[Информационная безопасность] Хватит использовать пароли

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
06-Окт-2020 05:32

Вдохновлено популярной статьейпро пароли.
Я утверждаю, что современная система логин/пароль не нужна современным сайтам. Я призываю требовать для авторизации только email/телефон.
Допустим ваш сайт нуждается в авторизации пользователя. Например вы продете IDE и нужно хранить лицензии, или вы регистратор доменных имен или вы сайт по продаже игр. На мой взгляд выбор решения логин/пароль является неправильным с точки зрения UX и информационной безопасности.
  • Вашим пользователям нужно помнить ваш пароль.
  • Вы должны хранить пароли пользователей в безопасности.

    Это головная боль

    SPL
    В случае если пароли/хэши_паролей утекут вы будете винововаты. Закон Мура худо-бедно все еще работает и через какое-то время ваши хэши смогут сбрутфорсить.
    Вы должны думать как обновлять пароли пользователей если ваш алгоритм их хранения внезапно стал не безопасен.


Этих проблем можно избежать.
Современная реальность — у каждого потенциального пользователя вашего сайта есть email и/или телефон и с помощью него он может зайти на ваш сайт. Вы уже храните его для сброса пароля. Если пароль можно сбросить с помощью email/телефона, значит это уже инструмент доступа до вашего сайта. Вопрос только в длине цепочки.
Как это выглядит сейчас
  • Ваша форма авторизации
  • Сбросить пароль
  • Высылка One Time Password на email/телефон
  • Ввод в форме сброса пароля OTP и нового пароля.
  • Ввод в форме авторизации нового пароля.

С точки зрения безопасности ничего не измениться если упростить это
  • Ваша форма авторизации
  • OTP на email/телефон
  • Ввод OTP /кликНаСсылку

В результате ваши пользователи не страдают от паролей, а вы не страдаете с их хранением.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_paroli (пароли), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 19:52
Часовой пояс: UTC + 5