Vlákno názorů k článku Jak na tomhle webu změním heslo? Pomocí známé URL pro změnu hesla od anonym - Zajimal by me nazor na to, zda by...
-
Zajimal by me nazor na to, zda by melo smysl stanovit i seznam adres a requestu strojove citelnych a zapisovatelnych. Tzn. Treba POST /.well-known/change-password . Urcite by se mi libila ta moznost, ze bych mohl treba skrze lastpass jednoduse menit hesla na libovolnem webu jednim zpusobem a v ui lastpassu. Nemuseli by se pak spoustet ty selenium automatizacni scripty, ktere lastpass dela pro zmeny hesla, ktere trvaji vecnost a casto neuspejou (urcite uz jste nekdo zkusil).
Otazka je z hlediska bezpecnosti. Ale z meho pohledu se bezpecnost ma resit na jine urovni a pomoci cryptovacich funkci a ne pouze neznalosti procesu pro zmenu, ktery muze kazdy na libovolnem webu stejne vypatrat. Kdyz bude chtit. -
Přezdívka: * (neregistrovaný)
Rekl bych ze uz je to trochu overkill, resp. by to tu bylo extremne prestandardyzovano. Navic je treba ze strany autora implementovat API, ktere toto bude resit. Uzivatel by musel rucne predavat lastpassu nejaky API klic, skrze ktery by se lastpass autorizoval. Coz zase smrdi dalsi normou, jak by se klice meli generovat jak ziskat ve /.well-known/ adresa pro rychly pristup ke klici apod.
Z pohledu uzivatele urcite zajimava myslenka byt lehce/vice pachnouci nejistotou bezpecnosti(preci jen zde pracujeme s hesly uzivatele). Z pohledu vyvojare/provozovatele narocna funkcnost(spousta z nich nema API vubec) a bezpecnostni riziko navic. At si praci s hesly resi uzivatel rucne a sam, doprejme mu jen pohodli v tom ze jemu a jeho aplikacim dame zkratku na tyto mista.
-
to je overkill, spíše bych zrušil hesla, už dnes vznikají služby důvěry (oauth2, myid atd.) nebo formou OTP klíčenek.
Je neudržitelné, aby si uživatelé pamatovali stovky hesel. Dočasné řešení v podobě lastpass je jen ochcávka, zrušme hesla a tohle vůbec nebude potřeba.
Už dnes ve firmách mají uživatelé jedno primitivní heslo (něco jako pin) a čipovou kartu, kterou musí strkat do počítače k tomu, přidání dveří na kartu se zase sníží riziko, že si zaměstnanec zapomene kartu v počítači.
Zatím nevidím univerzální použitelnou technologii, nejspíš je potřeba, aby tohle implementovali OS, dělat to v prohlížeči (jak se pokouší chrome) bych řekl, že je cesta k problémům. Stejně jako dneska u počítače máme klávesnici, abychom mohli zadávat hesla, zítra budeme mít jiný prvek, který prokazuje naši vůli se přihlásit a potvrzuje naší identitu.
Marnost hesel je vidět na mobilech, složitá hesla tam nejdou ani normálně zadávat, díky všudepřítomným kamerám odpozorovat hesla od náhodně umístěných webkamer může být zajímavá sranda, z obrazu poznat identitu a šup, máme přístup. V masivním měřítku to může přinést spousty přístupových údajů.
