Комментарии 26
Самый дешёвый аналог yubikey видел за 7 баксов, но в отзывах писали, что он хлипкий. Я тоже купил пару ключей, но зря. Так как есть альтернативные способы восстановления (у гугла: смс, otp, доверенное устройство, и спец коды). Во всех сервисах нельзя просто юзать юбикей, обязательно нужно подключить смс или otp. На данный момент не вижу причин покупать второй ключ (как резерв)
Когда попробывал добавить, то пишет: «Ваш браузер не поддерживает эту функцию. Попробуйте ещё раз в Chrome.» Зачем оно мне надо, если оно работает только в хроме (я пользуюсь только лисой)
Еще токен Google Authenticator может быть скопирован, а криптографические чипы скопировать гораздо сложнее (обычно считается, что закрытый ключ неизвлекаем).
Ничего не хнанится там. Он работает без интернета вообще
Тут я не прав. Хранится. Ну по поводу ключец я ещё три года назад делел аутентификацию натоснове сертификата в браузере. Опять в чем тут революция?
Революция в том, что теперь использовать асимметричную криптографию для аутентификации станет намного проще обеим сторонам: пользователям и сервисам.
Но по факиу будут телефоны м отпечптком и сканером глаза и ноутбуки с теми же датчиками. И что выберет рчдовой пользователь? Какой-то там токен на флешке или биометрию?
В случае с Google Authenticator на сервере хранится так называемый seed, на основании которого происходит генерация одноразового кода.
В windows 10 ещё не работает (нельзя добавить в windows hello новый yubico security key)
те же токены YubiKey поддерживают аппаратные пинкоды, которые неизвестны серверу, в отличие от обычных смарт-карт
Не могли бы вы пояснить? Разве PIN коды от смарт-карт надо хранить на сервере?
Теперь очередь Google, Mozilla и MicrosoftА что, Apple уже списали со счетов? Webkit, допустим, не поспевает за лидерами браузерного рынка, но не то чтобы сильно…
Стандарт Web Authentication API: беспарольная аутентификация в вебе