Здравствуйте, pira, Вы писали:
P>вопрос: где вы храните пароли? P>ответ
Это не пользователи тупые. Это программисты до сих пор не решили проблему унификации хранения паролей и доступа к ним.
Индивидуальная флешка ID-клиента + облачный сервис, где можно хранить Credentials и определять кто и к какому сервису имеет доступ. Ну, и конечно сами сервисы должны уметь этим хранилищем пользоваться. Это как OpenId, только для доступа, в общем и посекюрнее.
Сейчас каждый сервис заставляет придумать пароль (и каждый по-своему), иногда даже придумать уникальный ник на сервисе(!), да ещё каждый говорит, что безопасно пароли только запоминать. Господа, программисты/стартаперы, это у вас в головах каша. Тут проблема безопасности by design.
Здравствуйте, sharez, Вы писали:
S>Сейчас каждый сервис заставляет придумать пароль (и каждый по-своему), иногда даже придумать уникальный ник на сервисе(!), да ещё каждый говорит, что безопасно пароли только запоминать. Господа, программисты/стартаперы, это у вас в головах каша. Тут проблема безопасности by design.
Если речь идет о внешних атаках, то самое безопасное — это бумажные наклейки на монитор. Неудобно копипастить, правда
От жены, да, не годится.
Здравствуйте, Троцкий, Вы писали:
Т>Если речь идет о внешних атаках, то самое безопасное — это бумажные наклейки на монитор. Неудобно копипастить, правда
Невозможно иметь 100 наклеек на монитор. Нужно двигаться в сторону электронной личности и единой но распределенной идентификации пользователей. Вот где blockchain пригодился бы.
К сожалению всякие Google (Google+ ID) и Microsoft (Live ID) предпочитают делать vendor lock везде, где это только возможно.
Здравствуйте, pira, Вы писали:
P>вопрос: где вы храните пароли?
А что смешного? У Excel есть возможность запаролить сам файл, т.е. будет как бы мастер-пароль. Единственный минус -- нет встроенного генератора паролей.
Есть и плюсы -- гарантированно производитель софта не украдет ваши пароли, т.к. вы слишком мелкий для него. А то каждый раз скачиваешь KeePass и думаешь -- а вдруг взломали комп разработчика и встроили в прогу трояна...
Здравствуйте, Троцкий, Вы писали:
Т>Если речь идет о внешних атаках, то самое безопасное — это бумажные наклейки на монитор. Неудобно копипастить, правда
Возьми электронные Т>От жены, да, не годится.
Даже от жены сгодится.
Здравствуйте, sharez, Вы писали:
S>Это не пользователи тупые. Это программисты до сих пор не решили проблему унификации хранения паролей и доступа к ним. S>Индивидуальная флешка ID-клиента + облачный сервис, где можно хранить Credentials и определять кто и к какому сервису имеет доступ. Ну, и конечно сами сервисы должны уметь этим хранилищем пользоваться. Это как OpenId, только для доступа, в общем и посекюрнее.
И как ты заставишь владельцев миллионов сайтов это сделать? Тут даже авторизацию через фейсбук/гугл, которые, кажется, уже всем хомячкам завели аккаунты, не то, что людям, прикручивают далеко не всегда (на RSDN-е есть?), а через какой-то никому не известный сервис, у которого 2 с половиной пользователя? Не взлетит.
S>Сейчас каждый сервис заставляет придумать пароль (и каждый по-своему), иногда даже придумать уникальный ник на сервисе(!), да ещё каждый говорит, что безопасно пароли только запоминать. Господа, программисты/стартаперы, это у вас в головах каша. Тут проблема безопасности by design.
Нет никакой каши. Будет возможность — будут пользоваться. Пока что в мире такой возможности нет и желающих инвестировать пару десятков миллиардов баксов в создание и внедрение по всему миру такой технологии тоже не нашлось. А в каких-нибудь интранетах авторизация по USB-ключам уже давным давно применяется там, где это уместно.