальше.

То есть альтернатива одна - или верить на слово, или открытый исходный код. Для андроида рекоменую OI Safe. Причём скачать и скомпилить самому, а не ставить с google play.
Linux Firefox
 Москва
0
7
Фыва Jr Олдж
А я доверю только "детские", несерьёзные пароли системе у которой исходники открыты. Например пароль на "левую" почту, на какую-нибудь хреновню типа одноглазиков или фконтакта. Пароль же на, к примеру, банковский аккаунт или на вход в закрытую область корпоративного сайта я доверю только и только проприетарным системам у которых все исходники закрыты. Open Source хорош, но хорош на "поиграться", серьёзные вещи должны быть закрыты. DIXI.
Linux Ubuntu Firefox
 Израиль
2
0
vfork (#4777209)
Да ради бога. Ваш выбор. Только потом не жалуйтесь. DIXI.

Даже если никто сознательно ничего сливать не будет - достаточно одного обиженного админа (или думающего, что его обидели), ушедшего хлошнув дверью, с флешкой в кармане...
Mac Safari
 Ижевск
2
0
Дима
Зачем компилировать из исходников, если вы их все равно вряд ли прочитали? И даже если прочитали, само по себе наличие исходников не гарантирует, что их будет легко понять и проверить на отсутствие бэкдоров.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Проверить grep-ом по исходникам, что никто не ломится в сеть - дело одной минуты.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Простите, а почему мой предыдущий комент заскринился? Я что-то не так делаю или поменялась политика этого блога?
Windows Firefox
 Самара
3
0
3seemingmonkeys
а что будет, если я потеряю смартфон?
Linux Ubuntu Firefox
 Москва
0
1
Leonid Kaganov
Зайдете в личный кабинет на Teddyid.com по паролю через емайл или мобильный. Отвяжете старый смартфон. Привяжете новый.
Linux Safari Chrome
 Великобритания
0
0
ы (#4934058)
Так а если я емейл и защитил этим тедди?
И еще. "Восстановить симку" - быстро только если в России с паспортом придти. А если в Науру застрял? Это я к тому, что даже билет из Науру в Россию не купишь с банковской двухфакторной авторизацией.
Linux Firefox
 Киев
1
0
Л. Янукович
Ну, хоть один-то пароль можно помнить без технических прибамбасов? А то все яйца - и в одну черную дыру, нехорошо как-то.

PS Тренирую подопечных помнить существенные пароли наизусть, на свой PGP-ключ и на родной сервер - совсем не сложно. Регулярно эти пароли менять - вот это тяжело, но тоже привыкнуть можно.
Linux Ubuntu Firefox
 Израиль
1
0
vfork (#4777209)
Никогда не понимал зачем менять? Если пароль хороший и не записан на бумажке на мониторе, то что даст его смена? Наоборот, как мне кажется, есть в этом некий дополнительный риск.
Linux Safari Chrome
 Великобритания
1
0
ы (#4934058)
А что скажете про двухфакторность и спижженный смартфон? Я так попадал уже - звоню скайпом в банк, говорят, что поменять указанный номер можно, лишь обратившись в офис с паспортом. Звоню в мтс - то же самое. А офисов банка или мтса в Рио нет и не предвидится.
И все, "Ваши транзакции надежно защищены", прилетели...
Linux Safari
 Одесса
0
0
leyton (#4897622)
подстава с "докажи,что ты реальный человек, а не бот!" через sms со скрытой подпиской на платные сервисы достала. ищешь какой-то драйвер в сети - и начинается....
Антон, Ваш вариант нужно продвигать крупным сервисам,для начала статья на хабре и стэковерфлов. например, свяжитесь с покерстар и подобными. это их заинтересует, поверьте.
Лео, спасибо за разжовывание апи
Windows Safari Chrome
 Пермь
0
0
chonbuk (#1953659)
По-моему, в Яндексе и Mail.ru уже внедрили.
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Спасибо за идеи! а статья на хабре недавно была.
Linux Firefox
 Richardson
2
0
Михаил (#1684620)
> который я изучил и привинтил к движку в своем блоге

Это поэтому сайт вчера какое-то время вообще не отвечал (даже на ping)?
Windows
 Phoenix
0
0
Виталий (#4814337)
А что делать тем у кого нет мобильного телефона?
Windows IE
 Нижний Новгород
4
0
Debugger (#4959456)
А у них и красть нечего.
Linux Firefox
 Москва
12
8
Фыва Jr Олдж
Да, меня лично этот вопрос давно интересует. Я бы свой мобильный давно положил в самый дальний ящик стола и не доставал бы. Чтобы позвонить есть МГТС, на улицу я мобильный с собой никогда не беру (ну нафига обычному человеку, не МВД, не ФСБ, не пожарный и не "Скорая помощь" связь на улице? не понимал, не понимаю и не пойму никогда), мобильный номер у меня в основном как раз для всяких сайтов, которые требуют для регистрации номер именно мобильного телефона (кстати, дожили! пресловутый AVITO в январе прислал e-mail: "До первого февраля 2015 года необходимо в контактных данных изменить номер городского телефона на номер мобильного телефона, иначе регистрация будет с 1 февраля недействительна!" ну и ПОШЛИ ОНИ НАХУЙ с такими заявками, естественно не менял и положил на них большой и толстый хуй) типа гуголмайл, там иначе никак. Сайт, который требует для регистрации номер именно мобильного телефона должен быть ну очень нужным и необходимым, чтобы без него ну никак нельзя было обойтись, только в этом случае можно опуститься до указания на нём номера мобильного телефона. Иначе нахуй такой сайт, нахуй его владельцев-менеджеров, нахуй всех тамошник работников, и нахуй их услуги.

Кстати, борцам за частную жизнь из предыдущей/предыдущих заметок:

1)Ричард Столлман не советует пользоваться мобильными телефонами, потому что он считает, что возможность определения текущего местоположения телефона может создать различные проблемы для абонента.

2)Ричард Столлман, основатель движения за свободное ПО и одноименного фонда, назвал мобильные телефоны "мечтой Сталина". В интервью PCWorld он отметил, что у него нет телефона и он никогда не стал бы носить его с собой. По словам знаменитого программиста, мобильные устройства являются инструментами "Большого Брата".

3)Дикша Гупта: Итак, электронные книги вы не читаете, к продукции Apple относитесь скептически. Ну хоть мобильный телефон у вас есть?

Ричард Столлман: Представьте себе, нету. А зачем мне карманный шпион, который отслеживает мое местоположение и разговоры? В любом мобильном устройстве есть лазейка, позволяющая превратить его в подслушивающее устройство.


Меня лично наличие "карманного шпиона" не напрягает вообще, своё отношение к вмешательству в частную жизнь через переписку (да пусть читает кто хочет!), через подслушивание (да пусть слушает кто хочет!) я уже выразил ранее. Но то, что меня вынуждают приобретать и пользоваться тем, что лично мне нахуй не надо -- поёбывает, и довольно сильно.
Windows Safari Chrome
 Санкт-Петербург
4
2
soldat_dzhein
Вообще эта паранойя про карманный шпион, мозгооблучение и т.д. не для 99,99% населения, это точно. А скорее всего для всяких основателей движений за свободу кого-то от чего-то - параноиков по натуре и природе. Все у человека должно быть соответственно его потребностям. Мы, дети интернета, безразличны к теликам, наши дети безразличны к компам.... у них весь фарш в айфонах и планшетах.
Linux Firefox
 Москва
7
2
Фыва Jr Олдж
Ну может быть вы и дети интернета, а я ребёнок дисководов, на 5", трёхдюймовок тогда ещё не было. И жёстких дисков аж на целых ДВАДЦАТЬ МЕГАБАЙТ!!!
Windows Safari Chrome
 Санкт-Петербург
18
0
soldat_dzhein
Мы это уже поняли по вашей аве))))
Mac Safari
 Москва
7
0
Aleksej
Ну буржуй! Я-то грузил по 5-7 минут с аудиокассеты игры, дисковод был мечтой, а денди с картриджами вообще чудом казались.

А бк в школе, по которой нужно было вдарить со всей дури кулаком по пробелу, чтоб тот нажался?
Windows
 Санкт-Петербург
2
0
vvv (#4055925)
Малютка, воспитанный двумя дисководами. Или тремя.
Windows Firefox
 Москва
0
0
vctor
Тут дело в размерности. Короткие тексты на даче я пишу на мобильнике, если предвижу длинные, то беру с собой планшет.

Когда у меня выгодная работа, то я тащу на дачу ноутбук. А если в будущем мне предложат очень хорошие деньги за срочность, то я не поленюсь увезти десктоп, благо везти не на горбу, а в машине.
Linux Safari
 Жуковский
7
0
не помню имя (#4385242)
Не первый раз слышу, читаю, вижу опасения про то, что кто-то шпионит через мобильные телефоны. Подслушивает разговоры и т.д. И мне подумалось, нужны же кадры, чтобы сидеть и слушать разговоры, даже если все компьтеризировано, все равно кто-то живой должен вычленять нужное. Подскажите, где берут на такую работу? Очень нужна подработка, ипотеку отдавать, как раз на основной работе такое делать смогу.
Mac Safari
 Москва
15
3
Вячеслав Сомов
Мобильный тебе нужен чтобы мама могла позвонить и сказать что ей плохо стало. Что бы жена могла позвонить и сказать что колесо проколола на МКАДе и не знает что делать. Что бы ты мог ребенку позвонить и узнать где он, все ли у него в порядке и почему он так поздно гуляет.

Карманный б###ь шпион! Всегда когда слышу возводимую до уровня идеологии подобную лузерскую ахинею, хочется начать с азов и послать дурачка для начала вымыть свою рожу. С простых так сказать вещей начать свою жизнь налаживать
Linux Firefox
 Berkeley
2
10
Михаил (#1684620)
> Что бы жена могла позвонить и сказать что колесо проколола на МКАДе и не знает что делать.

А нужна ли такая жена? ;–)
Mac Safari
 Израиль
17
0
braintunic
> А нужна ли такая жена?

Что ж, дорогая, подведём итоги.
С одной стороны: ты чемпионка мира по приготовлению вкусных борщей и котлет, ты с блеском наводишь порядок в доме, ты виртуозно водишь машину, ты всегда неотразимо красива, стройна и подтянута, и у тебя никогда не болит голова.

Но с другой стороны, ты не сумела сама сменить проколотое колесо!
Whattafuck!?

Как ни крути, нам придётся расстаться...
Windows
 Москва
8
0
Партизан (#3937989)
Иногда сменить колесо даже мужику непросто.
На неделе менял ночью один, все болты открутил, а диск от ступицы не отлипает. Не отлипает хоть режь его. Отлип после 10 минут пинания пяткой с матюгами.
Если жена таки справится, то нафиг такую жену, женщина должна быть женственной.
Linux Firefox
 Москва
2
1
Фыва Jr Олдж
Я не отношусь к тем кто считает мобильный телефон карманным шпионом. Я отношусь к тем, кто предпочитает пользоваться только теми вещами, которые ему реально нужны и полезны. Мобильный телефон в мой список реально нужных и полезных вещей не входит. Да, и я говорю в данном случае про себя, лично мне мобильный телефон абсолютно бесполезен и не нужен. И меня возмущает то, что кто-то где-то за меня решил что мне просто необходим этот самый мобильный телефон, я без него жить не смогу и он у меня обязательно есть.
Linux Safari Chrome
 Москва
7
0
propir (#4970969)
Срать в комментах у Каганова, вероятно, более нужная в жизни вещь, чем мобильный;)
Просто подкалываю.
Windows
 Каменск-Уральский
3
0
D.iK.iJ
Неуловимый Джо
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Если бы. Был бы очень и весьма доволен. Но увы.
Windows Safari Chrome
 Москва
4
0
Вася Васечкин (#4982505)
А что делать тем, у кого мобильный есть, но нет смартфона?
Между прочим, самая популярная модель мобильных в мире - Nokia 1110, ЕМНИП. У меня 1112, разница небольшая.
Так вот, у них на эту самую 1112 (или 1110, или 1210, или вообще 3310) вариант приложения тоже есть или как? Лично у меня было впечатление, что в Интернет она в принципе выйти не может.

Для тех вещей, для которых нужен мобильный, моей Нокии 1112 (или маминой 1210) вполне хватает. Но смартфонами они никак не являются, и в подобных моделях заменять их всё-таки скорее не могут.
Linux Firefox
 Москва
18
1
Фыва Jr Олдж
Увы и ах, на таких людей вся современность кладёт. Вообще у меня складывается впечатление что современные [вписать нужное] все просто абсолютно уверены что:

1) у их пользователя обязательно есть интернет
2) у их пользователя обязательно есть мобильный телефон
3) у их пользователя обязательно есть мобильный телефон с выходом в интернет

Отсутствие любого пункта считается чем-то невероятным и невозможным. Ну да бог им судья.
 New York
10
1
byka (#4221769)
Еще принято считать, что человек способен читать и писать, хотя и это не совсем верно. Многие не умеют, и поэтому вынужденно остаются за бортом.
Windows Firefox
 Обнинск
7
0
Авотхй. Как раз не умеющие читать-писать - это самая перспективная целевая аудитория.
Речь даже не о том, что он посмотрит видео с рекламной вставкой и купит рекламируемый товар у себя в магазине на углу. Я однажды видел, как мой друг покупает какую-то хрень в китайском ни разу не англифицированном интернет-магазине. Не зная, разумеется, по-китайски ничего кроме пары иероглифов "Чжун Го", а просто ориентируясь на картинки и цвет кнопок.
Так что умения кликать ногтем по картинкам вполне достаточно, чтобы не оказаться за бортом современного и качественно сделанного интернет-проекта.
Mac Safari
 Израиль
8
0
braintunic
> складывается впечатление что современные ... все просто абсолютно уверены что: у их пользователя обязательно есть мобильный телефон с выходом в интернет

Это еще что.
Все современные производители презервативов вообще уверены, что у их пользователя обязательно есть член!
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Передёргиваете. То, что "у кошки четыре ноги" это аксиома, как и наличие МПХ у мужиков. А вот наличие мобильного телефона, да ещё с выходом в интернет, аксиоматически обязательным не является.
Linux Opera
 Верхняя Пышма
1
0
IgorZ (#4329073)
И они правы. Просто у одних свой член, а другие берут чужой на попользоваться
Windows Firefox
 Москва
0
0
Vitalij (witalij)
Леонид! Однако, глючит...



Linux Firefox
 Москва
2
1
Фыва Jr Олдж
Действительно глюк! Таким мелким шрифтом да на таком мелком окне пишет, что хрен чего поймёшь даже при наличии микроскопа!
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Не могу разглядеть, что там пишет?
Windows Firefox
 Москва
0
1
Vitalij (witalij)


Linux Firefox
 Москва
21
0
Фыва Jr Олдж
Да, так действительно намного лучше видно!
Windows Firefox
 Германия
2
0
Vitalij (witalij)
Движок Леонидов уменьшает картинку! От блин!
Вот: https://yadi.sk/i/s27GcyuzeZJqq
Windows Firefox
 Москва
19
0
YuSer (#1352959)
Осталась мелочь - довериться команде из 4 человек, которая будет иметь возможность доступа к вашим данным ибо будет знать больше, чем им нужно знать. Мало того у них есть и сервер и, по сути, клиент на вашем устройстве.

Да, это нездоровая паранойя, препятствие прогрессу и ложка дёгтя в эту милую бочку мёда.
Linux Firefox
 Киев
0
0
Л. Янукович
Ай, как же вы не упомянули, что сервера-то у них, к тому же, в Германии стоят! Без этого паранойя не получается.
Windows Firefox
 Санкт-Петербург
3
0
Tarn
С учётом вышеизложенного, похуй, где у них стоит сервер.
Linux Firefox
 Киев
0
0
Л. Янукович
Э, да что вы вообще в паранойе-то понимаете...
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
К каким именно данным?

Мне кажется, вы плохо представляете суть. Возьмем мой сайт: здесь имеются некие ваши данные и ваша личная переписка. Каким образом TeddyId получит ко всему этому доступ?
Linux Ubuntu Safari Chrome
 Белоруссия
15
2
test (#4982458)
Как там выше писали, оно ничего не шифрует на стороне клиента, а сливает пароли на чужой сервер. Который типа все зашифрует и пары ключей разошлет куда надо.

Т.е. вопрос стоит ровно так: доверить ли все свои пароли команде из 4-х пацанчиков, которые честно обещают, что у них все без подставы. Хорошая попытка, но нет.
Mac Safari Chrome
 Москва
5
0
Антон Чурюмов (#4972205)
Все шифруется на стороне клиента.
Кто сомневается (сомневаться во всем это правильно!) предлагаю изучить исходный код:
https://www.teddyid.com/js/teddypass.js
https://www.teddyid.com/js/teddypass_server.js
Linux Safari
 Ottawa
7
0
Korj
Проблема в том, что завтра содержимое этих URL может быть изменено на что угодно, в том числе, для конкретного пользователя.
Ещё одна проблема - завтра вся эта информация может просто потеряться из-за "аппаратно-программного сбоя", как сегодня у одного облачного хостера (и если в статье не упущены нюансы, то с голой одиночной репликацией это может случиться в любой момент).
Linux Ubuntu Firefox
 Владимир
10
0
Adamos
А в чем, собственно, проблема - получить доступ к тому, что закрыто логином и паролем, имея этот логин и пароль?

Вообще мне дико представить, чтобы добровольно поставить себе плагин, который отслеживает все формы логина и пароля и предлагает их запомнить на чужом сервере. А если я, неровен час, лишний раз Enter нажму при входе в админку, я засвечу этому сервису свой админский аккаунт? Или в Телебанке аналогичный сценарий? А ежели при вводе CMC-кода обновленная версия того плагина мой ответ возьмет и прозрачно перешлет на фишинговый сайт?
Такие "удобства" - это прекрасный шанс самому себе за шиворот насрать, как мне кажется.

Да, я параноик, но именно поэтому я и могу быть более или менее спокоен, сидя в интернете.
Windows Firefox
 Обнинск
0
0
"Параноики гибнут последними".
С некоторых пор это и мой девиз.
Mac Safari
 Москва
1
1
Aleksej
Обычно первыми
Перенерничав от того, что никто другой и не заметил
Windows Firefox
 Москва
0
0
YuSer (#1352959)
Я действительно плохо представляю суть. Однако, полагаю, что если TeddyId предоставляет авторизацию, то оно может сказать, например, обо мне вашему сайту, что я действительно являюсь админом сайта lleo.me с соответственным доступом. Оно также будет знать, что я авторизуюсь на gmail, vk, fb, paypal, сбербанк и др. и пр. с такими-то логинами.
Ну и к тому же связка клиент-сервер позволяет делать почти всё что угодно на вашем устройстве, смотря какие ему дать права.
Windows Safari Chrome
 Санкт-Петербург
1
0
[email protected]Кошак (cats-shadow)
Oops... Чойта не то, однако!
Страничка после скана QR-кода не обновилась, как обещано. А при попытке входа по паролю ошибка "Different URL"

Windows Safari Chrome
 Санкт-Петербург
0
0
[email protected]Кошак (cats-shadow)
Upd. В броузере были отключены куки со сторонних сайтов.
Fixed.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Ж))) Не пугайте меня так :)
Windows Safari Chrome
 Санкт-Петербург
0
0
[email protected]Кошак (cats-shadow)
Не буду.. Ну, постараюсь :)

А вот то, что юзерпик теперь можно загрузить, не ковыряясь в базе - это здорово!
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А приложение-то установлено?
Linux Safari Chrome
 Великобритания
1
0
ы (#4934058)
> если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться.
Если в путешествии украли смартфон, с браузера которого я и выходил в сеть... Обычная ситуация.
Linux Ubuntu Firefox
 Москва
0
1
Leonid Kaganov
Со смартфона нельзя одновременно выходить и подтверждать. Потому что это уже не двухфакторная авторизация будет.
Windows Safari Chrome
 Санкт-Петербург
8
0
Pavel Vlasov
Нельзя? Но ведь надо! Человекус современникус, он же то на десктопе в интернет выйдет, то на смартфоне, то на тостере. Значит, на смартфоне он должен всё-таки иметь обычные дублирующие логины-пароли для каждого сайта? И зачем, тогда, эта авторизация... Вобщем кейс-то гиперважный для сервиса (не для отдельных индивидов не пользующихся мобильным интернетом), и интересно как же они его решать хотят...
Windows Safari Chrome
 Москва
2
0
Dusty
То есть решение получается неуниверсальным. Мне все равно придется ставить хранилку паролей и все их туда заносить. Ну и зачем мне тогда эта софтина?
Windows Firefox
 Обнинск
1
0
А вот интересно: компьютер и другой компьютер - это двухфакторная?
Linux Safari Chrome
 Пенза
0
0
edo (#4761536)
а смартфон это разве не "другой компьютер"?

если речь именно про этот проект, как я понимаю, gsm-модуль не используется, всё по tcp/ip.
наверное можно в эмулятор android'а загнать, не то, что другой - всё на одном компьютере будет.
Windows Firefox
 Обнинск
0
0
Такой вот вопрос: если вставить в мобильник другую симку, через него можно будет авторизоваться или уже нет?

А вообще, наверно, рулит компактный переходничок USB-miniUSB, постоянно воткнутый в телефон, так что его можно юзать в качестве флэшки. Ну, или просто флэшка на брелок с ключами.
На флэшке - TOR с его переносной мозиллой, стартовой страницей прописан облачный бэкап зашифрованного файла с паролями, хранящегося на этой же флэшке. Ну и конечно же, прога, сохраняющая-вводящая пароли.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
При авторизации через приложение по интернету симка вообще ни при чем. У меня телефонный модуль в Дроиде обычно отключен, например.
Windows Firefox
 Санкт-Петербург
1
0
Tarn
А интернет на смартфоне откуда, если не через симку? Через вайфай?
Windows Firefox
 ROCKVILLE
0
0
То есть, старый смарт не выкидывать, а подключить к раздаваемому ноутом вайфаю - и никакого "интернета по паспорту" не будет. Сам ноут ессно, через VPN...
Ну что, вариант, конечно.
Windows Safari Chrome
 Волгоград
0
0
Анатолий Самсонов (#4182578)
Дык, а что, возможность войти на нужный сайт по-старому - вводом логина и пароля ручками - теряется? Вроде, это ни из чего не следует. Конечно, для этого сам пароль помнить нужно.
Windows Safari Chrome
 Волгоград
0
0
Анатолий Самсонов (#4182578)
Дык, а что, возможность войти на нужный сайт по-старому - вводом логина и пароля ручками - теряется? Вроде, это ни из чего не следует. Конечно, для этого сам пароль помнить нужно.
Windows Firefox
 Нижний Новгород
0
0
romul0 (#4971569)
У меня при попытке посмотреть кенгу после подтверждения на телефоне твой сайт выдаёт такое сообщение:

majax error:

ajaxoff();clean('lajax_48_form'); clean('lajax_48_ifr');clean('teddyid');teddyidfunc_otvs('Y','2015-02-09 13:52:05','9e12ce813a62e786e1abfb36490286539e83b00e');
Windows Firefox
 Сумы
2
0
rw (#4880316)
>для любого браузера
*Посмотрел на своего дельфина, пожал плечами.*
Windows Safari Chrome
 Нижний Новгород
1
0
Nsa1975
Или вот буквально стартовал только что новейший браузер Vivaldi - тоже как? И Nokia 6300 не катит оказывается...Препятствий чота многовато...
Windows Firefox
 Обнинск
2
2
Все новейшие браузеры надо игнорировать, давить и ни в коем случае не устанавливать. 3-4 для конкурентной среды - более чем достаточно, а их и так уже как самый минимум, 5: IE, Opera, Firefox, Chrome, Safari и в эту компашку ещё без мыла лезет яндекс-браузер, который вроде как и попячен с Хрома, но местами с ним сцуко несовместим.

Чем больше браузеров свыше достаточного для конкуренции числа - тем хуже дела обстоят со стандартами, а значит, с совместимостью и с безопасностью.
Устанавливая на своём компе новый браузер, ты работаешь против всего Интернета и против самого себя.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Из всего вышеперечисленного открытый исходный код только у firefox и у всего, что на основе хромиума (т.е. яндекс - ОК).

Всё остальное, включая Chrome, идёт нахуй быстро, безусловно и безоговорочно. Слишком много я доверяю браузеру (включая банковские акаунты), чтобы верить всяким гуглам-шмуглам...
Windows Firefox
 Израиль
0
0
garik64
> я доверяю браузеру (включая банковские акаунты)
Постойте, постойте! Вы что, храните пароли в браузере? Я правильно понял?
Windows Safari Chrome
 Москва
3
0
киборд (#4481580)
Если у тебя пяток акаунтов скажем на фейцбуке (следствие многогранности твоей личности) - то проще запустить второй браузер (автоматом логящийся в другой акаунт) чем перелогиниваться всякий раз. То же с множественными адресами на каком-нть мейл.ру (неск. адресов уж точно нормальному человеку нужны).

Так что, говорите, Вивальди?.. Поставлю тоже.
Linux Ubuntu Firefox
 Владимир
4
1
Adamos
Нормальному человеку - адреса на мейл.ру? Да еще и несколько?!
Windows Firefox
 Мурманск
0
0
zatvornik (#4909857)
Профили? Нет, не слышал.
Mac Safari
 Швейцария
0
0
Миха (#4528977)
Вот эти IE, Opera и Chrome еще живы что-ли?
Mac Safari
 Москва
0
0
Aleksej
Что значит, жив ли ие? Он с 11 версии обратно отбирать попер, правда малыми дозами.
Windows Firefox
 Сумы
0
0
rw (#4880316)
У дельфина на андроиде есть киллер-фича, которой я больше нигде не нашёл. Прокрутка кнопками громкости.
К другим браузерам, похоже, даже аддоном не прикрутить сейчас. Или я плохо искал.
Linux Firefox
 Москва
3
0
Фыва Jr Олдж
Игнорировать надо любые браузеры, которые называются не Mozilla Firefox.
Mac Safari Chrome
 Италия
0
0
Страшный Волк
На первой же попробованной форме ввода пароля начинает бесконечно выдавать свои картинки в телефон - нажал yes раз 30, наверное, не помогло. В сайт не логинит. На lleo выдало две картинки, залогинило.
Windows Firefox
 Мурманск
0
0
zatvornik (#4909857)
Хочу назад в девяностые.
Windows Firefox
 Израиль
3
0
Пашка (#4895894)
Ну а где посты от довольных?
Довольные этой штукой где, говорю?
Что молчите?
Вы есть ваще? Кроме хозяина?
Все про косяки пишут чой-то...

Если это реклама, то странная. А если бета-тестирование, то больше похоже на альфа...
Windows Safari Chrome
 Санкт-Петербург
0
0
Pavel Vlasov
Интересная штука, в любом случае! Спасибо Леониду что рассказал. Как-то так (пусть и не в точности) оно и должно быть, ИМХО.
Mac Safari
 Москва
0
0
Aleksej
Я теоретически доволен, даже при всей моей нелюбви к рнр. Надо будет попробовать в деле, конечно, чтобы быть довольным практически.
Linux Ubuntu Firefox
 Израиль
3
0
vfork (#4777209)
Попробую немедленно, как только будет исходный код клиента. Идея замечательная, даже денег готов заплатить.

Но, извините, только джентельмены верят на слово незнакомым людям. А мы пацаны простые и ни разу не джентельмены. Поэтому - карты и сорцы на стол.
Mac Safari Chrome
 Toronto
5
0
tim.satt
Держать пароли на сервере без гарантии, что они не защищены от доступа админов я бы не стал.
Я пользуюсь 1Password, удобно, кроссплатформенно, секьюрно.
Mac Safari
 Москва
0
0
Aleksej
Думаю, откуда ж дежа вю... А эти ребята на хабре оказывается светились.

Подход у них отличный, для людей.
Mac Safari Chrome
 Сочи
0
0
bitl (#4406937)
а у меня нет смартфона.
Linux Safari Chrome
 Великобритания
7
0
ы (#4934058)
Значит, Вы фыва ;)
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Может быть у него обычный мобильный телефон.
Windows Safari Chrome
 Вологда
0
0
medvedev.il (#4982534)
Странно как-то эта штука работает. Предлагает подставить парольку, только если открыт сайт TeddyID.com, и ты там залогинен. А чтобы там залогиниться, тебе после сканирования кода посылают на мыло письмо со ссылкой для подтверждения этого самого мыла. А зайти в мыло через тедди тебе не предлагается, потому что ты в тедди еще не залогинен. Т.е. мне нужно руками залогиниться в мыло, чтобы подтвердить это самое мыло. И как мне это сделать, если я понадеялся на Тедди и как страшный сон позабыл все пароли, в том числе и от этого самого мыла?

Причем вчера всё работало на ура так, как описывается, а потом я пришел домой и попробовал повторить на втором компе - и тогда начались чудеса, как я выше описывал. Причем сегодня то же самое происходит и на том компе, на котором вчера всё работало.
Windows Safari Chrome
 Вологда
2
0
medvedev.il (#4982534)
И да, вместо кенги я вижу хуенгу (фото прилагаю)

Куда рыть? И почему у тедди саппорта нету?

Windows Safari Chrome
 Вологда
0
0
medvedev.il (#4982534)
UPD

Куки включил - всё опять заработало. И хуенга стала кенгой. В этом дело было? Куки д.б. включены?

Странно как-то, ты выходишь из браузера, а твои данные остаются, как и без всякого тедди. В чем тогда смысл?

UPD-2
Кстати, вчера всё работало и без включенных куков...
Windows Safari Chrome
 Германия
0
0
_N_E_R_O_
это, скорее всего не куки, а хром. у меня похожее иногда вылазиет, когда хочу оставить просто коммент. В firefox всё нормально
Windows Safari Chrome
 Вологда
1
0
medvedev.il (#4982534)
В общем, с точки зрения не обремененного знаниями юзера - штука сомнительная. Если куки выключены (удаляются при закрытии браузера) - каждый раз нужно снова авторизовываться на теддиид.ком, причем с подтверждением через почту (в которой тоже нужно заново авторизовываться, сиречь, помнить пароль), после чего всё работает, но только до первого закрытия браузера, после чего начинай всё сначала. А если куки включены, то пароли и так сохраняются без всякого тедди.

Где я неправ?
Linux Safari Chrome
 Москва
3
3
Leonid Kaganov
Давно хотел спросить. Скажите, а зачем "необремененный знаниями" юзер отключает куки? Чтобы что? Обмануть Обаму? Или в куках вирусы?
Linux Safari Chrome
 Москва
2
0
Leonid Kaganov
Ну, во-первых, пароли не хранятся в куках. Никогда. Даже у школоты не встречал.

Если речь не о паролях, а просто о неких данных или авторизациях, то кроме кук есть множество способов хранить данные в вашем браузере (насколько я помню, 12 способов до недавнего времени насчитывалось - от localstore и flashcookie до совсем экзотических). И вы их не отключите так просто. А пользуются ими потихоньку все, начиная от Яндекса.

Дальше объяснять лень. Но при следующем наличии вдохновения и времени я сделаю, чтобы авторизация в моем дневнике не зависела от кук и не сбрасывалась вообще.
Windows Safari Chrome
 Вологда
1
1
medvedev.il (#4982534)
Тогда, пожалуйста, не обижайтесь, если кто-то от моего имени начнет утверждать, что Лео - упырь и лысый хер :)

Я мало что понял из всех Ваших страшных слов, для меня имеет практическое значение только одно: может кто-то зайти на некий сайт из-под моей учетки без меня и мне напакостить или не может. И какие кнопки надо нажать, чтобы себя в этом смысле обезопасить. Остальное - мутная техническая лирика, рядовому юзеру ее знать неинтересно.
Windows Safari Chrome
 Вологда
1
0
medvedev.il (#4982534)
Для того, чтобы после того, как я закрыл браузер, в нем не остались логины-пароли. Я компьютер с собой не ношу, я ушел, а он остался на столе. Как-то так

Ваш стеб понятен, но я вовсе не параноик, просто в моем понимании компьютер не должен дать никому, кроме меня, доступ к моим учеткам без моего ведома.

Ну или компьютер может быть просто не моим, а, например, соседским или общественным. Там мне тоже надо своих куков наоставлять? И как мне в интернет-кафе почту проверить (не помня пароля), если я не могу зайти в почту, пока не зайду в тедди, а в тедди не зайду, пока не зайду в почту?

UPD
А теперь еще интереснее: всё вдруг стало работать как надо (куки включены), при этом после закрытия и снова открытия браузера все логины-пароли исчезают, я снова незалогинен нигде (кроме см. вопрос 2 ниже), все предлагают залогиниться через тедди с подтверждением картинки или без него (если до этого залогинился на тедди через подтверждением картинки). Конфирмации через почту не просит. Т.е. типа заработало, как полагается. Но остаются 2 вопроса:

1. Как все-таки проверить почту на постороннем компьютере? да если там никакой тедди-плагин вообще не установлен?

2. Почему сайт lleo.me в виде исключения логинит меня (или злоумышленника, который без меня зашел с моего компа) автоматом и без дополнительных вопросов?

И да, представляется, что разработчики и толкатели любой проги, которые хотят получить больше десяти пользователей, а это неизбежно ламеры типа меня, должны быть готовы просто и понятно ответить именно на такие вопросы, причем лучше заранее, до того, как у юзера возникли непонятки. А в факе у тедди слово "cookies" вообще не встречается, к слову сказать
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Куки нужны.
Мы аутентифицируем пользователя по двум устройствам - браузеру (куки) и телефону (данные в приложении).
Если вы удаляете куки при закрытии браузера, то когда вы открываете браузер снова, мы видим новый браузер. Поэтому одного из устройств теперь нет, и мы вынуждены прибегать к другому менее удобному способу убедиться, что вы это вы - проверять контроль над email адресом. После этого мы помечаем новый браузер как известный и вы можете снова пользоваться удобным логином ... до тех пор пока снова не удалите куки.

Не обремененные знаниями пользователи обычно не лезут в настройки браузеров (если только никто не дал им "добрый совет"), и куки у них работают как задумано.

С точки зрения безопасности, частая чистка кук мало что дает. Помогает только для privacy, чтобы google и facebook за вами не шпионили.
Windows Safari Chrome
 Вологда
1
0
medvedev.il (#4982534)
Антон, спасибо за Ваш ответ, многое стало понятнее.

Не подскажете заодно, как все-таки проверить почту на постороннем компьютере? Или правильный ответ будет что-то типа "никак, тедди это фича для своих, часто используемых компьтеров, а пароль от почты надо все-таки запомнить или проверять на телефоне, если свой еомп недоступен"?

Насчет работы куков - как я понимаю, одним из следствий их сохранения является то, что когда ты открываешь некий сайт, где ты до этого логинился, то ты автоматом логинишься снова, (и если это не ты, а злой дядя, то он тоже логинится за тебя), нет?
Mac Safari Chrome
 Москва
1
0
Антон Чурюмов (#4972205)
Тедди это действительно для своих часто используемых компьютеров (не такой уж редкий случай!). По поводу почты, если вы получаете почту в почтовой программе (не в браузере), то так как правило пароль уже запомнен. Если читаете почту в браузере и постоянно сбрасываете куки, то придется помнить один пароль - для почты. Но если вы постоянно удаляете куки, не думаю, что тедди будет вам удобен.

«Насчет работы куков - как я понимаю, одним из следствий их сохранения является то, что когда ты открываешь некий сайт, где ты до этого логинился, то ты автоматом логинишься снова, (и если это не ты, а злой дядя, то он тоже логинится за тебя), нет?»

Мало таких сайтов, которые автоматически без вашего согласия логинят вас только по кукам (если вы сами не отметили галочку "запомнить меня на этом компьютере", но тогда это ваш выбор). Но сайты могут использовать наличие или отсутствие куки для вашей безопасности. Скажем, если вы вводите правильный пароль и кука у вас есть, то у сайта повышается уверенность, что это действительно вы. Если вы вводите правильный пароль, но куки нет, то при наличии других подозрительных факторов сайт может решить, что есть вероятность, пароль у вас украли и хорошо бы провести дополнительные проверки. Однако немногие сайты имеют такие процедуры, насколько я знаю.
Linux Safari Chrome
 Белоруссия
12
0
kstep (#4973704)
[paranoid mode]
Вроде всё очень гладко и удобно, но весьма смущают несколько вещей. 1) Кто такой Антон Чурюмов? 2) Что за безвестная до сих пор фирма «Платформа Матрица»? 3) Почему я должен доверять им все мои пароли, всю мои аутентификацию на всех сайтах?

Судя по гуглежу, TeddyId создан русской фирмой, а учитывая последние тенденции в рунете со всякими запрещалками и слежкой, такой продукт от русских, фактически берущий под контроль все пароли пользователя, выглядит более чем подозрительно.
[/paranoid mode]
Windows Safari Chrome
 Санкт-Петербург
0
0
alpas
меня в принципе устраивает система автоподстановки паролей из Гуглхрома, но в последнее время появляется всё больше сайтов, где вместо обычных текстовых полей логин/пароль используются какие-то гламурные зализанные хреньки на скриптах, куда браузер не может ничего подставить (даже иной раз емейл через специальное расширение). ближайший пример - Сбербанк Онлайн (не вижу кнопки "вставить ссылку"):
https://online.sberbank.ru/

как с такими сайтами у Teddyid?
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Со Сбербанк Онлайн все хорошо.
Linux Firefox
 Москва
2
0
Фыва Jr Олдж
У сбербанка специально сделано против всяких робото-копипаста-умников:

~~~
<!--фэйковые поля логина и пароля. нужны чтоб особо умный google chrome не запоминал пароль -->
<input style="display:none" type="text" name="fakeLogin"/>
<input style="display:none" type="password" name="fakePassword"/>

<div class="b-field" onclick="return{type: 'login', valid:{required: true}}">
<div class="field_inner">
<input type="text" class="field_input" name="field(login)" id="login" maxlength="30"/>
<label class="field_title" for="login">Логин, идентификатор</label>
</div>
</div>
<!-- // b-field -->

<div class="b-field" onclick="return{type: 'password', valid:{required: true}}">
<div class="field_inner">
<input type="password" class="field_input" id="password" maxlength="30"/>
<label class="field_title" for="password">Пароль</label>
</div>
</div>
<input id="hiddenPasswordField" type="hidden" name="field(password)" />
~~~
Windows Firefox
 Москва
0
0
Nikolay Paskevich
Потерял забыл мобилку или села батарейка и кирдык?
Windows Safari Chrome
 Atlanta
0
0
Evgeny (#4352862)
Залогинился обычным способом.
Windows Firefox
 Израиль
3
0
garik64
После введения новой системы сайт меня забыл. Залогинился снова (через жеже, как обычно). Вроде он меня вспомнил, но зато перестал сохранять изменения в карточке. Пытаюсь поставить галку на "присылать комментарии на e-mail" - не сохраняет. И не присылает.

"Мать этой Скарапеи не залюбила. К обеду не зовет, по отчеству не величат, имени не спрашиват, а выйдет змея на крылечке посидеть, дак матка Ванькина ей на хвост кажной раз наступит".
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А нажимаешь ли ты кнопку "сохранить" внизу карточки или просто ставишь галочку и закрываешь ее? Одно время у меня было так, потом я вернулся к необходимости нажимать "сохранить" - не помню уже, почему, какое-то соображение безопасности было.
Windows Firefox
 Израиль
0
0
garik64
Разумеется, ставлю. Жму "сохранить", выхожу из карточки, запускаю снова - чекбокс чист.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Можешь мне на [email protected] прислать свою авторизационную куку unic5_dnevnik_ ? Что-то типа "1233089-AFfEae3T7faEae&fe34eF".

У меня тут было на днях крупное ЧП с парой аккаунтов людей, которые что-то делали со своей учетной карточкой во время того, как я переписывал движок (я там много изменений внес заодно уж). И я чуть с ума не сошел, когда мне эти люди стали писать о том, что сайт перестал работать вообще - при том, что у меня все работало в любых комбинациях, с любыми браузерами. Пока я не догадался попросить их прислать куку, вбил себе в браузер, зашел как их учетка и только тогда увидел сам симптомы (они были связаны именно с опциями в карточке). Может, здесь тоже что-то такое, залипшее исключительно в твоей учетке?
Windows Firefox
 Израиль
0
0
garik64
> Может, здесь тоже что-то такое, залипшее исключительно в твоей учетке?

Сильно надеюсь. Отправил.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
> Пытаюсь поставить галку на "присылать комментарии на e-mail" - не сохраняет. И не присылает.

Поддерживаю. Раньше мне e-mail приходил с ответами на мой срач, а теперь вот уже который день я вынужден перечитывать все каменты к предыдущим двум-трём постам (на большее терпения нет) в поисках ответов именно мне. Я уже и дополнительный e-mail указал, думал хоть туда будет приходить. Пришёл запрос на подтверждение этого e-mail'а, а уведомлений/каментов что на основной, что на этот как не было, так и нет. Хотя перечитывая каменты к предыдущим двум-трём постам я ответы себе вижу и далеко не один.
Linux Firefox
 Richardson
0
0
Михаил (#1684620)
> вынужден перечитывать все каменты к предыдущим двум-трём постам (на большее терпения нет)

Есть же dnevnik/comm, где все комментарии в хронологическом порядке.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Да это хрень какая-то, comm этот.
Windows Firefox
 Израиль
0
0
garik64
> Я уже и дополнительный e-mail указал, думал хоть туда будет приходить.

Аналогично. Я ещё и телефон указал, и год рождения, и даже забытый IE расчехлил и с него залогинился... Ничего не помогает.
Windows Firefox
 Израиль
4
0
Пашка (#4895894)
Миновали сутки, а восторга у публики по-прежнему не наблюдаю.
Ни одного положительного отзыва.
Ни одного.
Плохо искал?

В плюс, однако, то, что никакой засланный казачок не пришел и не написал, что поставил и поюзал Тедди, и мол, это куууул!
То есть, все по-честному.
Что по нонешним временам не так мало...
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
На моем сайте TeddyId на данный момент привязали к своим учетным карточкам 29 человек, включая меня.

Также надо понимать, что браузерный костыль-запоминалка - это побочный продукт TeddyId, для бедных. Основной продукт TeddyId - это API (и даже не урезанная JS-версия) для установки на сайты, чьи владельцы для своих клиентов (например, компании для своих сотрудников) желают надежной двухфакторной авторизации. То есть, то, что сделал на своем сайте я. Я - доволен :)
Mac Safari
 Швейцария
0
0
Миха (#4528977)
Непонятно, в чем упрощение или улучшение безопасности для рядового пользователя? Не вводить пароль, а каждый раз нажимать на кнопку смартфона?
Вообще, это упрощение для потенциальных злоумышленников. Не надо никаких паяльников в жопу; достаточно отобрать или украсть смартфон, и тут же совершить платеж/перевод.

Я думаю, лет через 5-10 необходимость паролей вообще может отпасть. Биометрические паспорта сейчас уже везде, отпечатки пальцев берутся. Отпечаток заменит и имя пользователя, и пароль. Ну или что там еще используется для полной идентификации - сетчатка глаза, слепок уха, днк...
Поднес чип, встроенный в кожу, к двери - она открылась. Все, никаких лишних манипуляций.
Windows Firefox
 Израиль
4
1
garik64
И опять наступит время паяльников. Паролей не будет, отрезанные пальцы распознаются уже сегодня, про фотографии глаза я и не говорю. Что останется? Втсавить паяльник в подходящую жопу, нажать кнопочку - и владелец жопы вприпрыжку побежит прикладывать палец к датчику.
Mac Safari
 Швейцария
0
0
Миха (#4528977)
В эпоху развития интернет-технологий паяльники вообще не будут продаваться.
Ну кому будет интересно нарушать физическое пространство, хоть и с паяльником, если все уже сейчас сидят виртуально в вк/фс/итд.?

Этих психов будут сразу же заключать в одиночные камеры без доступа к интернету. Через полгода заключения они автоматически выпадут из круга своего общения и сойдут с уна.
Linux Firefox
 Швеция
2
0
Копыждьир (#4988004)
Биометрия - разводка для лохов маркетинг для потребительской аудитории. Нет ни одного надёжного и не поддающегося компрометации биометрического метода. Все эти рисунки роговицы, отпечатки пальцев и прочая воспроизводятся без особых трудностей при наличии хотя бы фотографий объекта. Банальный 4-значный пинкод и то безопаснее будет, при всех его издержках.
Linux Safari
 Швейцария
1
0
Миха (#4978889)
Какие ваши доказательства? Вы криминалист?
Linux Ubuntu Firefox
 Thornhill
0
0
negoro
От меня положительный отзыв. Для компьютера на работе очень удобно. Для домашнего уже излишне. Хотя если поеду куда с ноутом то включу на всякий случай.
Windows Safari Chrome
 Петрозаводск
0
0
igronus (#4288603)
Остроумно, но все равно слишком много телодвижений и очень неудобно.

По поводу отсутствия поддержки этого добра у крупных игроков рынка -- именно. И взлетит оно, когда гугль (и/или подобные) сделают подобное приложение предустановленным на смартфонах. А в текущих реалиях у Тэдди шансов занять нишу маловато.
Windows Safari Chrome
 Москва
0
0
akaprog (#4977159)
а если у них вся база утечет?..

Или хак через дыру в браузере (когда установлен через плагин - вы авторизуетесь, а на самом деле авторизуете злоумышленника).

Чем это лучше, чем системы типа Authentificator (от Microsoft) и прочие гибкие двухфакторки?
Mac Safari Chrome
 Москва
4
0
Антон Чурюмов (#4972205)
Это может звучать неожиданно, но даже если у нас вся база утечет, с вашими паролями от других сайтов ничего не случится. У нас их нет.
Linux Firefox
 Швеция
0
0
Копыждьир (#4988004)
>если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться
Да ладно, ничего сложного же. "Убивание" всех куков и прочих локальных хранилищ браузера у некоторых вообще по дефолту включено.

И вообще вроде бы статью начинали с того, что у паролей проблемы с компрометацией, а не с утерей.
Mac Safari
 Москва
0
0
Павел (#4989183)
А предусмотрено там разделение пароля больше чем на два ключа? В корпоративе было бы удобно для контроля доступа делить на 3-4 части. И плохо что только веб, пароли нужны много где... Менеджер нужен
Mac Safari
 Швейцария
5
0
Миха (#4528977)
Вот этим разработчикам систем на местах может кто-нибудь внятно объяснить, что пароль из 8 символов но с заглавными буквами взламывается легче чем просто пароль из 8 символов без ограничений?

Я бы объяснил, но в рядах моих знакомых этих долбоебов замечено не было.

Для начала можно взять пароль из одного символа кириллицы. Прописных и заглавных всего 66 вариантов,
но если хотя бы один символ должен быть заглавной буквой, то вариантов остается только 33. Получается в 2 раза меньше вариантов для взлома для этого конкретного пароля.

На 8 символов тоже легко экстраполировать.
Кто вообще придумал эту херь с цифрами, заглавными буквами и проч?
Linux Ubuntu Firefox
 Москва
3
0
Leonid Kaganov


"Докажите, что вы не робот: введите слова, которые видите на картинке. Чем больше слов введете — тем больше вы не робот!"
Windows Firefox
 Израиль
1
0
Пашка (#4895894)
Некрософт, кто же еще!
Еще тупее: они когда учут ссысьадминов, рекомендуют им рядовых юзеров - чтобы проще было - заставлять ставить первую букву пароля заглавную, вторую строчную, и чтобы они были первыми буквами имени и фамилии юзера. Далее рекомендуют ставить цифры.
Я предполагаю, что так написано где-то у них в учебниках, или в методичках каких-то, ибо именно такие рекомендации разные мои знакомые люди получали на трех независимых местах работы, в разных компаниях.
Соответственно сила пароля при такой системе падает порядков на несколько.
Повидимому, так их учут где-то там, откуда они все вылазят на свет. Никаких других объяснений не вижу.
Mac Safari
 Москва
0
0
Aleksej
Да ну, вот про рекомендации как раз сказки. Никогда не встречал и не слышал. В отличие от логинов.
Mac Safari
 Москва
1
0
Aleksej
Это сделано для того чтобы брутфорсом по словарю не подобрали. Только никто не подумал, что заглавную букву вводят в 99 проц случаев первой.
Windows Firefox
 Обнинск
4
0
Увеличение длины пароля, увеличение ассортимента допустимых знаков - всё это фигня, никак не помогающая защитить юзеров.
Защита от брутфорса может быть только одна: ограничение числа попыток в единицу времени. Причём с отсечкой именно по атакуемому логину, ни в коем случае не по IP атакующего.
Даже если требовать многацифер и букаф, непременно найдётся дофига умников, которые поставят себе пароль "Cvbnm,1234567890" - они-то и окажутся слабым звеном.
Linux Ubuntu Firefox
 Москва
0
0
Сережа (#4836300)
Разберем эту ситуацию.
Есть почтовый сервер - мейлсру, и там есть пользователь - wgent. Ограничение на количество попыток логина - 10 штук в минуту. Некий злоумышленник запускает скрипт, который пытается залогиниться пользователем wgent. Скрипт работает постоянно и делает более чем 10 попыток логина в минуту. Внимание вопрос, когда настоящий пользователь сможет почитать свою почту?
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Как раз если требовать какие-то искусственные многоцифр, пользователи с нормальными, привычными и несловарными паролями будут вынуждены поставить что-то более слабое, просто чтобы не забыть этот пароль. Профанация, граничащая с вредительством.
Насчет ограничения числа попыток - могу вам прислать TrueCrypt-контейнер, можете брутфорсить его на чем хотите и без всяких ограничений. Пароль - тривиальная, легко запоминающаяся фраза на 36 символов. Без всяких цифр и с единственной заглавной буквой - первой. Welcome!

Насчет "умников" - я таки воспринимаю системы, которые не считают, что знают правильное обращение с паролями лучше меня, более дружелюбными. А тех, которые чего-то требуют от моего пароля - хамски безразличными к пользователю. Как в советской конторе - бюрократизм, возведенный в принцип, вместо реальной помощи.
Linux Firefox
 Москва
4
0
Фыва Jr Олдж
> Как в советской конторе - бюрократизм, возведенный в принцип, вместо реальной помощи

Вот!

(*) Имя
(*) Фамилия
___ Отчество
___ Страна
___ Город
___ Адрес
___ Номер домашнего телефона
(*) Номер мобильного телефона

поля отмеченные знаком (*) являются обязательными для заполнения


Нахуй такие сервисы, однозначно нахуй! На Страну/Город/Адрес я согласен, без этого обычный человек ну никак не может (если он не БОМЖ конечно), но вот то, что "Номер мобильного телефона" является обязательным полем... Да идите вы в пизду! Я никому не обязан обзаводиться мобильным телефоном! И таких сервисов в последнее время стало ой как много и становится с каждым днём всё больше. Уроды, просто напросто уроды, ублюдки и долбоёбы!
Linux Ubuntu Firefox
 Владимир
0
1
Adamos
Ну, кое-где вполне можно указать [email protected] в качестве почты и +7(4922) 33-33-33 в качестве телефона. Но таких мест все меньше, в основном "или ты нам сливаешь свои реальные спам-контакты, или ты нам неинтересен".
Windows Safari Chrome
 Кременчуг
0
0
ЖК (#4192766)
> Увеличение длины пароля, увеличение ассортимента допустимых знаков - всё это фигня, никак не помогающая защитить юзеров.
> Защита от брутфорса может быть только одна: ограничение числа попыток в единицу времени.
Всё это верно, если речь идёт об удалённом брутфорсе. А вот против подбора по уведённому каким-либо образом хешу как раз и поможет больше символов, хороших и разных.
Linux Firefox
 Richardson
0
0
Михаил (#1684620)
> Кто вообще придумал эту херь с цифрами, заглавными буквами и проч?

С паролями это ещё фигня. JPMorgan Chase вот вообще придумал, что даже «User ID: Must contain at least one letter and one number»...
FreeBSD Firefox
 Москва
0
0
rea (#4994524)
Ну и где в первом варианте "пароль исчезает"? Он в броузер пользователя по частям собирается? Собирается. Значит можно с помощью специально заточенной malware перехватить.

Ну и эта штука -- это не настоящий two-factor, это two-piece password split. Авторизационный токен -- один, пароль, по-крайней мере, в первом варианте.

Ну и есть вопросы в том, как пароль делится на две части и чего/как доставляется на пресловутый сервер TeddyID. Если тупо на две части и сам сервер может видеть свою часть незашифрованной, то это называется "давайте мы снизим количество вариантов по подбору вашего пароля в корень из их числа раз". Ну а потом, например, кому-то продадим. Или отдадим, если хорошо попросят. Паранойя? Входит в мои служебные обязанности.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Первый вариант - костыли для бедных.
Я использую на своем сайте третий вариант - полноценное API.
FreeBSD Firefox
 Москва
1
0
rea (#4994524)
Третий вариант ("TeddyId для организаций", я полагаю) у вас совсем не описан (кроме того, что в нём до фига всего, цифровая подпись и все дела), но заявления с основного сайта "Each time you log in with TeddyID, you are using two devices: your computer and your phone. That's why the security level is the same as when using any modern Internet bank." наводят на мысль, что люди либо хотят попиариться, либо не знают, о чём говорят, поскольку переход от первого утверждения ко второму -- несколько произволен.

Пряники типа "генерируем 6-циферный код когда вы в offline" приятны, но тоже на two-factor не особенно тянут. И, конечно, очень интересно, как именно этот код генерируется и почему я не могу подсмотрев ваш текущий код угадать следующий. В one-time passwords (RFC 2289, для примера, http://www.ietf.org/rfc/rfc2289.txt) это, допустим гарантируется однонаправленностью хеш-функции и тем, что свойства этих функций неплохо изучены. Как тут -- неясно.

Заявления из раздела "Where are the passwords stored?" выглядят занимательно, но если encryption key -- на устройстве, а приложение-клиент может получать ciphertext (возможно после того, как выберет правильную картинку, а, может быть, и просто так), то роль malware во вскрытии пароля возрастает до небес и про раздел "More secure than passwords" можно забыть: keylogger не нужен, нужна другая вариация заразы.

Ну и, конечно, на всём сайте не видно никаких исходников и/или описаний используемых алгоритмов и характерных черт реализации системы. А дьявол -- он в деталях, в криптографии -- особенно.

Ну и я уже не говорю о том, что заявлять, что "у нас хранится только зашифрованная часть пароля, а ключ расшифрования -- у вас, только у вас" при наличии полного контроля над реализацией клиента и невозможностью никак кроме reverse engineering сделать своего клиента -- это, как бы получше выразиться, несколько неоправданно.

Но, наверное удобно и вселяет чувство уверенности: two factor, не хуже, чем в банке, все дела.
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Описания алгоритмов на сайте есть - там классический AES указан.
FreeBSD Firefox
 Москва
0
0
rea (#4994524)
Там говорится, что используется AES. Но вопрос не только в том, что используется, а ещё и какая именно реализация AES и _как_ он используется.

Можно использовать реализацию AES, в которой куча side channels. Это будет AES, только он некоторым особенно умным ребятам очень много сможет сказать о том, чего они шифрует и как это расшифровать не пользуясь банальным сливом информации.

Можно использовать божественную реализацию AES, в которой нет вообще ни одной ошибки, только забыть инициализировать генератор случайных чисел. Debian знает как: https://www.schneier.com/blog/archives/2008/05/random_number[...], есть даже картиночка: http://www.xkcd.com/424/

Вариантов -- море. Ответ на вопрос "а почему все они не реализуются?", видимо, пока один: "мамой клянус, э!".
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
А вот идея возможности написания собственного клиента для TeddyId мне нравится - я бы там сделал архив запросов, например:)
Mac Safari Chrome
 Москва
1
0
Антон Чурюмов (#4972205)
«Ну и где в первом варианте "пароль исчезает"? Он в броузер пользователя по частям собирается? Собирается. Значит можно с помощью специально заточенной malware перехватить.»

Можно. Мы честно говорим об этом в таблице на https://www.teddyid.com/sites.php#comparison. Первый вариант это действительно быстрый и дешевый способ решить часть проблем с паролями, только часть! Конечно, это не 2factor.

Части, на которые делится пароль, это ключ шифрования и шифротекст. Конечно, при таком делении мы ничего не теряем в отношении количества вариантов перебора.
FreeBSD Firefox
 Москва
0
0
rea (#4994524)
> Части, на которые делится пароль, это ключ шифрования и шифротекст.

Видимо, тогда не пароль делится, а части, одна из которых направляется к вам (шифротекст), а другая -- остаётся у клиента (ключ). Просто шифротекст -- это результат зашифрования пароля, поэтому пароль делиться на шифротекст и ключ просто не может.

> Конечно, при таком делении мы ничего не теряем в отношении количества вариантов перебора.

Это смотря какую модель угроз мы рассматриваем. Если я предполагаю, что вы можете быть враждебными по-отношению к своим пользователям (а PRISM показывает, что в жизни всё непросто) или не совсем компетентными в написании кода (что тоже бывает), то если генерация ключа происходит в вашем софте, тогда вы можете банально сделать в алгоритме его генерации trap-door: кто не в курсе будет перебирать всё, а кто в курсе -- тот не будет. Ещё раз: слова "конечно", "будет работать", "не хуже чем" -- они нуждаются в подтверждении.


Ну и насчёт кода/алгоритмов: граждане, посмотрите, например, на Tarsnap (http://tarsnap.com/). Если уж вы не хотите публиковать код и совсем интимные детали реализации, то хотя бы сделайте так, http://www.tarsnap.com/crypto.html, так, http://www.tarsnap.com/scrypt.html, так, http://www.tarsnap.com/kivaloo.html, и так, http://www.tarsnap.com/spiped.html. Колин Персиваль не просто так это сделал и не из чистой любви к open-source (хотя он её того, любит). Это ещё и отличные примеры того, как люди, которые хотят понять чего и как тут с крипто, могут посмотреть на используемые алгоритмы и хотя бы на часть кода и оценить, надо им такое счастье или не очень.
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Генерация ключа происходит в нашем софте на стороне клиента. Код открыт:
https://www.teddyid.com/js/teddypass_server.js
Приглашаю поискать trap-doors и ошибки в коде.
FreeBSD Firefox
 Москва
0
0
rea (#4998904)
А вы уверены, что пользователь получит именно тот JavaScript, который вы хостите на своём сервере? Использование там HTTPS ещё не даёт такой гарантии: у кого-то тоже может быть сертификат для teddyid.com, подписанный УЦ, распознаваемым стандартными броузерами. Фактически, коммерческие УЦ делают очень мало, чтобы проверить принадлежность доменного имени. Есть, конечно, extended validation, однако не совсем очевидно, как именно пользователь поймёт, что он используется. Мы в своём маленьком кружке по безопасности и авторизации, https://www.igtf.net/, однажды делали такое тестирование. И два уважаемых УЦ выдали нам сертификаты для одного и того же доменного имени без каких-то сильных проблем, хотя запрашивали разные люди, к этому домену имевшие, в-общем, слабое отношение. Ну и, опять же, допустим в Cisco Ironport можно сделать HTTPS Inspection, https://supportforums.cisco.com/discussion/11723386/how-setu[...], для чего нужен всего лишь subordinate root, у которого basicConstraints выставлены в CA:true + ещё кое-что. Конечно сейчас уже коммерческие УЦ таких сертификатов обычным людям не выдают, но если, допустим, машины клиентов — в Windows-домене или как-то ещё централизованно настраиваются, то сделать нужную политику очень несложно.

Проблема доставки крипто-кода на JavaScript _каждый раз_ в броузер клиента — она очень сложна, гораздо сложнее проблемы "доставим код в виде дополнения один раз". Поэтому если ваша крипто-часть на стороне полностью опирается на указанный JavaScript, то, боюсь, там даже side channels не нужны, можно просто пойти другим путём.
Windows Safari Chrome
 Somerville
0
0
Kirill
> двухфакторная система авторизации, которая позволяет забыть о паролях (и их утечках) не только на сайтах

Если пароля вводить не надо, то это остается однофакторной авторизацией.

Три фактора:
1) что ты знаешь (например пароль)
2) что у тебя есть (например смартфон или токен)
3) чем ты являешься (например отпечаток ладони или скан радужки)

В данном случае, если я понял, после настройки системы остается только второй пункт -- смартфон.



PS Тот факт что при утере телефона надо срочно куда-то нестись и блокировать аккаунты меня напряг бы. Для обычного человека на важных аккаунтах (например основная почта) предпочтительна все-таки двухфакторная авторизация. А чтобы запоминание пароля было не в напряг, надо просто следовать совету XKCD: http://xkcd.com/936/
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Неправильно понял.
Двухфакторная - когда два фактора.
В данном примере половина ключа на компе, половина в смартфоне.
Украв ноутбук либо смартфон, пароль не получить. Только если и то и другое вместе.
FreeBSD Firefox
 Москва
1
0
rea (#4994524)
Чисто на всякий случай: авторизация — это когда уже знают, кто вы есть такой, и хотят понять, давать вам права или нет. А то, о чём вы разговариваете — это аутентификация, проверка того, что вы — тот, за кого себя выдаёте.

Аутентификация: — "Это Вася, он с нами вчера бухал". — "Ага, вон бланж под глазом, узнаю свой почерк".

Авторизация: — "Василию нальёте?". — "Свой человек, чего не налить".
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
rea, рад встретить брата по разуму :), а то я думал, что я один, кто обращает внимание на аккуратное использование терминов "авторизация" и "аутентификация". У нас в России к сожалению очень часто пишут "авторизация" когда на самом деле имеют в виду "аутентификацию".
FreeBSD Firefox
 Москва
0
0
rea (#4998904)
К-сожалению, это не зависит от региона, национальной принадлежности и вероисповедания. Просто есть 10 типов людей: которые в курсе и которые не в курсе. Но это так в любой области, крипто тут ничем не выделено. Ну и одна из ролей знающих людей — это нести своим знания в массы, чисто чтобы разумное, доброе и вечное как-то размножалось, а не наоборот.

Ну и, конечно, путаница с AuthN и AuthZ — это ещё и некий тест на то, кто именно перед тобой. И его отрицательный результат обычно говорит о том, что дальше с человеком лучше в этот раз разговаривать строго о погоде.
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Гы гы гы! :-) Отсюда: https://news.mail.ru/society/21065199/?frommail=1

~~~
ЛОС-АНДЖЕЛЕС, 13 февраля. /Корр. ТАСС Виталий Макарчев/. Президент США Барак Обама в пятницу признался, что не отличался особой изобретательностью, когда придумывал пароли для работы в интернете.

«Многие из нас достаточно легкомысленно относились к вопросам защиты собственной информации», — заметил он в своем выступлении на первом общенациональном саммите США по кибернетической безопасности и защите потребителей, который открылся в калифорнийском Стэндфордском университете.

По словам Обамы, он использовал слово «password» в качестве пароля для входа в свою электронную почту и другие приложения. Правда, признался президент, у него была и более сложная комбинация — «1,2,3,4,5,7». «С некоторых пор я его (пароль) сменил», — сообщил он.

Проходящий в Кремневой долине саммит посвящен партнерству частных компаний и государства в вопросах кибернетической безопасности. Одной из его главных тем является разработка технологий идентификации пользователей интернета, позволяющих отказаться от традиционных паролей.

~~~
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
Отлично. Внес строчку в движок: ajax/login.php:

if($i=='password'||$i=='123457') idie("Это <a href='https://news.mail.ru/society/21065199/?frommail=1'>личный пароль Барака Обамы<br>, вам нельзя его использовать!");

Ранее там было:

if(ms("SELECT COUNT(*) FROM ".$db_unic." WHERE `password`='".e($i)."'","_l")!=0) idie("Этот пароль уже кем-то занят. Придумай другой.");
Linux Firefox
 Richardson
0
0
Михаил (#1684620)
А тэг <a> закрыть?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Ух ты, и верно! Пойду закрою.
Linux Ubuntu Firefox
 Иваново
0
0
Коржик
Что-то ни одного отзыва в магазине приложений и ноль звезд.
Пожалуй стоит пока воздержаться от использования. Ну, на мой взгляд.
Linux Ubuntu Firefox
 Иваново
0
0
Коржик
О! Оно еще и не BFB. Не-не-не, без этого - доверять приложению свои пароли -извращенный способ цифрового самоубийства. =)
Windows Firefox
 Вологда
0
0
secam (#5088944)
Могу Вас обрадовать плагином для IE


Linux Ubuntu Firefox
 Иваново
0
0
Коржик
Ух ты! Адварь.

Не, я понимаю, что тут можно было бы свалить на чересчур умные эвристики, но нет - судя по номерам типа 36 или 46129 вредонос уже проанализирован и внесен в базы.

Завсегда хорошо доверить свой пароль программе, авторы которой пакуют в инсталлер такие приятные бонусы.

Там вот выше Леонид писал:
>В общем, рекомендую. Если какие-то вопросы по использованию, API, его работе, встраиванию, программированию...

Я так понимаю, что по встраиванию теперь вопросов возникнуть не должно - такие штуки, как правило, сами встраиваются настолько хорошо, что не выдерешь.
Windows Safari Chrome
 Европа
0
0
Alexander
Но как, как оплатить этот несчастный доллар?

С ТеддиАйДи невозможно связаться, нет ни одного контакта, куда бы можн обыло написать вопрос. Ни почты, ни блога, ни формы.

И у вас попытка авторизоваться приводит к:

TeddyID.com
ERROR #2: different IP

всего комментариев: 329

<< предыдущая заметка следующая заметка >>