Наткнулся тут на исследование Вебпланеты по украденным паролям Вконтакте. Ничего нового для себя не узнал, зато получил лишнее подтверждение своим собственным выводам. Существующая система защиты информации от несанкционированного доступа подходит только IT-профессионалам. Если работа требует - можно придумывать и запоминать сложные пароли. Обычным же людям запомнить хороший пароль сложно, еще сложнее его потом не забыть. Устоявшуюся систему нужно заменить.
Поскольку долгое время компьютерные системы разрабатывались без учета массового пользователя, существующая система логина/пароля получила широкое распространение. Мало того, что разработавшие ее люди не думали о простых пользователях, так никто не мог в те времена предположить, что количество сайтов, для которых надо придумывать логин/пароль будет таким большим.
На сегодняшний день существует множество альтернатив запоминанию пароля, но ни одна из них не получила действительно массового распространения. Связано это с неудобством их использования: применение специальных устройств, также как и специальных программ для хранения паролей, ограничивает свободу подключения из любого места, когда устройство недоступно, либо нет возможности запустить свою программу. У логина/пароля есть несомненное достоинство - если вы его помните, то можете использовать везде и всегда.
Как вариант предлагаю идею для системы авторизации. При регистрации пользователя сайт генерирует секретный ключ - обычный текстовый файл. Данный файл запиывается на флэшку, которая вешается на связку ключей. Практически все всегда носят с собой ключи от машины/дома. Добавление к ним ключей от интернета вполне естественно. Для авторизации на сайте пользователь загружает этот текстовый файл. Когда нет возможности использовать флэшку, возможен вариант авторизации по e-mail.
Эта идея имеет один изъян, авторизоваться в почте все равно надо по логину/паролю. Но помнить один логин/пароль к своей почте гораздо легче, чем десятки к различным сервисам.
Ключ на флешке решает проблему запоминания сложного пароля, но туда, вообще-то и так можно KeePassX положить, portable. Однако тут же возникает проблема потерянных ключей (не редкость) и их защищённости, и доверия к машинам, в которые эту флешку втыкают. Что уж говорить о вирусах, таскаемых на тех же флешках...
ОтветитьУдалитьУ Шнаера как-то был рассказ про продвинутую программку для подбора паролей, так из того рассказа я сделал вывод, что и большинство «сильных» паролей далеко не сильны.
OpenID как раз решает проблему одного "любимого" пароля для всех сайтов. Что изобретать-то?
ОтветитьУдалитьСергей, хорошая статейка. С безопасностью флэшек да - проблемка, я об этом не подумал :) Хотя не только она одна, на тех же мобильных устройствах флэшку может быть некда воткнуть...
ОтветитьУдалитьАноним, а почему же OpenID тогда не завоевал широкую популярность?
Ну, может потому что в этом блоге комментировать под livejournal не получается? ;-)
ОтветитьУдалить"Не удалось проверить учетные данные OpenID." для kosiakk.lj
Блин, блоггер конкретно глючит, это уже не первый раз, когда мне говорят о проблемах с Open ID. Хотя.... может быть это глючит ЖЖ, что более вероятно...
ОтветитьУдалить