Вечер, а значит самое время поговорить про ".*ации" - аутентификация, авторизация, регистрация и тд. Сможете вспомнить разницу между первым и вторым без гуглешки? 🧐
youtube.com/watch?v=i9DrGN…
@jsunderhood Каждый день напоминаю себе) Аутентификация это про то что ты это ты Авторизация это про права Надеюсь мои тренировки не прошли зря)
Великолепно! А давайте усложним задачу. Когда на сайте видим "Войти с помощью Google" - это будет авторизация или аутентификация?
twitter.com/akaguny/status…
Обычный флоу аутентификации/регистрации сопровождается старыми добрыми логин и пароль. И если с первым проблем, обычно нет. То с последним их масса
Пароли:
- они утекают
- их забывают
- они протухают
- их повторяют
- их ненавидят
Обойтись без паролей позволяют соц сети. Это удобно - нажал на кнопку и уже в сервисе. Но вопрос - почему на сайтах банков нет "Войти с помощью Twitter"?
Правильно, потому что не безопасно
Есть другой подход к password less - SMS. Но это тоже не безопасно. А в моем случае и не удобно (роуминг)
kaspersky.ru/blog/2fa-pract…
Достаточно давно произошел интересный прорыв для веба в этой области - webAuthn. Казалось бы, вот он - дивный мир без паролей
youtu.be/nOtKoUJ34cc
Но должного распространения данная технология до сих не получила. И на это есть несколько причин:
- apple: не поддерживаются встроенные ключи (touch id), кроме Chrome на mac OS
- невозможность восстановления, в случае утери/поломки ключа
Хотя в мобильном мире это уже обыденность
Мне не нравится популярный вход через почту/пароль — он поощряет на опасные привычки и в безопасной версии (с 2FA) сложен в использовании. Хочет в своём сервисе мечты сделать систему входа лучше. gist.github.com/ai/11d2dcc35f4… Покритикуйте её — какие есть ошибки безопасности и UX. pic.twitter.com/ZRIqF3BQxK
Интересный подход предложил недавно уважаемый @andrey_sitnik . Но как он правильно подметил, его решение для "для узкого круга задач"
twitter.com/andrey_sitnik/…
Какие еще есть альтернативы? Мне нравится тенденция к sharedAuthn (такого термина нет, но кажется весьма подходящим). sharedAuthn - это когда достаточно зарегистрироваться на одном устройстве, а дальше шарить этот пропуск между устройствами
И к этому сегодня мы вполне готовы - везде есть доступ к камере для чтения qr-кода с токеном/ или к аудио токену, как это сделано в Алисе. Но все же, остается вопрос "первого пациента" и восстановлению при гибели всех устройств
Решение этой задачи, например, можно подчерпнуть из крипто сферы, когда при создании кошелька создается мнемоник фраза, а не рандомный набор символов. И эту фразу предлагается сохранить на бумаге
Но все равно попахивает технофашизмом - мы заставляем пользователя делать какие-то странные, не привычные вещи
PS: хотя скоро биткоин покорит мир и это будет уже привычным гг
На данный момент я готовлю доклад на эту тему с демками и юзкейсами. Так что, давайте держать связь - будет интересно😉 А на сегодня пока все, пойду смотреть новую серию "🥒 и 🍋"