Существует ли придуманный мной способ авторизации?
Я смущен тем, что в наше время на популярных сервисах приходится проходить унизительную процедуру авторизации. Кейс:
1. Год назад я поменял пароль своего аккаунта на популярном сервисе. Из-за подозрения на взлом. Я придумал новый пароль и за год благополучно его забыл.
2. Все это время куки отлично отрабатывали.
3. Я переустановил браузер и понеслось - введи капчу, зайди на свой email, придумай новый пароль. Нет! Придумай пароль с большой буквой. Нет! Этот пароль ты уже использовал... И т. д.
В результате на элементарную процедуру я трачу до 10 мин...
Как я хочу:
1. Я ввожу свой номер телефона и нажимаю "войти через SuperAuthApp"
2. Приложение в моем телефоне говорит "вы действительно хотите зайти на сайт такой-то? Да / Нет"
Как я еще хочу:
1. Нажать на кнопку "войти через SuperAuthApp"
2. Расширение моего браузера уже знает мой номер телефона
3. Приложение в моем браузере говорит "вы действительно хотите зайти на сайт такой-то? Да / Нет"
Сейчас я пользуюсь решениями типа DashLane. Почему это плохо? Потому что это костыль.
Проблемы:
1. Телефон может сесть. Ок, тогда я готов ввести капчу, прогулятся на mail и т. д.
2. Кто-нибудь может завладеть вашим телефоном. Ок, можно защитить приложение пин кодом, вводом графического ключа и прочее. Каждый заботиться о безопасности по своему. Кому-то qwerty норм.
А теперь собственно сам вопрос: такие решения уже существуют или можно пилить стартап?))
прямо, риторический вопрос :) Я понимаю что Вы спрашиваете, но читается забавно :))))
А проблема централизованной авторизации поднималась давно. Был Openid , еще какие-то попытки. Ваша идея безусловно существует в реализации, но ее почему-то мало кто использует. Отакие дела.
nektobit: если честно, сам бы не хотел. Полностью признаю Ваш кейс со сложностями "я заходил на много сайтов а потом снова на них заходить". Однако есть много "но" - у многих сайтов хитрая политика авторизации. Двухфакторная как у гугла, еще какая-нибудь. Их трудно увязать в одну "точку", в один сервис. Тем более если авторизация 2факторная призвана _защитить_ процесс путем политики поставщика сервиса (в данном случае - гугл) то если бы даже существовала единая точка, единый "входной" сервис, он бы страдал следующим:
1. Лишнее звено. А следовательно лишняя дыра в безопасности (да-да я верю что можно сделать все безопасным но знаете ли статистика есть статистика. Лишний код = лишняя дыра, а уж если унифицировать такую вещь как авторизация получим дырищу)
2. Все яица хранятся в одной корзине. Упадет корзина - яицам конец ) Это очень будет выгодная мишень для различных взломщиков - такой сервис. Если он будет существовать.
Я думаю, что несмотря на трудности, оптимальный способ юзанья сервисов это усилить настройки авторизации какие предлагает сам сервис, ну и пользоваться ими. Да, это неудобно подчас. Да. Но лучшего решения не вижу, даже гипотетический "один сервис" не решает проблем а скорее добавляет новых.
Берите выше - интернет это все таки во многом (в логическом плане) гетерогенная сеть. (Сетевые спецы я знаю что я сказал ерунду но я сказал _в логическом плане_). То есть много сервисов, политик, ситуаций. Невозможно их взять и увязать.
Даже если не увязывать на стороне сервиса или промежуточной стороне, а сделать какие нибудь расширения браузера и так далее - даже так столкнетесь и с проблемами безопасности, и с тем что унифицировать разные политики разных сервисов очень тяжело.
nektobit:
1. Нет, потому что оставьте в покое мой телефон. Двух- и более факторную аутентификацию можно сделать и без телефона.
2. Существуют менеджеры паролей. keepass, например. И плагины для браузера, тоже, представьте себе, существуют уже не один год. На большинстве сайтов и во многих десктопных программах я авторизуюсь одним нажатием хоткея.
в большинстве случаев, имхо, быстрее и проще ввести пароль.
Мой вариант:
1. Открываете сайт, там есть форма для ввода логина/пароля, или уникальный сессионный QR
2. Сканируете QR из вашего AuthApplication
3. Логинитесь
Проще тем, что на сайте не нужно вбивать свой номер. Такой штукой пользуется Приватбанк, privat24.ua, мне очень нравится. А в приложении у них можно войти по тач айди. Итого 0 паролей.
Простой
Простой
Простой
Средний
Сложный
