Mondja már el valaki nekem egyszerű halandónak, hogy miért jó az login közben, hogy először elkéri az oldal e-mail címem, majd gombot nyomok és aztán új oldalon a jelszavamat?
Az utóbbi évek legnagyobb UX-es faszsága.
42 Replies
ennél csak a “nyomj a linkre az emailben hogy bejelentkezz” című tumblr/slack faszság idiótább ötlet, mert értem én hogy Gmail-en 15 secen belül megjön a push, de push email nélkül ez 1-2 perc, és jelszó managerből kitöltöm a jelszavamat amúgy 1 sec alatt.
For example, the site can check if the account has enabled two-factor authentication and, if not, require a CAPTCHA for login. The two-page design also makes it harder for bad actors to create phishing sites with look-alike login pages when there is a page redirect involved.
Pont az ellenkezője: talán a Lotus Notes-nek volt olyan megoldása, hogy a jelszó betűinek a beírásakor az addig beírtakból képzett egy hash-t, négy ikonnal megjelenítve (nap-virág-kalap-kutya). Ha elrontottad, nem a megszokott sor látszott, még enter nyomása előtt észlelted.
csodás meg minden, de szerintem először legyen használható, aztán secure. Mert érted, ennek az a maximuma, hogy egyáltalán nem engedjük belépni a felhasználót sehogy, na az teljesen secure, problem solved.
Ez sok cégnél azért van, mert mondjuk ha céges email címet írsz be, akkor a céges SSO oldalra irányítanak át, mert ott lépsz be, de ez csak akkor lesz világos számukra, ha már beírtad az email címet.
Egy sima hash képzés semmiféle segítséget nem jelent. Olyan, mintha kiírnád az addig begépelt jelszó hosszát; ha tudod a jó jelszó hosszát, nagy segítség, ha nem, semmi.
Nagyobb biztonsági rés, ha a jelszó utolsó karakterét mindig mutatja fél másodpercig, mobilon láttam ilyet.
Jobb helyeken úgy csinálják, hogy ott van az email / pass mező is by default, és ha olyan címet adsz meg, ami sso, akkor a pass eltűnik. Ennél sokkal idegesítőbb, amikor a pw manager nem ismeri fel a login formot és állandóan új jelszót akar generálni kitöltés helyett (elmű pl).
Engem meg nem tanítottak, hanem belegondoltam. A (próba)jelszó->hash képzés során nem kerül semmilyen információ a képletbe. Ha tudod a felhasználói nevet, vagy bármilyen paraméterét, vagy a jelszóét, az segít. Ha a próbálkozás során jön extra infó, pl. response time, az is.
A response time-ban ott van az extra infó, hogy a jelszót csekkoló program ismeri a jó jelszót, és egy rossz próbálkozást hamar visszadob, míg egy majdnem jót gyorsabban, időre konvertálja az egyezést. (Ha már az első betű eltér: gyors válasz. Ha csak a tizedik: lassabb válasz.)
Nincs olyan, hogy nem értesz hozzá, informatikában nincsenek olyan dolgok, amit ne lehetne felfogni úgymond érettségivel. Lehet, hogy egy mozaik elemet nem értesz (pl. én nem értem a _matekját_ annak, hogy mitől jó egy hash algoritmus), de a teljes kép megértését ez nem gátolja.
Hogyne, azt akartam kifejezni, hogy nem mélyedtem bele jobban a témába mint egy közepes felhasználó. Olvastam róla, voltam tanfolyamokon ahol beszéltek érintőleges témákról, etc. De nem álltam neki törőprogramot írni otthon kíváncsiságból. 😄
Na persze, csak akkor, ha ténylegesen így történik a jelszó egyezés megállapítása, manapság már nemigen, vagy ha mégis, az első nem-egyezés után is még végigmennek a többi karakteren is, hogy ne legyen időeltérés. Amúgy nagyon rövid idő, kicsi az eltérés, de mégis kitapogatható.
Nem kell hozzá programozni tudni, hogy megértsed, miért nem plusz adat az ikon-hash kijelzés.
Sokan vannak, akik el tudnak beszélgetni mindenféle témáról, és ettől már programozónak érzik magukat, de nem tudnak egy sor programot megírni, non-programming programmers, vicces téma.
😄
Igaz. Ugyanakkor véleménye mindenkinek mindenről lehet, így beszélgethetnek is róla, miért is ne. És nyilván mindenki a saját megértési foka alapján fog véleményt formálni. A nemtudás önmagában nem baj, a további tudás elsajátításának a visszautasítása az. (szerintem.) 😉
Es ha tobb domain van? Telefonszam? Felhasznaloi nev? Token? Pin? Ha mindezt a logikat a frontendbe kellene beleepiteni es az osszes lehetseges urlapmezot megjeleniteni egy oldalon, akkor az lenne a zavaro. A jelszokezelok es hardveres kulcsok eleg jol elboldogulnak ezzel is.
Slack esetében láttam ezt leginkább. A Magic link talán a neve? De ott én annyival magyaráztam meg, hogy szerintem sok céges alkalmazott a jelszavait fél/évente írja be belépéshez. Sokan azt sem tudják mi volt a jelszó, mert nem heavy user. De ugye 8+ karakter kell. 🤷🏼♂️
Mert nem kell különválasztani a regisztráció és login flowt. Beírod az e-mailt, ha nincs ilyen regisztrálva, akkor elkezdi a reget, ha van, akkor login. A password managerrel nem barát, de nem teljesen ördögtől való.
ennél csak a “nyomj a linkre az emailben hogy bejelentkezz” című tumblr/slack faszság idiótább ötlet, mert értem én hogy Gmail-en 15 secen belül megjön a push, de push email nélkül ez 1-2 perc, és jelszó managerből kitöltöm a jelszavamat amúgy 1 sec alatt.
For example, the site can check if the account has enabled two-factor authentication and, if not, require a CAPTCHA for login. The two-page design also makes it harder for bad actors to create phishing sites with look-alike login pages when there is a page redirect involved.
Ez a magyarazat szerintem jol lefedi, plusz… a Google is ezt csinalja. Igy talan sokan le is masoljak.
Katalin O liked this Status on twitter.com.
Rage liked this Status on twitter.com.
Pont az ellenkezője: talán a Lotus Notes-nek volt olyan megoldása, hogy a jelszó betűinek a beírásakor az addig beírtakból képzett egy hash-t, négy ikonnal megjelenítve (nap-virág-kalap-kutya). Ha elrontottad, nem a megszokott sor látszott, még enter nyomása előtt észlelted.
Viszont így nem is kell jelszót tárolni semmilyen formában és két faktoros auth.
Ez aranyos, de mivel visszajelzést ad a próbálkozónak, segíti a brute-force támadást… 😕
csodás meg minden, de szerintem először legyen használható, aztán secure. Mert érted, ennek az a maximuma, hogy egyáltalán nem engedjük belépni a felhasználót sehogy, na az teljesen secure, problem solved.
Ez sok cégnél azért van, mert mondjuk ha céges email címet írsz be, akkor a céges SSO oldalra irányítanak át, mert ott lépsz be, de ez csak akkor lesz világos számukra, ha már beírtad az email címet.
Csak ha a próbálkozó is ismeri a helyes ikonsort.
Igen, például. De mindenfajta visszajelzés segítséget nyújthat.
Hát akinek nehézséget okoz egy phising site-on a redirectet betenni a login flowba, az nem is sok adatot fog ellopni. 😂
Egy sima hash képzés semmiféle segítséget nem jelent. Olyan, mintha kiírnád az addig begépelt jelszó hosszát; ha tudod a jó jelszó hosszát, nagy segítség, ha nem, semmi.
Nagyobb biztonsági rés, ha a jelszó utolsó karakterét mindig mutatja fél másodpercig, mobilon láttam ilyet.
Jobb helyeken úgy csinálják, hogy ott van az email / pass mező is by default, és ha olyan címet adsz meg, ami sso, akkor a pass eltűnik. Ennél sokkal idegesítőbb, amikor a pw manager nem ismeri fel a login formot és állandóan új jelszót akar generálni kitöltés helyett (elmű pl).
Szerintem az egyszeru botok ellen van.
hslaszlo liked this Status on twitter.com.
DuDe liked this Status on twitter.com.
Engem meg nem tanítottak, hanem belegondoltam. A (próba)jelszó->hash képzés során nem kerül semmilyen információ a képletbe. Ha tudod a felhasználói nevet, vagy bármilyen paraméterét, vagy a jelszóét, az segít. Ha a próbálkozás során jön extra infó, pl. response time, az is.
🙂 remek.
Nem tudok semmit sem mondani erre, mert nem értek jobban a témához.
A response time-ban ott van az extra infó, hogy a jelszót csekkoló program ismeri a jó jelszót, és egy rossz próbálkozást hamar visszadob, míg egy majdnem jót gyorsabban, időre konvertálja az egyezést. (Ha már az első betű eltér: gyors válasz. Ha csak a tizedik: lassabb válasz.)
Nincs olyan, hogy nem értesz hozzá, informatikában nincsenek olyan dolgok, amit ne lehetne felfogni úgymond érettségivel. Lehet, hogy egy mozaik elemet nem értesz (pl. én nem értem a _matekját_ annak, hogy mitől jó egy hash algoritmus), de a teljes kép megértését ez nem gátolja.
ooooh, makes sense. 🙂😁😃
Hogyne, azt akartam kifejezni, hogy nem mélyedtem bele jobban a témába mint egy közepes felhasználó. Olvastam róla, voltam tanfolyamokon ahol beszéltek érintőleges témákról, etc. De nem álltam neki törőprogramot írni otthon kíváncsiságból. 😄
Na persze, csak akkor, ha ténylegesen így történik a jelszó egyezés megállapítása, manapság már nemigen, vagy ha mégis, az első nem-egyezés után is még végigmennek a többi karakteren is, hogy ne legyen időeltérés. Amúgy nagyon rövid idő, kicsi az eltérés, de mégis kitapogatható.
A soha véget nem érő “harc”: a hackerek réseket keresnek a biztonsági szakértők meg próbálják betömni azokat. 😁
És rések mindig vannak.
Nem kell hozzá programozni tudni, hogy megértsed, miért nem plusz adat az ikon-hash kijelzés.
Sokan vannak, akik el tudnak beszélgetni mindenféle témáról, és ettől már programozónak érzik magukat, de nem tudnak egy sor programot megírni, non-programming programmers, vicces téma.
😄
Igaz. Ugyanakkor véleménye mindenkinek mindenről lehet, így beszélgethetnek is róla, miért is ne. És nyilván mindenki a saját megértési foka alapján fog véleményt formálni. A nemtudás önmagában nem baj, a további tudás elsajátításának a visszautasítása az. (szerintem.) 😉
Es ha tobb domain van? Telefonszam? Felhasznaloi nev? Token? Pin? Ha mindezt a logikat a frontendbe kellene beleepiteni es az osszes lehetseges urlapmezot megjeleniteni egy oldalon, akkor az lenne a zavaro. A jelszokezelok es hardveres kulcsok eleg jol elboldogulnak ezzel is.
boldizar liked this Status on twitter.com.
Szabó L. Balázs liked this Status on twitter.com.
Patti. liked this Status on twitter.com.
Ez így van. A kényelem és a biztonság nem igazán kompatibilisek.
Slack esetében láttam ezt leginkább. A Magic link talán a neve? De ott én annyival magyaráztam meg, hogy szerintem sok céges alkalmazott a jelszavait fél/évente írja be belépéshez. Sokan azt sem tudják mi volt a jelszó, mert nem heavy user. De ugye 8+ karakter kell. 🤷🏼♂️
Jogos, de cél a nehezítés. 😀
1Password szintén.
David Ebert liked this Status on twitter.com.
Mert nem kell különválasztani a regisztráció és login flowt. Beírod az e-mailt, ha nincs ilyen regisztrálva, akkor elkezdi a reget, ha van, akkor login. A password managerrel nem barát, de nem teljesen ördögtől való.
És arról mikor szokunk le, hogy a jelszavak hosszát 16-22 karakterben korlátozzuk? Legyen korlát, de pl 100 karakter alatt minek?
Ha te látod, hogy van értelme, kérlek áruld el, hogy mi az!
Annak van értelme hogy minimálisan X karakter. Felső korlátozás értelmét én nem látom.
Igen volt ilyen is benne tényleg, de ez az IBM termék is elromlott időközben, pedig én szerettem. #ibm #lotusnotes #lotusdomino
Bezzegh Ferenc liked this Status on twitter.com.