Comments 16
А сертификаты не участвовали в опросе? А вообще как-то редко упоминается такой аспект аутентификации как удобство восстановления доступа при утрате аутентифицирующего фактора пользователем и сложности эмуляции утраты злоумышленником.
0
Я может конечно и дурак, но я не понял что такое токен, в чём смысл этого метода аутентификации и вообще принцип? Можно статейку или какой-то материал для неимущих?
0
небольшое USB-устройство
далее по тексту идет два кратких описания:
описание, похожее больше на хранилище сертификата (что-то по типу КриптоПро)
и описание, более похожее на OTP-генератор "ввести отображаемый код на экране устройства." (просто в виде аппаратного устройства, а не в виде приложения на компе\смарте)
* наверное, в статье под токен имеют в виду аппаратную реализацию любого метода (без уточнения).
0
Интересно узнать количество респондентов в ваших опросах. Хотя я думаю, что выборка среди студентов не будет показательной для всех.
В последнем опросе: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему?» два варианта ответа неразличимы между собой:
И еще я сильно сомневаюсь, что опрашиваемые пользователи испытали все эти методы аутентификации. Например, аутентификация через мобильное приложение (не одноразовые коды), очень удобна, но мало кто ее вообще видел вживую.
В последнем опросе: «Что бы вы предпочли в качестве второго шага двухфакторной аутентификации для процедуры входа в систему?» два варианта ответа неразличимы между собой:
- Подтверждение с помощью приложения
- Аутентификация с помощью приложения
И еще я сильно сомневаюсь, что опрашиваемые пользователи испытали все эти методы аутентификации. Например, аутентификация через мобильное приложение (не одноразовые коды), очень удобна, но мало кто ее вообще видел вживую.
0
TOTP (== Google authenticator) не обязательно на смартфоне иметь.
и как плагин к keepass (при желании и макро с автовходом для 2FA) и как небольшой класс (например php) — хоть с командной строки код получай.
и, как генератор — более удобен, так как не обязательно смарт в руках держать — можно на любое устройство найти. и порча\утеря смарта не вызывает ступпор.
** а по гендеру не было разреза? хотелось бы узнать отличие.
и как плагин к keepass (при желании и макро с автовходом для 2FA) и как небольшой класс (например php) — хоть с командной строки код получай.
и, как генератор — более удобен, так как не обязательно смарт в руках держать — можно на любое устройство найти. и порча\утеря смарта не вызывает ступпор.
** а по гендеру не было разреза? хотелось бы узнать отличие.
0
личное мнение:
я не знаю как был сформулирован вопрос «что бы вы предпочли..», была ли фраза "если бы все было бесплатно".
если бы меня спросили, я бы (автоматом) не поставил токен (любой) на первое место, так как он платный (1200р мин). а если и студенты задумывались о цене вопроса? и, конечно, платность токена сильно сужает круг знакомства с ним и, соответственно, выбор…
некорректно сводить бесплатный и платный вариант в один разрез.
* и VolCh правильно задал вопрос про сертификаты — пример есть — почивший StartCom (startssl) и, почти почивший, WoSign — авторизация по сертификату (не в токене) — такой простой метод не рассматривался?
я не знаю как был сформулирован вопрос «что бы вы предпочли..», была ли фраза "если бы все было бесплатно".
если бы меня спросили, я бы (автоматом) не поставил токен (любой) на первое место, так как он платный (1200р мин). а если и студенты задумывались о цене вопроса? и, конечно, платность токена сильно сужает круг знакомства с ним и, соответственно, выбор…
некорректно сводить бесплатный и платный вариант в один разрез.
* и VolCh правильно задал вопрос про сертификаты — пример есть — почивший StartCom (startssl) и, почти почивший, WoSign — авторизация по сертификату (не в токене) — такой простой метод не рассматривался?
0
Токен бы я не поставил по другим причинам (1200 рублей или 3000 — особо не принципиально):
- Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.
- (не для всех) Есть проблемы с совместимостью локального окружения, например на условном линуксе с условным Konquero
- Не очень понятен юридический статус как для пользователя (особо интересно трансграничное перемещение токена и использование не в стране приобретения), так и разработчика, желающего сделать на, например, своем сайте.
0
Легко потерять/повредить, а восстановить/заменить сложно, как правило. Туда же оперативный доступ в форс-мажорных ситуациях.
тут, к сожалению, расплывчатость понятия «токен» — он может быть и генератором HOTP — полный аналог гуглаут только в виде флешки с кнопкой (и втыкать ее не надо) — дублируется\заменяется любым приложением (хоть на смарте, хоть на компе).
вот «очень умный» токен типа криптопро — это да (хотя и там дубликат можно поиметь в сейфе).
с «юрид» — да, но столкнуться можно при ввозе (только?) в Россию (ограничение ФСБ по шифрованию, насколько помню и то, для токенов типа криптопро, для OTP генераторов — еще не додумались).
что касается 1000 или 3000 не важно — кому как. мне (частное лицо) психологически не комфортно, если сервис бесплатный или 1уе\год, а токен для него 1000р :). да и 1000 по россии уже не мелочь.
0
Я больше про "очень умные", подключаемые к компу, требующие установки драйверов, провайдеров и т. п.
Ограничения ФСБ есть не только на ввоз, но и на вывоз. Да и вдругих странах есть ограничения на ввоз СКЗИ.
Вот, кстати, забыл отметить — может понадобиться иметь множество токенов для разных применений не из соображений "не класть все яйца в одну корзину", а потому что выбора нет.
0
если человек перемещается по странам и континентам — ему только метод Штирлица — пара предложений с ххх абзаца в библии, как парольная фраза. возить с собой не надо (везде есть, подозрений не вызывает), запоминать не надо, потерять не реально :)
множество токенов — да. есть такое — у меня на 30 регистраторов (это которые с 2fa) — у трех — своя система генерации (у остальных HOTP), хочешь не хочешь — ставь «фирменное».
* вообще анализ «что выбрать» сильно коррелирует с «сколько входов и как часто и где».
** «очень умные» — скорее всего остануться в сфере, где нужна подпись (и\или шифрование) на документе. а как средство входа — генераторы.
множество токенов — да. есть такое — у меня на 30 регистраторов (это которые с 2fa) — у трех — своя система генерации (у остальных HOTP), хочешь не хочешь — ставь «фирменное».
* вообще анализ «что выбрать» сильно коррелирует с «сколько входов и как часто и где».
** «очень умные» — скорее всего остануться в сфере, где нужна подпись (и\или шифрование) на документе. а как средство входа — генераторы.
0
Данный опрос был проведен среди студентов СПБГТИ(ТУ).
А сколько их было всего? И что их побудило учавствовать? (не праздное любопытство, мне нужен такой же опрос, хочу выяснить как проводить)
0
UFO just landed and posted this here
Sign up to leave a comment.
Как пользователи воспринимают разные методы аутентификации