🔐 О способах регистрации и аутентификации на сайтах
Недавно мне пришлось регистрироваться на сайте поставщика услуг. Меня приятно удивил ассортимент вариантов создания учетной записи: телефон + пароль, почта + пароль, а также с помощью аккаунтов Госуслуг, ВК и Google. Я даже задумался на миг.
👉 В общем случае я предпочитаю наиболее защищённые аккаунты, вход с которыми требует минимум телодвижений на любых устройствах.
• Наиболее защищённый аккаунт должен иметь двухфакторную аутентификацию. Не факт что поставщик услуг мне её предложит. В лучшем случае будет двухэтапная по SMS (так и оказалось).
• Желательно вообще не передавать пароль, тем самым исключая перехват или небезопасное хранение учетных данных владельцем ресурса. Это варианты с OAuth, а телефон/почта + пароль отпадают.
• Минимум телодвижений - это опять же беспарольный вход. Однако я не сохраняю пароли в браузере, а выуживать их из KeePass на мобильном устройстве не слишком удобно. Отпадают Госуслуги и ВК.
Google тоже не предоставляет на смартфоне возможности аутентификации в браузере без пароля. (На ПК это доступно с ключом доступа, относительной новой беспарольной фиче аккаунтов Google). Однако я уже залогинен в браузере на телефоне. Поэтому вход не потребует дополнительной аутентификации.
В итоге я ткнул в аккаунт Google и успешно создал учетную запись у поставщика услуг 👌
А потом я обнаружил у них мобильное приложение. Но не смог войти посредством OAuth, потому что разработчики не предусмотрели вход с #2FA 😎
Недавно мне пришлось регистрироваться на сайте поставщика услуг. Меня приятно удивил ассортимент вариантов создания учетной записи: телефон + пароль, почта + пароль, а также с помощью аккаунтов Госуслуг, ВК и Google. Я даже задумался на миг.
👉 В общем случае я предпочитаю наиболее защищённые аккаунты, вход с которыми требует минимум телодвижений на любых устройствах.
• Наиболее защищённый аккаунт должен иметь двухфакторную аутентификацию. Не факт что поставщик услуг мне её предложит. В лучшем случае будет двухэтапная по SMS (так и оказалось).
• Желательно вообще не передавать пароль, тем самым исключая перехват или небезопасное хранение учетных данных владельцем ресурса. Это варианты с OAuth, а телефон/почта + пароль отпадают.
• Минимум телодвижений - это опять же беспарольный вход. Однако я не сохраняю пароли в браузере, а выуживать их из KeePass на мобильном устройстве не слишком удобно. Отпадают Госуслуги и ВК.
Google тоже не предоставляет на смартфоне возможности аутентификации в браузере без пароля. (На ПК это доступно с ключом доступа, относительной новой беспарольной фиче аккаунтов Google). Однако я уже залогинен в браузере на телефоне. Поэтому вход не потребует дополнительной аутентификации.
В итоге я ткнул в аккаунт Google и успешно создал учетную запись у поставщика услуг 👌
А потом я обнаружил у них мобильное приложение. Но не смог войти посредством OAuth, потому что разработчики не предусмотрели вход с #2FA 😎
www.outsidethebox.ms
Двухфакторная аутентификация без SMS, одноразовых кодов и паролей
С момента публикации первой статьи о 2FA прошло почти два года, и за это время я несколько раз порывался дополнить ее. Однако в итоге изменений набежало на отдельную запись. Этот материал подразумевает, что вы прочли мою статью А вы защищаете свои аккаунты…