RooX

+204
с 2022

Аутентификация и авторизация от А до Я

35 подписчиков
0 подписок

Рекомендация "менять регулярно" сменилась на рекомендацию "менять, если скомпрометирован".

Константин Корсаков здесь в коментах пишет об этом.

NIST: Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

Мы описали проверку, которая встроена в систему входа онлайн-сервиса. Например, вход в интернет-банк. Вы логинитесь в свой интернет-банк, вам высвечивается сообщение с рекомендацией сменить пароль, потому что он скомпроментирован.

Но можно и самостоятельно проверить свои пароли на одном из сервисов (Have I Been Pwned) или аналогичных, чтобы понять масштаб компрометации.

1

Расскажем.
Смешные истории все больше под NDA, но про ABAC и RBAC, и даже про ReBAC можно рассказать.

Оказываются симметричной датой первого поцелуя? )

1

)
До подтверждения биометрией оплаты за новую игрушку еще дело не дошло?

2

Перейти на нативно ведущий себя PWA занимает некоторое время. Не исключено, что Аэрофлот прямо сейчас работает над этим. Просто система бронирования была в большем приоритете.

По нашему опыту общения - большие компании прекрасно понимают связь между UX и транзакциями, просто нужно некоторое время на хорошую реализацию.

На данный момент в коментах упомянуты:

Судья Дредд
Гарри Поттер
Меч короля Артура
Анон
Чужой.Воскрешение
Ходячие мертвецы
Бегущий по лезвию
Скайфол
Аватар
Юрский период
Хоттабыч
Волк и семеро козлят
Зловещие мертвецы. Армия тьмы
Восставшие
Любой фильм с "повернись к лесу задом"

Неплохой список для пересмотреть и подумать про аутентификацию по биометрии )

В сказке четко 2FA: пароль + биометрия.

2

Тест Войт-Кампфа в "Бегущем по лезвию 2049" похож на авторизацию. Стабилен ли, может ли "работать" репликантом.

(задумчиво) Вот у него рука в перчатке...

2

Исключительный случай, когда не хочется топить за второй фактор.

1

Дышали — это, интересно, ДНК? Надо пересмотреть.
"Особое мнение" уже вошло в эту десятку. И чужие глаза, и свои )
Про кровь надо подумать. Похоже, что да - подделка биометрии )

Да, что-то пальцы и ладони мы в этой десятке незаслуженно забыли (

1

"Анон" реально любопытная картина. Надо подумать над ней, где там аутентификация, где что.

2

Тот же случай, что и во "Властелине колец". Голосовой ввод есть, биометрии нет. Иначе ни Касым, ни Али-баба бы туда не вошли.

Без биометрии, наверное, будет топ-100.

Это плач души "не вешайте бумажки на мониторы" )

1

Пользователь заходит на сайт, нажимает "сохранить на главной" и иконка сохраняется на рабочем столе смартфона.

Определенно, не так. Поправим.

В нашем демо-PWA оплата по QR-коду стоит прямо на первом экране по центру вместе с переводами, потому что это очень частые операции и, конечно, не нужно их прятать.

В международном поле развитие PWA не зависит от необходимости импортозамещения ) Там технологию двигает стремление компаний сделать своими клиентами владельцев простых смартфонов, а также жителей регионов с плохим покрытием.
В России импортозамещение наступило несколько раньше, чем дозрела мысль рубиться за региональные рынки с помощью PWA.

3

Можно получить интерфейс, отзывчивый настолько, что массовый пользователь не почувствует разницы.

При работе над RooX PWA мы в это хорошо вложились.

Мы исходим из того, что необходимость в PWA возникла не на пустом месте, а как решение существующих проблем — потеря клиентов, снижение транзакционности.