Способи авторизації на сайті

[strat1]

Я створив сайт для розвитку нашого українського сленгу.
https://www.slangzone.net/

Сайт гарний, нагадує lurkmore одразу після появи десь у 2007 році, коли там були компактні статті про інтернет-меми, а не сатирична енциклопедія з довгими простирадлами про все (теж непогано, але концепція непомітно змінилась).
От тільки немає анонімного редагування, навіть просто реєстрації нема, лише через соцмережі.

ну, український лурк вже існує, драма кропивача називається.
А щодо анонімності, тут є проблема булінгу і відвертих образ, я хотів би цього уникнути і мати можливість заблокувати доступ безсовісним користувачам.
Ну і щодо соцмереж, не хотів змушувати користувачів придумувати новий пароль, або тим більше використовувати такий же ж пароль, як і до інтернет-банкінгу, тому соцмережі. Там і так лише айді береться, навіть на ім'я не дивлюсь, зрештою, це описано в політиці приватності.

 

[bodqhrohro]

не хотів змушувати користувачів придумувати новий пароль, або тим більше використовувати такий же ж пароль, як і до інтернет-банкінгу

Якщо проектувати інтерфейс для ідіотів — тільки ідіоти ним і користуватимуться ©

 

[strat1]

не хотів змушувати користувачів придумувати новий пароль, або тим більше використовувати такий же ж пароль, як і до інтернет-банкінгу

Якщо проектувати інтерфейс для ідіотів — тільки ідіоти ним і користуватимуться ©

тобто якщо в когось є gmail або facebook то він — ідіот?
Як на мене набагато зручніше залогінитися десь 2 кліками, ніж:
1. придумати логін
2. придумати пароль
3. вписати пароль ще раз
4. вписати адресу імейл
5. перейти на пошту
6. знайти імейл підтвердження
7. клацнути в нього
8. зайти на сайт
9. забути пароль
10. клацнути «відновити пароль»
11. повторити пункти 1-8
12. почати користуватись сайтом

 

[bodqhrohro]

тобто якщо в когось є gmail або facebook то він — ідіот?

Саме так, обізнані люди на Заході гидують користуватися продуктами всяких FAANG'ів.
До нас це, як завше, із затримкою у 5–10 років дійде.

 

[strat1]

тобто якщо в когось є gmail або facebook то він — ідіот?

Саме так, обізнані люди на Заході гидують користуватися продуктами всяких FAANG'ів.
До нас це, як завше, із затримкою у 5–10 років дійде.

нісенітниці

Google market share countries 2024 | Statista

Google's market share can vary by country but there are a significant number of markets where the U.S. search giant dominates online search by a large margin.

www.statista.com

Facebook Users by Country 2024

worldpopulationreview.com

це 5-хвилинний пошук в інтернеті, мені впадло шукати інші

 

[plebis]

, обізнані люди на Заході гидують користуватися продуктами всяких FAANG'ів

Обізнані гидують залишати їм персональні дані. Авторизація через них в такому форматі, прямо скажемо, не дуже впливає на кількість залишених персональних даних, особливо, якщо людина обізнана, а не просто чула дзвін

Про продуктовий бік питання мовчу, бо тут наче повинно бути очевидно, що пан несе маячню навіть якщо пан обізнаний настільки, що єдиним виходом для захисту своєї pi, бачить не мати жодних аккаунтів взагалі.
Доречі є якесь файне слово на "доїбаться не по ділу"?

 

[bodqhrohro]

Facebook Users by Country 2022

Намагаєтеся кількістю замість якості задавити, як кацапи?

Авторизація через них в такому форматі, прямо скажемо, не дуже впливає на кількість залишених персональних даних, особливо, якщо людина обізнана, а не просто чула дзвін

Визначення згоріла хата, гори й сарай

Дізнайтеся значення терміну 'згоріла хата, гори й сарай', як його використовувати в повсякденному спілкуванні, перегляньте приклади цього виразу на SlangZone

www.slangzone.net

 

[beroal]

Ну і щодо соцмереж, не хотів змушувати користувачів придумувати новий пароль, або тим більше використовувати такий же ж пароль, як і до інтернет-банкінгу, тому соцмережі. Там і так лише айді береться, навіть на ім'я не дивлюсь, зрештою, це описано в політиці приватності.

Якщо користувача заблокують в соцмережі, він втратить доступ до вашого сайту. На жаль, на даний момент єдиний спосіб уникнути цієї централізації — це пароль або клієнтський сертифікат X.509.
Замість пароля можна використовувати більш простий вхід через електронну пошту:

• користувач натискає на сайті «Вхід»;
• йому у електронну пошту приходить лист з посиланням з одноразовим паролем;
• користувач відкриває посилання.

 

[bodqhrohro]

На жаль, на даний момент єдиний спосіб уникнути цієї централізації — це пароль або клієнтський сертифікат X.509.

Є ще токени FIDO2. Сучасні оглядачі вже кілька років підтримують стандарт U2F для роботи з ними.

В українських реаліях більш поширені ЕЦП, які видають податкова, банки або инші АЦСК. Проте користувачі вряд чи довірятимуть їх сайту зі сленгом, навіть попри те, що роботу з такими ЕЦП можна зробити безпечною, не передаючи їх кодові сайту взагалі (втім, у таких рішень з кросплатформовістю погано, особливо з підтримкою мобільних оглядачів).

йому у електронну пошту приходить лист з посиланням з одноразовим паролем;

Двоїную, pronouns.page так робить, не треба заводити постійний пароль узагалі.

 

[strat1]

Ну і щодо соцмереж, не хотів змушувати користувачів придумувати новий пароль, або тим більше використовувати такий же ж пароль, як і до інтернет-банкінгу, тому соцмережі. Там і так лише айді береться, навіть на ім'я не дивлюсь, зрештою, це описано в політиці приватності.

Якщо користувача заблокують в соцмережі, він втратить доступ до вашого сайту. На жаль, на даний момент єдиний спосіб уникнути цієї централізації — це пароль або клієнтський сертифікат X.509.
Замість пароля можна використовувати більш простий вхід через електронну пошту:

• користувач натискає на сайті «Вхід»;
• йому у електронну пошту приходить лист з посиланням з одноразовим паролем;
• користувач відкриває посилання.

неправда, не єдиний. Паролі мають свої недоліки, сертифікат треба теж десь тримати, найбезпечніший варіант — на флешці, але носитися з флешкою, щоб залогінитися на сайт з картинками? Та ну, це несерйозно.

Є ще така штука як Web Authentication API, яка максимально спрощує цей процес, але знову ж таки, вимагає зовнішнього носія, де б зберігався ключ. Є й інші методи, наприклад, зберігання ключа у в'язці на телефоні, але не всі переглядачі це підтримують.

 

[debugger]

Замість пароля можна використовувати більш простий вхід через електронну пошту:

• користувач натискає на сайті «Вхід»;
• йому у електронну пошту приходить лист з посиланням з одноразовим паролем;
• користувач відкриває посилання.

Ще можна зробити те саме з номером телефону та кодом в SMS.
В цьому випадку автоматично можна відсіяти іноземців, наприклад, якщо сайт не має міжнародних прав на контент, лише локальні.

 

[Себастьян Перейро]

...
Замість пароля можна використовувати більш простий вхід через електронну пошту:

• користувач натискає на сайті «Вхід»;
• йому у електронну пошту приходить лист з посиланням з одноразовим паролем;
• користувач відкриває посилання.

або на вібер, телеграм...

 

[beroal]

Проте користувачі вряд чи довірятимуть їх сайту зі сленгом, навіть попри те, що роботу з такими ЕЦП можна зробити безпечною

Наскільки мені відомо, аутентифікація в TLS з допомогою клієнтського сертифіката X.509, яка вбудована в веб-браузери, безпечна за умовчанням. Це веб-програмісти видумали нову технологію, де секретний ключ відправляється на веб-сайт .

сертифікат треба теж десь тримати, найбезпечніший варіант — на флешці, але носитися з флешкою, щоб залогінитися на сайт з картинками

Якщо вставляти флешку з секретними ключами в кожну дірку, вони скоро перестануть бути секретними. Безпека залежить не від пристрою, де ключі зберігаються, а від пристрою, де вони використовуються. Коли ви набираєте команду на клавіатурі, пристрій може вирішити послати іншу команду. Тому я не бачу сенсу зберігати ключі окремо від комп'ютера, де вони використовуються. Веб-браузер може зберігати ключи в своїй конфігурації або у системній в'язці ключів (без різниці). Так що проблему з флешкою вирішено.

Ще можна зробити те саме з номером телефону та кодом в SMS.

Не всі хочуть світити свій номер телефону.

 

[Себастьян Перейро]

Не всі хочуть світити свій номер телефону.

для таких випадків у цих людей є інший номер для цього

 

[webivan]

Взагалі слабо розумію про що тема. Для сайту який не працює з фінансовими та іншими чутливими даними давно усе придумано:
1)Вхід через аккаунти інших систем: гугл, соцмережі, тощо + можливість задати пароль для пошти/номеру телефону що прив'язані до соцмережі
2)Вхід через логін(імейл, номер телефону)/пароль з можливістю відновити пароль на пошту/телефон

Усе інше банально відлякую користувачів складністю і непотрібністю.

Хочеться упоротись і мати можливість з високою долею імовірності блокувати неприглядних користувачів - існують рішення зняття цифрових відбитків з пристроїв, які дозволяють майже напевне ідентифікувати людину за пристроєм, з якого вона заходить - і це не створить дискомфорту іншим користувачам додатковими перевірками та обмеженнями. На Aliexpress чудово працює відсікаючи охочих нарегати нових аккаунтів і отримати перший товар за 0.01$

На другому місці з умовно-прийнятних стоїть обмеження в 1 аккаунт на підтверджений номер телефону, але це знов таки відсікає потенційних користувачів у тому числі, а не тільки спамерів, буллерів, тощо.

А усю дроч з сертифікатами і ЕЦП залиште для фінансових, державних та інших сервісів де ідентифікація особи критична.

 

[beroal]

А усю дроч з сертифікатами і ЕЦП залиште для фінансових, державних та інших сервісів де ідентифікація особи критична.

Це не для ідентифікації (фізичної) особи, а для захисту і зручності. Можна не прив'язувати сертифікат до особи. Якраз вводити код з SMS або електронного листа — дроч.