Вчера в комментах к прошлому посту сказали, что нормальные парни работают по FFF (fix time, budget, flex scope -> читай как режем фичи, но делаем дело)
Где-то смеется один синий или зеленый, а может и красный, в общем любой банк 🥲🥲🥲
@analyst_exe
Где-то смеется один синий или зеленый, а может и красный, в общем любой банк 🥲🥲🥲
@analyst_exe
😁6
Никогда не делайте "техническую интеграцию" и вот почему
Однажды на проекте прилетела задача: "Нужна техническая интеграция с [название системы]". Не попросили — практически приказали. Сроки горят, давайте быстрее.
Что за проект — не скажу. Абсолютно реальная история из МТС.
Мы нашли документацию сами. Потому что её никто не дал. Сделали еле-еле, душа в теле. Отметили галочкой. Положили в ящик.
Через полгода бизнес наконец согласовал финансовые вопросы. Приходят радостные: "Ну, вам же только включить?"
А там не просто вершина айсберга. Там "зачем мы это вообще делали". Проще было начать с нуля.
Что пошло не так
Мы сделали техническую интеграцию. Буквально: связали две системы, данные ходят, ошибок нет.
Но никто не спросил:
🔸 Какой бизнес-процесс это поддерживает?
🔸 Какие данные реально нужны, а какие "на всякий случай"?
🔸 Кто будет пользоваться и как?
🔸 Что изменится в процессах, когда включим?
Мы интегрировали системы. А надо было интегрировать процессы.
За полгода изменилось всё: требования бизнеса, структура данных на той стороне, даже команда, которая это заказывала. А наша "техническая интеграция" осталась памятником тому, что было полгода назад.
Почему так происходит
"Давайте сделаем техническое, пока бизнес согласовывает" — звучит логично. Параллелим работу, экономим время.
На практике:
🔸 Техническое без бизнесового контекста — это код в вакууме
🔸 Требования меняются, пока ждёшь согласований
🔸 "Просто включить" никогда не бывает просто
Интеграция — это не про "данные ходят". Это про "бизнес-процесс работает".
Что стоило сделать
Задать вопросы до начала работы:
🔸 "Какую проблему решаем этой интеграцией?" — если ответ "ну, надо связать системы" — красный флаг
🔸 "Когда планируется запуск в прод?" — если "непонятно" или "когда согласуют" — может, не стоит начинать
🔸 "Что будет, если не сделаем сейчас?" — если ничего страшного — точно не стоит
И главное: интеграция без согласованного бизнес-процесса — это технический долг с первого дня.
Выводы
🔸 "Техническая интеграция" без бизнес-контекста — это не интеграция, это заглушка
🔸 Если бизнес не готов — техника тоже не готова
🔸 Вопрос "зачем?" важнее вопроса "как?"
🔸 Галочка в трекере ≠ готовая фича
Иногда лучший результат работы аналитика — не сделанная задача. Потому что вовремя спросил "а точно надо сейчас?"
А у вас были проекты, которые "сделали заранее", а потом выкинули?
@analyst_exe
Однажды на проекте прилетела задача: "Нужна техническая интеграция с [название системы]". Не попросили — практически приказали. Сроки горят, давайте быстрее.
Что за проект — не скажу. Абсолютно реальная история из МТС.
Мы нашли документацию сами. Потому что её никто не дал. Сделали еле-еле, душа в теле. Отметили галочкой. Положили в ящик.
Через полгода бизнес наконец согласовал финансовые вопросы. Приходят радостные: "Ну, вам же только включить?"
А там не просто вершина айсберга. Там "зачем мы это вообще делали". Проще было начать с нуля.
Что пошло не так
Мы сделали техническую интеграцию. Буквально: связали две системы, данные ходят, ошибок нет.
Но никто не спросил:
🔸 Какой бизнес-процесс это поддерживает?
🔸 Какие данные реально нужны, а какие "на всякий случай"?
🔸 Кто будет пользоваться и как?
🔸 Что изменится в процессах, когда включим?
Мы интегрировали системы. А надо было интегрировать процессы.
За полгода изменилось всё: требования бизнеса, структура данных на той стороне, даже команда, которая это заказывала. А наша "техническая интеграция" осталась памятником тому, что было полгода назад.
Почему так происходит
"Давайте сделаем техническое, пока бизнес согласовывает" — звучит логично. Параллелим работу, экономим время.
На практике:
🔸 Техническое без бизнесового контекста — это код в вакууме
🔸 Требования меняются, пока ждёшь согласований
🔸 "Просто включить" никогда не бывает просто
Интеграция — это не про "данные ходят". Это про "бизнес-процесс работает".
Что стоило сделать
Задать вопросы до начала работы:
🔸 "Какую проблему решаем этой интеграцией?" — если ответ "ну, надо связать системы" — красный флаг
🔸 "Когда планируется запуск в прод?" — если "непонятно" или "когда согласуют" — может, не стоит начинать
🔸 "Что будет, если не сделаем сейчас?" — если ничего страшного — точно не стоит
И главное: интеграция без согласованного бизнес-процесса — это технический долг с первого дня.
Выводы
🔸 "Техническая интеграция" без бизнес-контекста — это не интеграция, это заглушка
🔸 Если бизнес не готов — техника тоже не готова
🔸 Вопрос "зачем?" важнее вопроса "как?"
🔸 Галочка в трекере ≠ готовая фича
Иногда лучший результат работы аналитика — не сделанная задача. Потому что вовремя спросил "а точно надо сейчас?"
А у вас были проекты, которые "сделали заранее", а потом выкинули?
@analyst_exe
❤6😢2
Воскресный дайджест
Собрал для вас всё самое полезное за эти несколько недель (мемы сами полистаете). Про интеграции, переговоры, безопасность и выбор технологий.
🔸 Никогда не делайте "техническую интеграцию" и вот почему — https://t.iss.one/analyst_exe/575
🔸 Как торговаться за скоуп и не стать врагом заказчика — https://t.iss.one/analyst_exe/572
🔸 Как работают пароли — https://t.iss.one/analyst_exe/570
🔸 Заказчик не знает что такое НФТ и не должен — https://t.iss.one/analyst_exe/568
🔸 Три дороги к решению: коробка, Open Source или самопис — https://t.iss.one/analyst_exe/565
🔸 Как работает оплата по QR — https://t.iss.one/analyst_exe/563
Всем хорошо отдохнуть перед началом недели!
@analyst_exe
Собрал для вас всё самое полезное за эти несколько недель (мемы сами полистаете). Про интеграции, переговоры, безопасность и выбор технологий.
🔸 Никогда не делайте "техническую интеграцию" и вот почему — https://t.iss.one/analyst_exe/575
🔸 Как торговаться за скоуп и не стать врагом заказчика — https://t.iss.one/analyst_exe/572
🔸 Как работают пароли — https://t.iss.one/analyst_exe/570
🔸 Заказчик не знает что такое НФТ и не должен — https://t.iss.one/analyst_exe/568
🔸 Три дороги к решению: коробка, Open Source или самопис — https://t.iss.one/analyst_exe/565
🔸 Как работает оплата по QR — https://t.iss.one/analyst_exe/563
Всем хорошо отдохнуть перед началом недели!
@analyst_exe
🔥8
БЕСПЛАТНО ПЕРЕДЕЛАЮ 10 РЕЗЮМЕ
Нужны аналитики и не только, которые сейчас в поиске
Тестирую гипотезу связки билдер+матчер+скринер
Придумал хитрый флоу, нужно обкатать на реальных кейсах
Пришлите свое резюме мне в личку @darkwing_duck101
UPD: Набрал
@analyst_exe
Нужны аналитики и не только, которые сейчас в поиске
Тестирую гипотезу связки билдер+матчер+скринер
Придумал хитрый флоу, нужно обкатать на реальных кейсах
Пришлите свое резюме мне в личку @darkwing_duck101
UPD: Набрал
@analyst_exe
🥰7
Вчера писал про работу с резюме, и неожиданно откликнулись ребята с канала @yazhanalitik (1.5k+ подписчиков)
Почитал — зацепило. Интересные истории, текущее состояние рынка, короче круто, я раньше не видел такой канал. Думаю, стоит собрать подборку каналов, которые реально стоит читать
Полезно для расширения картины мира. Рекомендую заглянуть 👀
А я пойду дальше разбирать ваши резюмешки, половину уже сделал.
#НЕРЕКЛАМАМНЕЗАЭТОНИКТОНЕПЛАТИЛЯПРОСТОДЕЛАЮДОБРОЕДЕЛО
@analyst_exe
Почитал — зацепило. Интересные истории, текущее состояние рынка, короче круто, я раньше не видел такой канал. Думаю, стоит собрать подборку каналов, которые реально стоит читать
Полезно для расширения картины мира. Рекомендую заглянуть 👀
А я пойду дальше разбирать ваши резюмешки, половину уже сделал.
#НЕРЕКЛАМАМНЕЗАЭТОНИКТОНЕПЛАТИЛЯПРОСТОДЕЛАЮДОБРОЕДЕЛО
@analyst_exe
Telegram
#ЯЖАНАЛИТИК
😫 Страх и ненависть в найме: новый ⡁⢢⡔⠑⢄⡂ сезон
За последние пару недель я в полной мере ощутил на себе все изменения найма. Прежние попытки заткнуть самостоятельно дырку в доходах считаю легкой разминкой.
Успел пройти отрицание, гнев, торг. Особенно торг!…
За последние пару недель я в полной мере ощутил на себе все изменения найма. Прежние попытки заткнуть самостоятельно дырку в доходах считаю легкой разминкой.
Успел пройти отрицание, гнев, торг. Особенно торг!…
🔥6
Ну что господа, час настал, чебурнет все ближе
Cоздаем приватный чат в max?
Проведем честное голосование
👍 - создаем
🤡 - сидим до упора тут, max не торт
я бы не стал. лучше analystexe.ru в полноценный блог превратим
@analyst_exe
Cоздаем приватный чат в max?
Проведем честное голосование
👍 - создаем
🤡 - сидим до упора тут, max не торт
@analyst_exe
🤡37👍6😢1
Бл*, Костя, это можно было нормально сделать? Ну чего сложного было кнопку скрыть, ну почему она на dev01 все ещё есть?
А я это сейчас заказчику показывал и обосрался, ну Костя! 10 раз же уже переделывали! 😡😡😡😡
Быстро пошли в созвон! Ещё раз и я иду к менеджеру!
А я это сейчас заказчику показывал и обосрался, ну Костя! 10 раз же уже переделывали! 😡😡😡😡
Быстро пошли в созвон! Ещё раз и я иду к менеджеру!
😁9
Ой, не туда
Хотя ладно. 14 февраля на носу, а самые крепкие отношения у меня всё равно с Костей. Созвоны каждый день, переписка нон-стоп, «ну давай ещё разочек переделаем» — романтика 💔
С наступающим, аналитики. Берегите своих разрабов, других таких Кость не будет
Хотя ладно. 14 февраля на носу, а самые крепкие отношения у меня всё равно с Костей. Созвоны каждый день, переписка нон-стоп, «ну давай ещё разочек переделаем» — романтика 💔
С наступающим, аналитики. Берегите своих разрабов, других таких Кость не будет
❤15
Forwarded from BPM, Бизнес-процессы и котики (Denis Kotov)
Media is too big
VIEW IN TELEGRAM
В прошлом году на конференции обсудили все вопросы, и про дорожки тоже
В этом - обсудим настоящую оптимизацию процессов, а не дерганье квадратиков туда-сюда
Приходите на Stormconf26 10 апреля
В этом - обсудим настоящую оптимизацию процессов, а не дерганье квадратиков туда-сюда
Приходите на Stormconf26 10 апреля
🔥11❤6🤔2
Forwarded from BPM, Бизнес-процессы и котики (Denis Kotov)
Разыгрываем 8 билетов на Stormconf26: BPM + AI
3 билета среди подписчиков и 5 билетов среди владельцев пабликов в ТГ на 200+ человек.
Как поучаствовать (подписчики):
1. Поставь сердечко.
2. Переслать пост коллеге\другу.
3. Написать комментарий к посту.
...(будьте готовы прислать скриншот пересланного сообщения с датой до объявления победителей)
Как поучаствовать (владельцы пабликов):
1. Поставить сердечко.
2. Репостнуть в паблик.
3. Кинуть ссылку на репост в комментарий.
Итоги подведем 20 февраля, в пятницу вечером.
Поехали 😍😍😍
3 билета среди подписчиков и 5 билетов среди владельцев пабликов в ТГ на 200+ человек.
Как поучаствовать (подписчики):
1. Поставь сердечко.
2. Переслать пост коллеге\другу.
3. Написать комментарий к посту.
...(будьте готовы прислать скриншот пересланного сообщения с датой до объявления победителей)
Как поучаствовать (владельцы пабликов):
1. Поставить сердечко.
2. Репостнуть в паблик.
3. Кинуть ссылку на репост в комментарий.
Итоги подведем 20 февраля, в пятницу вечером.
Поехали 😍😍😍
❤6
Вся лента последние дни в огне: телегу блокируют, Max всех заставляют ставить, потом удаляют и так по кругу
Люди ставят одну звезду в сторе, пишут гневные посты, заводят отдельный телефон «для этой дряни». И я понимаю эмоцию. Но пока все воюют с одним мессенджером, хочется спросить: а вы знаете, что ваш оператор связи обязан по закону давать спецслужбам прямой доступ к вашему трафику? Причём с 1996 года?
Знакомьтесь — СОРМ.
Что это вообще такое
СОРМ — Система технических средств для обеспечения Оперативно-Розыскных Мероприятий. Это не приложение, которое можно удалить. Это железо и софт, которые стоят прямо на сети вашего провайдера. Любой оператор связи в России обязан его установить — за свой счёт, между прочим — иначе лишится лицензии.
У СОРМ три поколения, и каждое расширяет охват.
1. СОРМ-1 — прослушка звонков
Появилась ещё в 90-х. Работает как подслушивающее устройство, встроенное прямо в телефонную станцию. Только не жучок в вазе, а сертифицированный модуль в серверной стойке оператора. Сейчас почти не используется в чистом виде — телефония давно не единственный канал связи.
2. СОРМ-2 — перехват интернет-трафика
Вот тут начинается интересное. С начала 2000-х провайдеры обязаны ставить «съёмник» — оборудование, которое фильтрует трафик по идентификатору пользователя. Пульт управления стоит уже в ФСБ. Представьте, что на вашей водопроводной трубе стоит кран, ключ от которого — не у вас и не у сантехника.
3. СОРМ-3 — хранение всего
Это уже про закон Яровой. Операторы обязаны не просто давать доступ к трафику в реальном времени, а хранить его. Звонки, сообщения, интернет-сессии — всё складывается на серверы и лежит там месяцами. Как камера видеонаблюдения, которая не просто показывает картинку охраннику, но ещё и пишет на диск — на случай, если кто-то потом захочет перемотать.
Так что не так с паникой вокруг MAX?
Товарищ майор не вчера на работу вышел. Он бдит с 1996 года — задолго до того, как VK вообще появился. СОРМ стоит на уровне оператора связи: ниже любого приложения, ниже любого мессенджера. Удалить MAX и почувствовать себя в безопасности — это как снять шапочку из фольги, но остаться жить в стеклянном доме.
Это не значит, что критика MAX не по делу. Избыточные разрешения, отсутствие сквозного шифрования, сбор буфера обмена — всё это реальные косяки, и ругать за них правильно. Но если единственное, что вы сделали для своей приватности — удалили одно приложение и написали гневный пост — у меня плохие новости.
Мораль: не путайте фронтенд с инфраструктурой. MAX — это иконка на экране. СОРМ — это железо в серверной вашего провайдера с прямым каналом куда надо. Первое можно снести. Второе — нет.
Товарищ майор передаёт привет и просит не отвлекаться на мессенджеры.
@analyst_exe
Люди ставят одну звезду в сторе, пишут гневные посты, заводят отдельный телефон «для этой дряни». И я понимаю эмоцию. Но пока все воюют с одним мессенджером, хочется спросить: а вы знаете, что ваш оператор связи обязан по закону давать спецслужбам прямой доступ к вашему трафику? Причём с 1996 года?
Знакомьтесь — СОРМ.
Что это вообще такое
СОРМ — Система технических средств для обеспечения Оперативно-Розыскных Мероприятий. Это не приложение, которое можно удалить. Это железо и софт, которые стоят прямо на сети вашего провайдера. Любой оператор связи в России обязан его установить — за свой счёт, между прочим — иначе лишится лицензии.
У СОРМ три поколения, и каждое расширяет охват.
1. СОРМ-1 — прослушка звонков
Появилась ещё в 90-х. Работает как подслушивающее устройство, встроенное прямо в телефонную станцию. Только не жучок в вазе, а сертифицированный модуль в серверной стойке оператора. Сейчас почти не используется в чистом виде — телефония давно не единственный канал связи.
2. СОРМ-2 — перехват интернет-трафика
Вот тут начинается интересное. С начала 2000-х провайдеры обязаны ставить «съёмник» — оборудование, которое фильтрует трафик по идентификатору пользователя. Пульт управления стоит уже в ФСБ. Представьте, что на вашей водопроводной трубе стоит кран, ключ от которого — не у вас и не у сантехника.
3. СОРМ-3 — хранение всего
Это уже про закон Яровой. Операторы обязаны не просто давать доступ к трафику в реальном времени, а хранить его. Звонки, сообщения, интернет-сессии — всё складывается на серверы и лежит там месяцами. Как камера видеонаблюдения, которая не просто показывает картинку охраннику, но ещё и пишет на диск — на случай, если кто-то потом захочет перемотать.
Так что не так с паникой вокруг MAX?
Товарищ майор не вчера на работу вышел. Он бдит с 1996 года — задолго до того, как VK вообще появился. СОРМ стоит на уровне оператора связи: ниже любого приложения, ниже любого мессенджера. Удалить MAX и почувствовать себя в безопасности — это как снять шапочку из фольги, но остаться жить в стеклянном доме.
Это не значит, что критика MAX не по делу. Избыточные разрешения, отсутствие сквозного шифрования, сбор буфера обмена — всё это реальные косяки, и ругать за них правильно. Но если единственное, что вы сделали для своей приватности — удалили одно приложение и написали гневный пост — у меня плохие новости.
Мораль: не путайте фронтенд с инфраструктурой. MAX — это иконка на экране. СОРМ — это железо в серверной вашего провайдера с прямым каналом куда надо. Первое можно снести. Второе — нет.
Товарищ майор передаёт привет и просит не отвлекаться на мессенджеры.
@analyst_exe
🔥6❤5😢2
Конец эпохи паролей: что придет на смену?
В прошлом посте разобрали, как хранятся пароли. Хеши, соль, перчик, bcrypt – всё красиво. Но есть проблема.
Пароль можно украсть. Фишинг, кейлоггер, утечка с другого сервиса, где ты использовал тот же пароль. И всё – злоумышленник заходит как ты.
Причём существуют целые базы утечек – миллиарды паролей, собранных из взломов разных сервисов. При брутфорсе они перебираются первыми. Если твой пароль когда-то утёк хоть откуда-то – его подберут не за годы, а за секунды.
Мне как-то пришло сообщение в телеге – мол, проголосуйте за девочку. От человека, с которым давно не общался. И так живенько написано. А там вход через телегу, бац-бац – и у тебя нет аккаунта. Ну, у меня стоит облачный пароль, поэтому угнать мой аккаунт не вышло. Но сама схема рабочая – без второго фактора люди теряют аккаунты за секунды.
Поэтому одного пароля уже давно недостаточно.
Что такое 2FA
Двухфакторная аутентификация – два разных доказательства для входа:
🔸 Что-то, что ты знаешь – пароль
🔸 Что-то, что ты имеешь – телефон, ключ, приложение
Даже если пароль утёк, без второго фактора войти не получится.
Варианты второго фактора
SMS-код – самый знакомый. Сервер генерирует код, шлёт через SMS-шлюз, ты вводишь. Просто, но ненадёжно: SIM можно перевыпустить (SIM-свопинг), SMS – перехватить через уязвимость SS7, а код – выманить фишингом в реальном времени. Лучше, чем ничего, но самый слабый вариант. А еще SMS-ки стоят денюжек. Коды на почты, в ТГ аккаунты и другие сервисы – в той же категории.
TOTP – одноразовые коды из приложения (Google Authenticator, Authy, Яндекс.Ключ). При настройке сканируешь QR-код – секретный ключ сохраняется на устройстве. Каждые 30 секунд приложение генерирует новый код из этого ключа и текущего времени. Сервер делает то же самое и сравнивает. Секрет не передаётся по сети после настройки – перехватить нечего.
Push-уведомления – то, что делают банки и, например, Яндекс. Вместо кода получаешь push: "Вы входите с устройства X?" → нажимаешь "Да". Под капотом – асимметричная криптография: устройство подписывает ответ приватным ключом, который никогда не покидает телефон.
Физические ключи и токены – YubiKey, смарт-карты, корпоративные ID-карты. Тот же принцип: приватный ключ зашит в устройство, вытащить его нельзя. Воткнул ключ в USB или приложил карту – подтвердил личность. В корпоративной среде это стандарт уже давно.
Фактор владения побеждает
А теперь интересное. Некоторые сервисы вообще отказались от паролей:
🔸 Telegram – нет пароля по умолчанию. Вход только через код на устройство. Облачный пароль – это опциональный второй фактор. Всё наоборот: владение телефоном – первый фактор, пароль – дополнительная защита
🔸 Microsoft – разрешает удалить пароль из аккаунта целиком, вход через Authenticator или Passkey
🔸 WhatsApp, Signal – только номер + устройство
🔸 Passkeys (Apple, Google, Microsoft) – стандарт FIDO2/WebAuthn. Приватный ключ на устройстве + биометрия. Пароля нет вообще. Фишинг невозможен – ключ привязан к домену
Тренд понятен: фактор владения (телефон, ключ, токен) оказался надёжнее фактора знания (пароль). Пароль можно подобрать, перехватить, выманить. Физическое устройство – нет.
Такое требование, как «поддержка 2FA», может показаться конкретной задачей. Но на самом деле это выбор: какой фактор, какая интеграция, какие риски. И, может, стоит спросить: а нужен ли вообще пароль?
Диаграммы процесса TOTP приложу в комментах для наглядности
А какой второй фактор используете вы? Есть ли сервисы, где вы уже забыли о необходимости вводить пароль? Или вы просто забыли пароль?
@analyst_exe
В прошлом посте разобрали, как хранятся пароли. Хеши, соль, перчик, bcrypt – всё красиво. Но есть проблема.
Пароль можно украсть. Фишинг, кейлоггер, утечка с другого сервиса, где ты использовал тот же пароль. И всё – злоумышленник заходит как ты.
Причём существуют целые базы утечек – миллиарды паролей, собранных из взломов разных сервисов. При брутфорсе они перебираются первыми. Если твой пароль когда-то утёк хоть откуда-то – его подберут не за годы, а за секунды.
Мне как-то пришло сообщение в телеге – мол, проголосуйте за девочку. От человека, с которым давно не общался. И так живенько написано. А там вход через телегу, бац-бац – и у тебя нет аккаунта. Ну, у меня стоит облачный пароль, поэтому угнать мой аккаунт не вышло. Но сама схема рабочая – без второго фактора люди теряют аккаунты за секунды.
Поэтому одного пароля уже давно недостаточно.
Что такое 2FA
Двухфакторная аутентификация – два разных доказательства для входа:
🔸 Что-то, что ты знаешь – пароль
🔸 Что-то, что ты имеешь – телефон, ключ, приложение
Даже если пароль утёк, без второго фактора войти не получится.
Варианты второго фактора
SMS-код – самый знакомый. Сервер генерирует код, шлёт через SMS-шлюз, ты вводишь. Просто, но ненадёжно: SIM можно перевыпустить (SIM-свопинг), SMS – перехватить через уязвимость SS7, а код – выманить фишингом в реальном времени. Лучше, чем ничего, но самый слабый вариант. А еще SMS-ки стоят денюжек. Коды на почты, в ТГ аккаунты и другие сервисы – в той же категории.
TOTP – одноразовые коды из приложения (Google Authenticator, Authy, Яндекс.Ключ). При настройке сканируешь QR-код – секретный ключ сохраняется на устройстве. Каждые 30 секунд приложение генерирует новый код из этого ключа и текущего времени. Сервер делает то же самое и сравнивает. Секрет не передаётся по сети после настройки – перехватить нечего.
Push-уведомления – то, что делают банки и, например, Яндекс. Вместо кода получаешь push: "Вы входите с устройства X?" → нажимаешь "Да". Под капотом – асимметричная криптография: устройство подписывает ответ приватным ключом, который никогда не покидает телефон.
Физические ключи и токены – YubiKey, смарт-карты, корпоративные ID-карты. Тот же принцип: приватный ключ зашит в устройство, вытащить его нельзя. Воткнул ключ в USB или приложил карту – подтвердил личность. В корпоративной среде это стандарт уже давно.
Фактор владения побеждает
А теперь интересное. Некоторые сервисы вообще отказались от паролей:
🔸 Telegram – нет пароля по умолчанию. Вход только через код на устройство. Облачный пароль – это опциональный второй фактор. Всё наоборот: владение телефоном – первый фактор, пароль – дополнительная защита
🔸 Microsoft – разрешает удалить пароль из аккаунта целиком, вход через Authenticator или Passkey
🔸 WhatsApp, Signal – только номер + устройство
🔸 Passkeys (Apple, Google, Microsoft) – стандарт FIDO2/WebAuthn. Приватный ключ на устройстве + биометрия. Пароля нет вообще. Фишинг невозможен – ключ привязан к домену
Тренд понятен: фактор владения (телефон, ключ, токен) оказался надёжнее фактора знания (пароль). Пароль можно подобрать, перехватить, выманить. Физическое устройство – нет.
Такое требование, как «поддержка 2FA», может показаться конкретной задачей. Но на самом деле это выбор: какой фактор, какая интеграция, какие риски. И, может, стоит спросить: а нужен ли вообще пароль?
Диаграммы процесса TOTP приложу в комментах для наглядности
А какой второй фактор используете вы? Есть ли сервисы, где вы уже забыли о необходимости вводить пароль? Или вы просто забыли пароль?
@analyst_exe
🔥9
Как UI заставляет пользователя нажимать «нужные» кнопки
Утро. Электричка. Покупаю билет в терминале. И замечаю три сценария, в которых выбор делается за меня.
1. На экране покупки по умолчанию стоит "Записать на карту? – Да". Не бумажный билет, а именно карта. Я ничего не нажимал – за меня уже решили. Зачем? Меньше бумажных билетов = меньше расходников, меньше мусора, больше людей привыкает к картам.
2. Жму "Купить", затем возвращаюсь по кнопке "Назад" – и переключатель "Записать на карту?" сам перекинулся на "Нет", а кнопка "Купить" поменялась на "Купить бумажный билет". Терминал понял: раз ты вернулся с экрана карты – значит, карты нет. И не заставляет тебя переключать вручную. Мелочь, но экономит секунды в очереди.
3. Экран оплаты. Кнопка "Оплата банковской картой" – большая. "Оплата через СБП" – меньше, не так бросается в глаза. Почему? Представим: утро, толпа, все торопятся. Приложить карту к терминалу – секунда. Достать телефон, открыть приложение банка, найти СБП, отсканировать QR – дольше. Большая кнопка = быстрый сценарий = меньше очередь.
Каждый из этих дефолтов – продуктовое решение, зашитое в интерфейс.
Это не просто визуальное оформление. Это подталкивание к нужному поведению через UI. Ничего не запрещают – просто делают нужный вариант удобнее.
Где ещё это работает:
🔸 Галочка "Согласен на рассылку" – по умолчанию вкл/выкл меняет конверсию в разы
🔸 "Рекомендуемый тариф" – выделен цветом, хотя необязательно лучший для тебя
🔸 Подписки на сервисы – 2 клика чтобы подписаться, 10 – чтобы отписаться
Почему это важно для аналитика
Когда пишешь требования к интерфейсу – ты не просто описываешь кнопки. Ты решаешь:
🔸 Какое значение стоит по умолчанию – и это определяет, что выберет 80% пользователей
🔸 Какая кнопка больше – и это определяет основной сценарий
🔸 Что происходит при нажатии "Назад" – и это определяет, насколько система умная
Дефолты – это не "ну пусть будет так". Это самое сильное продуктовое решение в интерфейсе.
Замечали подобное? Где ещё UI незаметно делает выбор за вас?
@analyst_exe
Утро. Электричка. Покупаю билет в терминале. И замечаю три сценария, в которых выбор делается за меня.
1. На экране покупки по умолчанию стоит "Записать на карту? – Да". Не бумажный билет, а именно карта. Я ничего не нажимал – за меня уже решили. Зачем? Меньше бумажных билетов = меньше расходников, меньше мусора, больше людей привыкает к картам.
2. Жму "Купить", затем возвращаюсь по кнопке "Назад" – и переключатель "Записать на карту?" сам перекинулся на "Нет", а кнопка "Купить" поменялась на "Купить бумажный билет". Терминал понял: раз ты вернулся с экрана карты – значит, карты нет. И не заставляет тебя переключать вручную. Мелочь, но экономит секунды в очереди.
3. Экран оплаты. Кнопка "Оплата банковской картой" – большая. "Оплата через СБП" – меньше, не так бросается в глаза. Почему? Представим: утро, толпа, все торопятся. Приложить карту к терминалу – секунда. Достать телефон, открыть приложение банка, найти СБП, отсканировать QR – дольше. Большая кнопка = быстрый сценарий = меньше очередь.
Каждый из этих дефолтов – продуктовое решение, зашитое в интерфейс.
Это не просто визуальное оформление. Это подталкивание к нужному поведению через UI. Ничего не запрещают – просто делают нужный вариант удобнее.
Где ещё это работает:
🔸 Галочка "Согласен на рассылку" – по умолчанию вкл/выкл меняет конверсию в разы
🔸 "Рекомендуемый тариф" – выделен цветом, хотя необязательно лучший для тебя
🔸 Подписки на сервисы – 2 клика чтобы подписаться, 10 – чтобы отписаться
Почему это важно для аналитика
Когда пишешь требования к интерфейсу – ты не просто описываешь кнопки. Ты решаешь:
🔸 Какое значение стоит по умолчанию – и это определяет, что выберет 80% пользователей
🔸 Какая кнопка больше – и это определяет основной сценарий
🔸 Что происходит при нажатии "Назад" – и это определяет, насколько система умная
Дефолты – это не "ну пусть будет так". Это самое сильное продуктовое решение в интерфейсе.
Замечали подобное? Где ещё UI незаметно делает выбор за вас?
@analyst_exe
❤4🔥4