Xakep #305. Многошаговые SQL-инъекции
Mozilla разработала для веб-сервисов новую систему аутентификации, не требующую введения пароля. В то же время, она не использует социальные сети, такие как Facebook или Google+. В принципе, такая альтернативная система может быть полезна для многих сайтов, которые хотят упростить процедуру аутентификации.
Некоторые веб-мастеры уже внедрили систему от Mozilla и делятся опытом. Один из них говорит, что раньше Mozilla продвигала систему Persona, которая требовала от пользователя предварительной регистрации. Теперь же это не требуется. Посетитель сайта, если он пришёл впервые, должен только ввести свой адрес электронной почты и выбрать имя пользователя. Сразу после этого он получает доступ к сайту. Проверка адреса электронной почты осуществляется в следующий раз, во время второго посещения.
Такая система значительно удобнее для пользователей.
Вместе с подтверждением по электронной почте, можно рассмотреть подтверждение по номеру телефона или SMS. Для многих такая система будет ещё удобнее.
После аутентификации пользователь может запросить на электронную почту временный ключ, который используется для входа на сайт с другого устройства, например, со смартфона. Ключ действует только для одного входа или 30 минут, или после нескольких неудачных попыток входа. В этом смысле он более безопасен, чем пароль.
Чем меньше веб-сайтов будут требовать от нас пароли, тем меньше паролей будет потеряно, украдено и повторяться на разных сайтах. Так что отказ от паролей, в любом случае, можно только приветствовать.