Мода на двухфакторную аутентификацию

[netch80]

А почему бы её не делать через два пароля (обычный и мастер)?
Или через два email?
Почему все так тянутся делать это через мобилку? Ради желания побыть Старшим Братом?

Comments

[jerom.livejournal.com]

2 пароля так же легко увести, как и один. Второй email у 90% людей уведётся через первый и это можно сделать трояном.

Для кражи телефона нужны большие усилия.

Телефон есть у всех и его тяжело захватить, получив доступ к e-mail.

Вот и получается, что телефон - самый простой и надёжный способ при миллионах пользователей.

[jerom.livejournal.com]

Однако, другие способы тоже есть: портал госуслуги использует "Почту России"

[dottedmag.livejournal.com]

Не только через мобилку. Карточки одноразовых паролей тоже работают.

[knyar.livejournal.com]

Там же основной принцип в разделении "what you know" и "what you've got". Мобилка просто играет роль poor man's security token, потому что для большинства бытовых применений слишком дорого и муторно пользователю выдавать честные криптотокены.

[vitus_wagner]

А может быть она всё-таки скорее "what you are"? Не poor man's security token, a poor compurer's biometry?

[netch80.livejournal.com]

Хм, вот это ближе всего, jIMHO.

[gegmopo4.livejournal.com]

Два пароля уже было (девичья фамилия вашей матери). Ни к чёрту система.

[netch80.livejournal.com]

Вы, как обычно, начинаете с чрезмерно общего и необоснованного утверждения.;(
Девичья фамилия матери - это никак не пароль.

[gegmopo4.livejournal.com]

Э? О чём вы?

Это именно что мастер-пароль. На многих сайтах раньше (наверное и сейчас) требовали помимо имени и пароля, выбрать «секретный вопрос» и дать на него ответ. При потере основного пароля, его можно было автоматически восстановить, ответив на «секретный вопрос». Получается система с двумя паролями, основным и мастер, с той только особенностью, что для мастер пароля предлагается на выбор несколько крайне неудачных стратегий (т. е. стимулировали менее секретный выбор, чем с одним паролем).

Система с двумя паролями не лучше (кое-чем даже хуже) системы с одним для подавляющего большинства пользователей. Ведь нужно придумать и запомнить два секретных пароля, при потере первого с большой вероятностью будет потерян и второй (если он не очевидный), секретность второго как правило будет много ниже первого (а стойкость системы определяет слабейшее звено). Большинство пользователей выберут или одинаковые пароли, или второй будет простой модификацией первого (parol1 и parol2).

[egorfine.livejournal.com]

1. Что-то, что только я имею в голове.
2. Что-то, что только я имею в руках.

[alexeyk77.livejournal.com]

сейчас появились специалиированные, расчитанные на конкретные интернетбанкинги вирусы/трояны. Посему полагаться банку на "безопасность" клиентских машин, значит создать проблемы в будущем при расследовании мошенничества. Хотя мобилки- тоже фигня, ибо появились спец.вирусы и под мобилки, это раз. Мобилка - почти публичное устройство, это два. Отдельный криптотокен все-таки лучше и безопаснее, хотя и дорогой как для наших нищих широт.

[wrar.livejournal.com]

А от карточек с OTP все воротят нос и приводят кучу малозначащих причин, почему они плохи. Так и живём.

[smittt.livejournal.com]

Потому что психология. Пароли будут одинаковые, емейлы - форвардиться один на другой (и пароли у них тоже будут одинаковые). А так - жмейл и фейсбук все равно знали мой номер.