solo12zw74 Dec 27 2013 at 10:06

Авторизация с помощью QR

3 min

26K

Usability*

Recovery Mode

-9

Comments 13

foxin Dec 27 2013 at 10:24

(пара логин-пароль)… просто так, в незашифрованном виде, обычным текстом.

и это в то время, когда эксперты по безопасности бороздят исходники RSA…

UFO just landed and posted this here

solo12zw74 Dec 27 2013 at 11:12

Смысл затеи — не вводить учётные данные руками.
Храниться qr может как на бумажке, так и на смартфоне с программой «Менеджер паролей». Или может «на лету» генерироваться этой же программой «Менеджер паролей». «Менеджер паролей» — общее название программ хранящих пароли.

UFO just landed and posted this here

foxin Dec 27 2013 at 14:43

«ok, google...»

dim_s Dec 28 2013 at 14:59

Через 20 лет...: Злоумышленнику для взлома достаточно уличить момент и прочитать ваши мысли о пароле и логине

MiXei4 Dec 27 2013 at 14:18

есть множество приложений, хранящих пароли в базе данных, защищённой мастер-паролем. Это классно, но эти приложения показывают вам пароль в виде текста и вам нужно ввести его руками. Можно отображать сохранённый пароль в виде QR-кода

Во всех таких приложениях есть кнопка «Скопировать» — вручную вводить ничего не надо. Более того некоторые из них позволяют автоматически логиниться на нужный сайт вообще без лишних телодвижений.

Единственный вариант использования — это если у вас один/два пароля и вы их везде часто вводите, при этом на их безопасность вам наплевать.

solo12zw74 Dec 27 2013 at 15:13

Во всех таких приложениях есть кнопка «Скопировать» — вручную вводить ничего не надо. Более того некоторые из них позволяют автоматически логиниться на нужный сайт вообще без лишних телодвижений.

Здесь я имел ввиду приложение на смартфоне. Храним пароли на смартфоне, вводим на чужом компьютере. Так скопировать не получится.

silvansky Dec 27 2013 at 15:41

del: буду обновлять комментарии

keccak Dec 27 2013 at 16:33

Идея действительно забавная, но сыроватая.
Для 3-х факторной аутентификации сойдет, ведь я параноик по профессии. Допустим, я неграмотный человек, поэтому в виде пароля на сайт ~~пентагона~~очень серьезного сервиса использую пассфразу длиной в 40 символов с огромным количеством невообразимых ошибок (привет словарям паролей), т.е. «то, что знаю», плюс использую гугловскую аутентификацию (то, что ношу с собой) и еще брелок квадратный, сделанный методом выжигания по дереву с QR (то, что имею) — в итоге получить все и сразу возможно только поймав меня у меня же дома и воспользоваться методом терморектального криптоанализатора.
В-общем, немного доработать и идею запатентует Эпл и будут отдельные гаджеты от него с QR-ами, или же наш йота с 2-мя экранами сделает эту идею бесполезной.

evgajukov Dec 28 2013 at 15:11

Соглашусь с предыдущими комментаторами, идея действительно интересная и, думаю, в некоторых случаях даже имеет смысл использовать, например, если имеется сайт и к нему мобильное приложение, то чтобы упростить авторизацию в приложении можно использовать сгенерированный одноразовый qr-код. Код генерируется на сайте и отображается на экране, а мобильный телефон считывает его и авторизует в приложении. Мне кажется было бы удобно в этом случае, но для безопасности все же qr-код должен быть одноразовым.

UFO just landed and posted this here

solo12zw74 Apr 14 2014 at 15:11

Нет никакого центрального сервиса. На самом носителе (бумажка, гравировка на брелоке, татуировка, контактная линза с рисунком) в виде qr кода записан логин и пароль. Идея лишь в том, что не нужно вводить логин и пароль руками а нужно поднести код к камере и в поля «логин» и «пароль» считываются данные из кода.

Show the best of all time