Vlákno názorů k článku
Seznam.cz zavádí dvoufaktorovou autentizaci pomocí OTP a ruší kontrolní otázky
od Danny - Proc rovnou neimplementovali i FIDO/webauthn je zahadou... aspon...
-
DannyStříbrný podporovatelProc rovnou neimplementovali i FIDO/webauthn je zahadou... aspon TOTP a nebazirovani na "specialni" aplikaci (kterou jde spise povazovat za slepou cestu a ukazku toho, jak to nedelat) je samozrejme fajn, ale v roce 2023 maji v tomhle smeru u Seznamu proste technologicke zpozdeni...
-
DannyStříbrný podporovatel
Nikoliv, FIDO/Webauthn neni slozity na implementaci, mate na to i dostupne hotove knihovny - a uzivatelsky je naopak o dost privetivejsi nez nejake opisovani kodu z TOTP autentifikatoru (toto reseni bylo cool tak pred deseti roky).
Vam snad prijde spatne snazit se udelat bezpecne prihlasovani uzivatelsky privetivejsi? :-) Prave to FIDO/Webauthn resi... od TOTP se utika prave proto, ze to je dobre v tom adminovskem pojeti... ale pro beznyho frantu uzivatele to moc pohodlne neni.
-
DannyStříbrný podporovatel
A cimpak vas jeho existence tak strasne moc obtezovala, ze jste ho "musel rusit"? :-) Ze by zas nejaky antiCZNIC fanatismus...? :D
-
Taky jsem to nedávno rušil. Je to kód v aplikaci navíc, je to kód o který se někdo musí starat. Je to naprosto zbytečná práce. Za 7+ let se tím přihlásili 3 lidé z cca 160 000 a to jednou já, jednou majitel eshopu a jednou nějaká paní, která hned psala email, že to byl omyl a ať ten účet smažeme.
Implementaci mojeid prostě beru jako omyl, který bylo nutné napravit.
Zrovna na rootu asi bude více lidí, kteří se tím nějak přihlašujou, ale obecně platí, že je to projekt pro pár stovek fanoušků a užitečnost na běžném non-it projektu z reálného světa je NULA. -
Danny, je irelevantní, co je uživatelsky přívětivější. Pro Seznam je celkem logicky podstatné, na co jsou uživatelé zvyklí. Uživatelsky to může být přívětivé jak chce. Jenomže tohle není něco, co by někdo obvykle používal denně. Podstatné je, že to uživatelé znají.
Nenapsal jsem, že FIDO je složité. Napsal jsem, že TOTP je (taky) triviální a tím, že je všude, máte know-how. Vlastně to tedy platí obecně. Máte know-how při implementaci i u uživatelů. S FIDO si teď mohou hrát další rok bez ideologických řečiček o tom, jak nejsou dostatečně cool.
-
DannyStříbrný podporovatel
A z ceho jste dovodil, ze na TOTP jsou uzivatele zvykli? :-) Jen z toho, ze v Seznamu nasadili tohleto obstarozni reseni - pravdepodobne i v reakci na vytky ze vsech stran, ze stavet MFA jen na proprietarni aplikaci je cesta akorat tak do pekel?
Nikoliv, TOTP pouzivalo par hracicku a paranoiku, dlouhodobe to byla vsude akorat volitelna moznost, rozhodne ne zadna maskovka - a zdaleka ne vsude, takova Alza treba furt posila jen SMSky, stejne tak funguje treba i statni NIA ID.
-
[Michal Kubeček]
Souhlas. Ono je mozne a bezne pouzivane poslat na uzivatelem zadane telofoni cislo, nebo e-mail* overovaci kod, ktery pak uzivatel zada do overovaciho pole. A nechapu, proc by to nemohly vyuzit, kdyz si tak bezohledne vynucuji zadani telefobniho cisla do profilu.A sel bych i dal.
Uprime, zacinaji me ty kecy ruznych spolecnosti kolem bezpecnosti dost s odpustenim srat. Kde kdo ma uhlazene reci o tom, jak maji na srdci bezpecnost uzivatelu, ale leckdy to spis vypada, ze to pouzivaji jako strasak a klacek na uzivatele, aby mohly uzivatelum vnutit pouze sve technologie a reseni, bez moznost alternativ a budovat tak zavislost uzivatelu na jejich resenich. V IT sluzbach se pojem "bezpecnost" posledni dobou stejne zneuziva, jako se jinde zneuziva souslovi "Evropska Unie naridila". Nemluve o tom, ze uzivatel by mel mit pravo rizika zvazit a zhodnotit co pro nej je, ci neni bezpecne, a mit moznost se podle toho zaridit. Kterez to pravo, je mu timto zpusobem upirano.
V pripade Seznamu mi uz pekne lezly krkem tim vynucovanim zadani soukromeho telefoniho kontaktu. Nakonec jsem to zkousl, priznavam, ze z vlastni lenosti. Ale pokud udelaji to co se zde pise, bez moznosti vhodne alternativy, s nejvetsi pravdepodobnosti me dokopou k tomu, abych ucet u nich definitivne zrusil.
*Coz je z meho hlediska ta lepsi varianta.
-
[Michal Kubeček]
Ne nejste, ... tedy donedavna jste nebyl. Dokonce si ani nejsem jisty, jestli jim to nahodou nezakazuje nejaka smernice (napr. GDPR), ale ja nejsem pravnik.Kazdopadne me tim dost vytocili, a i kdyz by to pro me znamenalo jiste obtize, staci fakt jen malo, abych promazal e-maily a ucet jednou pro vzdy zrusil. I kdyz ho tam mam nekdy od konce 90-tych let. Ale takovy pristup fakt hodne nemam rad.
-
KateStříbrný podporovatel
U GDPR se tohle podle mě snadno schová za oprávněný zájem kvůli account recovery.
-
"U GDPR se tohle podle mě snadno schová "
Ani ve snu ne, pro provoz sluzby je to udaj zcela zbytecny, tudiz jeho uchovavani a dokonce vyzadovani je nelegalni.
Coz lze snadno dolozit tak, ze sluzba sama byla a je provozovana desitky let bez toho aby neco takoveho bylo potreba.
Pokud by se pak nekdo chtel onanet bezpecnosti, tak bezpecnost mailu ... to exstuje? Ani na vlastni domene(tu ukradne treba NIC) a vlastnim HW ji nelze zarucit.
ČLÁNKY DO MAILU