TheAndrey
Новичок
Случилось так, у меня не сохранился пароль от аккаунта и мне пришлось постигать все прелести здешней системы авторизации.
Для сброса пароля требуется указание логина аккаунта и привязанной почты. Впервые такое встречаю. У меня много аккаунтов на разных ресурсах и десяток почт. И даже я легко могу забыть, какой логин у моего аккаунта и на какую почту я его регистрировал.
В чём смысл такого усложнения? Везде требуется лишь указание логина аккаунта ИЛИ почты для восстановления доступа, а для защиты от роботов ставится капча.
Хорошо, получил письмо, перейдя по ссылке авторизовался в аккаунте. Вижу форму изменения пароля. Ввожу новый пароль, нажимаю кнопку и появляется окно с формой авторизации. Первое, я подумал - меня разлогинило в связи с изменением пароля. Ввожу новый пароль - пишет, неверный. Спустя небольшое время я сообразил, что именно от меня хотят: никакой надписи «Введите свой пароль для подтверждения действия» над формой входа не было.
Наконец, сменив пароль, заинтересовался разделом безопасности в надежде «прокачать» защиту своего аккаунта, ссылка на который присутствует в выпадающей панели пользователя. Первыми моему взору предстали привязка сторонних аккаунтов и смена пароля – здесь ничего полезного я для себя не нашёл. Смотрим расширенный режим: здесь предлагается создать дополнительные пароли, а в качестве дополнительной защиты предлагается ограничение доступа по IP
В общем, никакой возможности настроить двухфакторную авторизацию не нашёл. Сейчас такая возможность есть практически на всех крупных ресурсах, а функция появилась во многих CMS сайтов (в т.ч. XenForo). TOTP - наиболее надёжный и простой в реализации способ подтверждения входа.
Выводы:
Вот к чему приводит изобретение своей защиты. Вместо всей этой лабуды с методами авторизации мне хотелось бы видеть TOTP и GeoIP. Эти средства используют все крупные ресурсы, которые намного чаще подвергаются хакерским атакам. Всё это позволит сделать систему безопасной и в то же время простой в использовании.
Для сброса пароля требуется указание логина аккаунта и привязанной почты. Впервые такое встречаю. У меня много аккаунтов на разных ресурсах и десяток почт. И даже я легко могу забыть, какой логин у моего аккаунта и на какую почту я его регистрировал.
В чём смысл такого усложнения? Везде требуется лишь указание логина аккаунта ИЛИ почты для восстановления доступа, а для защиты от роботов ставится капча.
Хорошо, получил письмо, перейдя по ссылке авторизовался в аккаунте. Вижу форму изменения пароля. Ввожу новый пароль, нажимаю кнопку и появляется окно с формой авторизации. Первое, я подумал - меня разлогинило в связи с изменением пароля. Ввожу новый пароль - пишет, неверный. Спустя небольшое время я сообразил, что именно от меня хотят: никакой надписи «Введите свой пароль для подтверждения действия» над формой входа не было.
Наконец, сменив пароль, заинтересовался разделом безопасности в надежде «прокачать» защиту своего аккаунта, ссылка на который присутствует в выпадающей панели пользователя. Первыми моему взору предстали привязка сторонних аккаунтов и смена пароля – здесь ничего полезного я для себя не нашёл. Смотрим расширенный режим: здесь предлагается создать дополнительные пароли, а в качестве дополнительной защиты предлагается ограничение доступа по IP
В общем, никакой возможности настроить двухфакторную авторизацию не нашёл. Сейчас такая возможность есть практически на всех крупных ресурсах, а функция появилась во многих CMS сайтов (в т.ч. XenForo). TOTP - наиболее надёжный и простой в реализации способ подтверждения входа.
Выводы:
- Сложное восстановление доступа к аккаунту. Школьникам, которые являются основной аудиторией игры, проще будет создать новый аккаунт.
- Окно с формой входа, которое непонятно чего от тебя хочет. Можно отказаться от него вообще, а для сохранения безопасности – отказаться от использования сторонних виджетов и трекеров на защищённых страницах (там, где пользователи вводят пароль).
- Ограничение доступа по IP смогут правильно настроить только системные администраторы. Во-первых, у многих пользователей динамический IP-адрес, ещё провайдеры любят сажать абонентов за NAT для экономии адресов. Во-вторых, даже если динамика, пользователь должен знать все блоки адресов провайдера и как их правильно указывать. В-третьих, понадобится VPN со статическим IP, когда пользователь заходит не из дома (например, мобильный интернет).
- Простой «угон» чужого аккаунта. Достаточно завладеть логином и паролем. С помощью последнего благополучно подтвердить смену E-mail и прочие действия. Типичный пользователь не станет разбираться во всех этих методах авторизации. Потому система бесполезна.
- Ключ для лаунчера. Зачем? Смысла, кроме как дать другу поиграть со всего аккаунта, не вижу. Типичный пользователь скорее всего будет хранить его в текстовом документе на рабочем столе. За счёт закрытого кода вашего лаунчера, можно надёжно шифровать пароль/токен от вредоносных программ. Если пользователь скачает стиллер, тот в первую очередь стащит все пароли из хранилища браузера, где присутствует основной пароль от аккаунта
- Странная логика изменения E-mail аккаунта. Подтверждение изменения паролем – это хорошо. Но зачем сразу устанавливать новый адрес без подтверждения? Если я ошибся с адресом, мой аккаунт так останется неактивированным и сбросом пароля не воспользоваться. Что я хочу: адрес должен меняться только после подтверждения нового, а до этого должен быть доступен старый.
Вот к чему приводит изобретение своей защиты. Вместо всей этой лабуды с методами авторизации мне хотелось бы видеть TOTP и GeoIP. Эти средства используют все крупные ресурсы, которые намного чаще подвергаются хакерским атакам. Всё это позволит сделать систему безопасной и в то же время простой в использовании.
- TOTP – запрос одноразового кода, помимо пароля. Пользователь не сможет хранить код из-за его постоянной изменчивости, а стиллеру невозможно добраться до смартфона пользователя с закрытой ОС.
- GeoIP – запрос подтверждения входа, если пользователь внезапно зашёл из другого региона/страны (принадлежность IP-адреса). Например, Discord часто любит к этому придираться...
