Comments 16
А сертификаты не участвовали в опросе? А вообще как-то редко упоминается такой аспект аутентификации как удобство восстановления доступа при утрате аутентифицирующего фактора пользователем и сложности эмуляции утраты злоумышленником.
Похоже, что сертификаты входят в группу «Токен». Наверно автор сделала допущение, что пользователю не важно, что за токен, а важно сам факт использования дополнительного устройства в процессе аутентификации.
Согласен, бывает и просто файлик. Привык, что закрытый ключ на смарт-карте или USB токене.
Я может конечно и дурак, но я не понял что такое токен, в чём смысл этого метода аутентификации и вообще принцип? Можно статейку или какой-то материал для неимущих?
небольшое USB-устройство

далее по тексту идет два кратких описания:
описание, похожее больше на хранилище сертификата (что-то по типу КриптоПро)
и описание, более похожее на OTP-генератор "ввести отображаемый код на экране устройства." (просто в виде аппаратного устройства, а не в виде приложения на компе\смарте)

* наверное, в статье под токен имеют в виду аппаратную реализацию любого метода (без уточнения).
Интересно узнать количество респондентов в ваших опросах. Хотя я думаю, что выборка среди студентов не будет показательной для всех.
В последнем опросе: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему?» два варианта ответа неразличимы между собой:
  • Подтверждение с помощью приложения
  • Аутентификация с помощью приложения

И еще я сильно сомневаюсь, что опрашиваемые пользователи испытали все эти методы аутентификации. Например, аутентификация через мобильное приложение (не одноразовые коды), очень удобна, но мало кто ее вообще видел вживую.

Различимы. Вот сейчас у меня телефон спрашивает "пытаетесь войти?", когда гугл аус дергаю где-то. Ответы "да" и "нет" — это просто подтверждение. А вот если бы телефон просил, например, палец к датчику приложить и сравнивал его с "зашитым" — это уже аутентификация

TOTP (== Google authenticator) не обязательно на смартфоне иметь.
и как плагин к keepass (при желании и макро с автовходом для 2FA) и как небольшой класс (например php) — хоть с командной строки код получай.
и, как генератор — более удобен, так как не обязательно смарт в руках держать — можно на любое устройство найти. и порча\утеря смарта не вызывает ступпор.

** а по гендеру не было разреза? хотелось бы узнать отличие.
личное мнение:
я не знаю как был сформулирован вопрос «что бы вы предпочли..», была ли фраза "если бы все было бесплатно".
если бы меня спросили, я бы (автоматом) не поставил токен (любой) на первое место, так как он платный (1200р мин). а если и студенты задумывались о цене вопроса? и, конечно, платность токена сильно сужает круг знакомства с ним и, соответственно, выбор…
некорректно сводить бесплатный и платный вариант в один разрез.

* и VolCh правильно задал вопрос про сертификаты — пример есть — почивший StartCom (startssl) и, почти почивший, WoSign — авторизация по сертификату (не в токене) — такой простой метод не рассматривался?

Токен бы я не поставил по другим причинам (1200 рублей или 3000 — особо не принципиально):


  1. Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.
  2. (не для всех) Есть проблемы с совместимостью локального окружения, например на условном линуксе с условным Konquero
  3. Не очень понятен юридический статус как для пользователя (особо интересно трансграничное перемещение токена и использование не в стране приобретения), так и разработчика, желающего сделать на, например, своем сайте.
Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.

тут, к сожалению, расплывчатость понятия «токен» — он может быть и генератором HOTP — полный аналог гуглаут только в виде флешки с кнопкой (и втыкать ее не надо) — дублируется\заменяется любым приложением (хоть на смарте, хоть на компе).
вот «очень умный» токен типа криптопро — это да (хотя и там дубликат можно поиметь в сейфе).
с «юрид» — да, но столкнуться можно при ввозе (только?) в Россию (ограничение ФСБ по шифрованию, насколько помню и то, для токенов типа криптопро, для OTP генераторов — еще не додумались).
что касается 1000 или 3000 не важно — кому как. мне (частное лицо) психологически не комфортно, если сервис бесплатный или 1уе\год, а токен для него 1000р :). да и 1000 по россии уже не мелочь.

Я больше про "очень умные", подключаемые к компу, требующие установки драйверов, провайдеров и т. п.


Ограничения ФСБ есть не только на ввоз, но и на вывоз. Да и вдругих странах есть ограничения на ввоз СКЗИ.


Вот, кстати, забыл отметить — может понадобиться иметь множество токенов для разных применений не из соображений "не класть все яйца в одну корзину", а потому что выбора нет.

если человек перемещается по странам и континентам — ему только метод Штирлица — пара предложений с ххх абзаца в библии, как парольная фраза. возить с собой не надо (везде есть, подозрений не вызывает), запоминать не надо, потерять не реально :)

множество токенов — да. есть такое — у меня на 30 регистраторов (это которые с 2fa) — у трех — своя система генерации (у остальных HOTP), хочешь не хочешь — ставь «фирменное».

* вообще анализ «что выбрать» сильно коррелирует с «сколько входов и как часто и где».
** «очень умные» — скорее всего остануться в сфере, где нужна подпись (и\или шифрование) на документе. а как средство входа — генераторы.
Данный опрос был проведен среди студентов СПБГТИ(ТУ).

А сколько их было всего? И что их побудило учавствовать? (не праздное любопытство, мне нужен такой же опрос, хочу выяснить как проводить)
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.