Pull to refresh

Comments 16

А сертификаты не участвовали в опросе? А вообще как-то редко упоминается такой аспект аутентификации как удобство восстановления доступа при утрате аутентифицирующего фактора пользователем и сложности эмуляции утраты злоумышленником.
Похоже, что сертификаты входят в группу «Токен». Наверно автор сделала допущение, что пользователю не важно, что за токен, а важно сам факт использования дополнительного устройства в процессе аутентификации.

Ну тут-то устройства нет, просто файлик на компе.

Согласен, бывает и просто файлик. Привык, что закрытый ключ на смарт-карте или USB токене.
Я может конечно и дурак, но я не понял что такое токен, в чём смысл этого метода аутентификации и вообще принцип? Можно статейку или какой-то материал для неимущих?
небольшое USB-устройство

далее по тексту идет два кратких описания:
описание, похожее больше на хранилище сертификата (что-то по типу КриптоПро)
и описание, более похожее на OTP-генератор "ввести отображаемый код на экране устройства." (просто в виде аппаратного устройства, а не в виде приложения на компе\смарте)

* наверное, в статье под токен имеют в виду аппаратную реализацию любого метода (без уточнения).
Интересно узнать количество респондентов в ваших опросах. Хотя я думаю, что выборка среди студентов не будет показательной для всех.
В последнем опросе: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему?» два варианта ответа неразличимы между собой:
  • Подтверждение с помощью приложения
  • Аутентификация с помощью приложения

И еще я сильно сомневаюсь, что опрашиваемые пользователи испытали все эти методы аутентификации. Например, аутентификация через мобильное приложение (не одноразовые коды), очень удобна, но мало кто ее вообще видел вживую.

Различимы. Вот сейчас у меня телефон спрашивает "пытаетесь войти?", когда гугл аус дергаю где-то. Ответы "да" и "нет" — это просто подтверждение. А вот если бы телефон просил, например, палец к датчику приложить и сравнивал его с "зашитым" — это уже аутентификация

TOTP (== Google authenticator) не обязательно на смартфоне иметь.
и как плагин к keepass (при желании и макро с автовходом для 2FA) и как небольшой класс (например php) — хоть с командной строки код получай.
и, как генератор — более удобен, так как не обязательно смарт в руках держать — можно на любое устройство найти. и порча\утеря смарта не вызывает ступпор.

** а по гендеру не было разреза? хотелось бы узнать отличие.
личное мнение:
я не знаю как был сформулирован вопрос «что бы вы предпочли..», была ли фраза "если бы все было бесплатно".
если бы меня спросили, я бы (автоматом) не поставил токен (любой) на первое место, так как он платный (1200р мин). а если и студенты задумывались о цене вопроса? и, конечно, платность токена сильно сужает круг знакомства с ним и, соответственно, выбор…
некорректно сводить бесплатный и платный вариант в один разрез.

* и VolCh правильно задал вопрос про сертификаты — пример есть — почивший StartCom (startssl) и, почти почивший, WoSign — авторизация по сертификату (не в токене) — такой простой метод не рассматривался?

Токен бы я не поставил по другим причинам (1200 рублей или 3000 — особо не принципиально):


  1. Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.
  2. (не для всех) Есть проблемы с совместимостью локального окружения, например на условном линуксе с условным Konquero
  3. Не очень понятен юридический статус как для пользователя (особо интересно трансграничное перемещение токена и использование не в стране приобретения), так и разработчика, желающего сделать на, например, своем сайте.
Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.

тут, к сожалению, расплывчатость понятия «токен» — он может быть и генератором HOTP — полный аналог гуглаут только в виде флешки с кнопкой (и втыкать ее не надо) — дублируется\заменяется любым приложением (хоть на смарте, хоть на компе).
вот «очень умный» токен типа криптопро — это да (хотя и там дубликат можно поиметь в сейфе).
с «юрид» — да, но столкнуться можно при ввозе (только?) в Россию (ограничение ФСБ по шифрованию, насколько помню и то, для токенов типа криптопро, для OTP генераторов — еще не додумались).
что касается 1000 или 3000 не важно — кому как. мне (частное лицо) психологически не комфортно, если сервис бесплатный или 1уе\год, а токен для него 1000р :). да и 1000 по россии уже не мелочь.

Я больше про "очень умные", подключаемые к компу, требующие установки драйверов, провайдеров и т. п.


Ограничения ФСБ есть не только на ввоз, но и на вывоз. Да и вдругих странах есть ограничения на ввоз СКЗИ.


Вот, кстати, забыл отметить — может понадобиться иметь множество токенов для разных применений не из соображений "не класть все яйца в одну корзину", а потому что выбора нет.

если человек перемещается по странам и континентам — ему только метод Штирлица — пара предложений с ххх абзаца в библии, как парольная фраза. возить с собой не надо (везде есть, подозрений не вызывает), запоминать не надо, потерять не реально :)

множество токенов — да. есть такое — у меня на 30 регистраторов (это которые с 2fa) — у трех — своя система генерации (у остальных HOTP), хочешь не хочешь — ставь «фирменное».

* вообще анализ «что выбрать» сильно коррелирует с «сколько входов и как часто и где».
** «очень умные» — скорее всего остануться в сфере, где нужна подпись (и\или шифрование) на документе. а как средство входа — генераторы.
Данный опрос был проведен среди студентов СПБГТИ(ТУ).

А сколько их было всего? И что их побудило учавствовать? (не праздное любопытство, мне нужен такой же опрос, хочу выяснить как проводить)
UFO just landed and posted this here
Sign up to leave a comment.

Articles