Безопасная авторизация

1.52K
.
# Kpegumop (27.08.2013 / 15:30)
Мне кажется, что запомненный(записанный на бумажке) пасс, самое безопасное.
// что в твоем варианте мешает стырить картинку то? способов миллиард. вплодь до того что пользователь сам ее принесет ))
Обрати внимание на логику, название картинки делается совершенно любым, то есть злоумышленник уже само по себе не знает ее названия, так же он не знает как она выглядит,к примеру можно брать любую картинку из инета, и просто менять в ней расположение пикселей и все, хеш сумма меняется(вспомните тот же гугл или яндекс ищут похожие картинки по хешам)
Ну а насчет того чтобы принести вообще бред, с тем же успехом можно и пароль принести самому.
Что касается ввода пароля то повторюсь, шпионов клавиатурных достаточно, не каждый будет виртуальной клавой пользоваться, даже в таких сервисах, плюс опять же, СИ не дремлет, как показывает практика пользователи используют фактически везде один и тот же пароль.
.
Тогда, из той же практики, самое безопасное, быстрое и практичное, это номер мобильного. при реге указываешь его, пришел ключь на вход, ввел и вошел. при входе вводишь номер, получаешь ключь на вход и входишь. плюсы - безопасно и пользоваться можно с любого места. минусы - смс шлюз нужно бесплатный какой то )
.
# Kpegumop (27.08.2013 / 17:18)
Тогда, из той же практики, самое безопасное, быстрое и практичное, это номер мобильного. при реге указываешь его, пришел ключь на вход, ввел и вошел. при входе вводишь номер, получаешь ключь на вход и
Опять же, читай пункт 3 от заказчика(первый пост)
.
бред. не показывайте данные пользователя никому. или про администрацию речь? чтобы и они не знали )) так не бывает. перед админами всегда будешь скомпрометирован. не веришь админу, не иди к нему на сайт. хотя в нашей ситуации тоже бред. хранить на сайте 3к$ никто не боится, а номер тела спалить боится ) а покупка их? продажа? это не палево? пункты тз сами себе противоречат. их писал товарищ, никогда не имеющий отношения к торговле в сети
.
# Kpegumop (27.08.2013 / 17:30)
бред. не показывайте данные пользователя никому. или про администрацию речь? чтобы и они не знали )) так не бывает. перед админами всегда будешь скомпрометирован. не веришь админу, не иди к нему на са
В первую очередь анонимность прежде всего.
Пример МБанк не требует никакой авторизации, регистрации и прочего, НО через него проводятся суммы от $10 000
.
# Kpegumop (27.08.2013 / 17:30)
бред. не показывайте данные пользователя никому. или про администрацию речь? чтобы и они не знали )) так не бывает. перед админами всегда будешь скомпрометирован. не веришь админу, не иди к нему на са
И опять же, в случае взлома всей системы, даже с уводом денег ТО никто и никогда не сможет узнать чьи это деньги и откуда они пришли, собственно на этом и строился сам биткоин.
.
Ты явно не понимаешь о чем пишешь. по ссылке своей выше, на Mбанк, нажми купить и посмотри способы оплаты. оплатив один раз, ты сливаешь о себе данные как не крути. поэтому шифроваться от админов смысла нет. а вот как они хранят твои данные, это вопрос другой. вопрос безопасности ресурса. который, лично я, не доверил бы ни одному вап разработчику
.
(\/)____o_O____(\/)
Kpegumop, политика такая у биткоинов, вчера вику штудировал, почти осилил
.
# Koenig (28.08.2013 / 10:06)
Kpegumop, политика такая у биткоинов, вчера вику штудировал, почти осилил
Поддерживаю, политика биткоина как раз таки и строится на полной(ну или почти) анонимности, и невозможности контроля со стороны третьих лиц.
Собственно поэтому и была придуманна такая идея, это что то по типу файлов ключей от вебмани.
Кстати, образец авторизации уже написан, и даже велик не пришлось изобретать, все функции которые нужны для этого есть в родном php? так что проблем вообще не возникло.
Щас идет тестирование на предмет подбора и ошибок, пока все отлично. Картинку даже антивирем проверяли, на предмет сменится ли хеш или нет, но все прошло нормально.
Теперь обсуждаем вопрос восстановления, в планах дать пользователю возможность задать свой секретный вопрос(который обязателен) и ответ на него.
Если же пользователь введет что то от балды(например hilughlkjhgbvh) и потеряет файл ключа, то это уже его проблеммы, к делу надо подходиить с ответственностью.
.
# Kpegumop (27.08.2013 / 21:48)
Ты явно не понимаешь о чем пишешь. по ссылке своей выше, на Mбанк, нажми купить и посмотри способы оплаты. оплатив один раз, ты сливаешь о себе данные как не крути. поэтому шифроваться от админов смыс
Насчет мбанка, ты не прав.
Он просто проводит транзакцию на свой внутренний счет(временный) по типу твоего магазина, вот и все, и уж явно не в его интересах хранить данные о тебе, как правило основная доля работает с киви, которые ничего о тебе не просят(кроме номера тела, который нужен там один раз всего) то есть берешь левую симку, регнул кош и все, можешь пользоваться.
Всего: 68