tohle je prispevek na troll level 1. sorry. Kazda prihlasovaci metoda ma sve limitace a nikdo nerika, ze qr prihlasovani by melo heslo plne nahradit. Ono to heslo ma limitaci v lidske pameti a u duchodce muze byt velice limitujici. Pokud vnoucek svemu dedovi poridi levny smartphone zvysi jeho bezpecnost milionkrat.
1) ne - neni problem si rozjet vlastni server ze zdrojaku, staci
git clone
make all
qrlogin.cz použijete jen pro nějaké weby v phpku, nebo i js-only weby, kde nemáte vlastní server - což už není problém, qrlogin poběží na nejlevnějším cloudovým serveru
2) prostředník nahrazuje aplikaci. I u aplikace máte prostředníka (jejího programátora mající v rukou silný nástroj, tedy update). QRlogin vyžaduje jen čtečku a prohlížeč
2.a) Volil jsem nejjednoduší řešení použití systému podepisování zpráv v bitcoinu, hlavně kvůli snadno dostupné knihovně a obecně použití ECDSA jako bezpečnější platforma než třeba RSA/DSA
Cílem bylo také maximální soukromí. Žádné vázání na e-mail, žádné ověřování osob. Tohle je věc registrace k service providerovi. QRlogin zajištuje pouze bezpečný "token", který jde v případě potřeby rychle smaza.
Případné další otázky odpovím na e-mailu nebo na githubu v issue trackeru
rozumim tomu spravne, ze je to autentizace pres prostrednika server qrlogin.. to je podle me kamen urazu vsech procesu (google, facebook apod.)
Reseni se mi docela libi, ale proc tam musi byt ten prostrednik... mohla by byt aplikace v mobilu, kam nahraju svuj privatni klic... napr. lze pouzit PGP, public klice se daji automaticky dohledavat podle emailove adresy, je zpracovany revoke pri odcizeni...
tedy na sluzbu kam se prihlasuji zadam email, sluzba si najde muj public klic podle emailu... na obrazovce mi zobrazi ctyri cisla k opsani (nebo vygeneruje qrkod na naskenovani)... napisu/oskenuju do aplikace, ta udela http pozadavek na sluzbu, ktera pres push posle prohlizeci, ze ma nacist stranku po prihlaseni
v cele veci vystupuji jen ja a sluzba... zadny prostrednik, pokud nepocitam server ktery uklada PGP klice (to uz je pro email vyresene)
implementacne je to pro sluzbu slozitejsi, ale pripravene knihovny by to mohli zjednodusit.. mozna ani ten push by tam nemusel byt, proste by login stranka ajaxem kazdou 1s checkovala zda doslo k overeni
je v tomto procesu nekde chyba?
smrt heslům!
V několika projektech jsme implementovali alternativní možnosti:
- přihlašování pouze přes odkaz v emailu (stačí prokliknout i v mobilu a web si to zjistí a pustí tě dál)
- přes 2FA aplikaci alias to řešení popsané v článku
- přes 2FA sms po zadání tel. čísla místo loginu
- přes klientské certifikáty
- přes HW klíčenku
I OAuth přes google, facebook, twitter je mnohem snadnější než heslo. Bohužel zatím nemám jednoduché řešení pro sdílení identit (typicky, když potřebujete sdílet přihlášení dané klientem mezi více lidmi nebo celým týmem), existuje pár služeb, ale zatím to je takové neslané, nemastné.
Přijde mi, že se to tak trochu tluče. Na jednu stranu je to mířeno na ty nejobyčejnější netechnické uživatele a na druhou je to poměrně složité na nastavení a údržbu v případě, že se číslo změní. Pokud by to nebylo jen u Yahoo, znamenalo by to přeregistraci telefonu u X služeb a kdoví jak ten systém bude složitý/jednotný, když tu přeregistraci budu dělat až v momentě, kdy staré číslo nebude k dispozici. Pro BFU je prostě 100x jednodušší používat petr@yahoo.com / petr123.