Еще про культуру

[vitus_wagner]

Про какой-то навык можно сказать, что он стал частью культуры не тогда, когда человек понимает, как это делать правильно, а тогда, когда человек искренне не понимает, как это можно делать неправильно.

Comments

[inkelyad.livejournal.com]

Я систематически взаимодействую с пользователями, которые не понимают И НЕ ЖЕЛАЮТ ПОНИМАТЬ разницы между логином и паролем. Процедура ввода логина и пароля - отвратительная гадость, придуманная админами чтобы усложнить работу.

И они совершенно правы. Давно пора переходить на аппаратные ключи. Действие "воткнуть нужную ключ в нужную дырку, чтобы получить доступ к нужному объекту" уже давно во все головы вбито и интуитивно понятно.

[vitus_wagner]

Люди, которые не желают понимать не могут быть правы. Можно понять и не простить, понять и не согласиться, но не желать понимать - однозначно плохо.

[astarsan.livejournal.com]

Авторизация по ТОЛЬКО аппаратному ключу (без пароля) мягко говоря неумное решение и большая дыра в безопасности. Ключ украсть или потерять - задача на раз-два.

По хорошему разумный минимум это аппратный ключ + login/pass + sms авторизация для тех кто не против свой телефон засветить.

[vitus_wagner]

Ну можно, ну и что. Если у нас проход в офис, где этот ключ надо применять, защищен оргмерами (в смысле, сидит охранник знающий в лицо сотрудников), то опасность представляет только инсайдер. Инсайдер вообще и пароль стырит.

Двухфакторная авторизация нужна там, где она нужна.

В общем, каждый раз нужно анализировать модель угроз, прежде чем принимать решение расстаться здесь с usability в пользу security или нет.

А то понимаешь, забудешь дома сотовый телефон и не сможешь залогиниться на рабочий компьютер вообще никак.

[astarsan.livejournal.com]

Тут вы конечно правы.

Но я не рассматриваю модель безопасного офиса (прикрытого оргмерами) как имеющую прикладное значение по причине морального устаревания.
50% сотрудников сейчас уже работают или будут в ближайшее время работать из дома время от времени, поэтому модель безопасного офиса останется только в специальных местах (СБ и иже с ними, а там паранойя и в любом случае многофакторные авторизации будут использоваться).

[vitus_wagner]

Всего 50%. Из них две трети работают из не менее безопасного дома. И из-за оставшихся портить юзабилити всем остальным?

Это приведет к тому, что сотрудник не будет разлогиниваться отойдя от компьютера в сортир. Потому что логиниться муторно и неудобно. А оставленный без присмотра компьютер с открытой сессией - куда большая угроза чем гипотетическая утрата credentials.

[inkelyad.livejournal.com]

Опыт использования обычных дверных ключей говорит, что это не так. Уровень безопасности в большинстве случаев вполне достаточен. А токен еще и скопировать не очень просто, в отличии от обычного дверного ключа.

[edo-rus.livejournal.com]

аппаратные ключи с "нужными дырками" очень сильно привязываются к конкретному месту (компьютеру, офису, etc), увы.

[vitus_wagner]

Ничего, скоро будет всеобщее об NFC-ние.

[edo-rus.livejournal.com]

эту возможность использования NFC я ещё не обдумывал, интересно.

[inkelyad.livejournal.com]

Еще бы банки и прочие товарищи захотели этим пользоваться. А то вот банковская карта с NCF у меня есть. А купить ридер и пользоваться этой картой для входа в онлайн-банк я не могу.