One ring to rule them all или аутентификация через TeddyID

в 19:06, , рубрики: lastpass, OpenID, TeddyID, аутентификация, Веб-разработка, информационная безопасность, Мобильный веб, связка ключей

One ring to rule them all или аутентификация через TeddyID - 1
Недавно меня попросили высказать свое мнение по поводу нового сервиса, который обещает решить все проблемы пользователей-склеротиков, увеличить шелковистость волос и значительно снизить риски связанные с кражей пароля. Основная концепция системы заключается в избавлении пользователя от необходимости помнить свой пароль для аутентификации и параллельно увеличить безопасность за счет двухфакторной аутентификации. Также сервис предлагает «полуторафакторную аутентификацию», которая представляет из себя вариант LastPass. Заинтересовавшись, я решил рассмотреть все плюсы и минусы такого подхода с точки зрения пользователя-гика. Сразу оговорюсь, что я не являюсь экспертом в области информационной безопасности, поэтому прошу простить заранее возможные неточности.

Пользовательское соглашение

Как истинный параноик и сторонник открытого ПО, я начинаю знакомиться с подобными вещами именно с пользовательского соглашения. Бегло просмотрев текст и убедившись, что компания традиционно ни за что не отвечает, взгляд зацепился за три ключевых момента:

  1. Компания наша, российская. Зарегистрирована как ООО «Платформа Матрица». В принципе, ничего особого в этом нет, но возникают определенные риски доверия. Доступ к ресурсам и личной информации может быть несколько «расширен» для неопределенного круга лиц из-за особенностей административного ресурса в нашей стране.
  2. Пользователь осознает, что информация о себе, которую Пользователь вводит на сайтах Компании Матрица или иным образом передает Компании Матрица, может становиться доступной для других Пользователей услуг Компании Матрица и пользователей Интернета, может быть скопирована и распространена такими пользователями;

    Этот пункт откровенно смутил. Что относится к такой информации, почему она должна стать доступной непонятно кому? Возможно юристы перестраховались.

  3. Традиционный пункт про изменение правил в любой момент с оповещением в виде изменения соответствующей страницы на сайте. То есть, некие пункты могут внезапно видоизмениться.

В принципе ничего особо критичного, но доверяя доступ третьему лицу, хочется большей прозрачности в договоре.

Основные особенности и возможности

Вспоминаем ТРИЗ и концепцию идеального конечного результата: самое эффективное решение проблемы — такое, которое достигается «само по себе», только за счёт уже имеющихся ресурсов.
Какая основная проблема у большинства обычных пользователей с аутентификацией на разных ресурсах? Необходимость помнить множество различных паролей или использовать один и тот же, снижая безопасность. А хочется, чтобы как-то само все работало.
Сервис как раз и помогает решить эту проблему раз и навсегда за счет использования мобильного приложения. Вместо традиционного ввода логина/пароля на сайте вы получаете запрос на сопоставление изображений на мониторе ПК и на телефоне. Один клик и вы внутри.
One ring to rule them all или аутентификация через TeddyID - 2
Собственно, именно это я и немедленно проверил, зарегистрировавшись на сайте. Кстати, крайне порадовала система регистрации. Минимум ненужных телодвижений со стороны пользователя, никаких нудных анкет. Вы устанавливаете приложение и сканируете QR-код, после чего аккаунт считается созданным. Впоследствии, вы можете добавлять дополнительную информацию, верифицировать почтовый ящик и так далее. Все это служит цели повышения уровня безопасности.

Для интеграции TeddyID предлагается использовать несложный API. В итоге пользователь получает возможность зайти под своим аккаунтом в один клик.
One ring to rule them all или аутентификация через TeddyID - 3
Также создатели сервиса обещают простую интеграцию в рамках CMS Bitrix и WordPress в виде плагинов.

«Полуторафакторная аутентификация»

Если по каким-то причинам полноценная интеграция сервиса невозможна, то TeddyID предлагает своеобразный вариант LastPass. Для добавления на сайт достаточно внести в код страницы следующий скрипт:

<script src="https://www.teddyid.com/js/teddypass.js" async></script>

В этом случае TeddyID будет работать как менеджер паролей. Во время логина пользователю будет предложено сохранить пароль, а во время регистрации Teddy сгенерирует для пользователя сложный невзламываемый пароль. Пароли хранятся в зашифрованном виде, а ключ для расшифровки паролей сохраняется в браузере пользователя, и пароли расшифровываются в браузере пользователя лишь в момент когда они используются. Таким образом, даже Teddy никогда не видит пароля пользователя в расшифрованном виде.

Основное отличие от того же зашифрованного хранилища в Firefox, Keepass, LastPass в том, что пользователю нет нужды помнить даже мастер-пароль. Взамен он получает все ту же систему сравнения идентичности картинок на телефоне и ПК.
Сравнение двух вариантов использования:
One ring to rule them all или аутентификация через TeddyID - 4

Субъективные ощущения от использования

Первое впечатление от работы системы — очень высокая отзывчивость. Приложение реагирует практически мгновенно на попытку входа, задержка на домашнем канале не более полусекунды. Проверяем работу в отсутствие интернет-канала:
One ring to rule them all или аутентификация через TeddyID - 5
Здесь принцип работы идентичен приложению Google Authentificator. Пин-код генерируется каждые 30 секунд на основе случайного зерна, полученного при первичной регистрации приложения. Из минусов — цифры мелковаты, а площадь экрана пропадает впустую. Не слишком удобно, но работает. Синхронность ключей обеспечивается точным соответствием времени на сервере и устройстве. Для особо забывчивых существует возможность входа с помощью пароля.
При дальнейшем изучении был несколько разочарован предельно упрощенным мануалом. Я не слишком приветствую современную тенденцию скрывать от пользователя информацию, чтобы он случайно не перенапрягся и не испугался. Найти какую-то внятную документацию, wiki, примеры использования, даже разбор пунктов меню личного кабинета так и не получилось. Проект молодой, но мне кажется, что новые пользователи должны сразу же легко находить ответы на все интересующие их вопросы.
Например:
One ring to rule them all или аутентификация через TeddyID - 6

или

One ring to rule them all или аутентификация через TeddyID - 7
Здесь явно присутствует расширенный функционал предназначенный для увеличения безопасности бизнеса, ЭЦП и прочие плюшки. Но зачем мне это в основном разделе личного кабинета как обычного пользователя? Кто все эти контрагенты и прочие сущности? Ответы, видимо, спрятаны где-то в неочевидных разделах сайта.

Кризис доверия

One ring to rule them all или аутентификация через TeddyID - 8
Я думаю все из нас помнят компрометации iCloud-аккаунтов, получившие ироничное прозвище The Fappening. Почему я об этом вспомнил? Знаете, есть мнение, что ключница — это лучший способ потерять все ключи одновременно.
Когда мы доверяем все наши ключи и пароли стороннему сервису, мы хотим быть абсолютно уверены в его безопасности. И, когда даже такие монстры IT-рынка как Apple допускают проколы в обеспечении безопасности данных, то завоевать доверие новых пользователей стартапу будет очень непросто. Да, средний юзер беспечен и имеет гладкую кору головного мозга невнимателен. Но постоянные события, связанные с утечкой данных, заставляют беспокоиться даже людей, работающих в интернете не приходя в сознание. Молодой компании предстоит немалая работа по обеспечению действительно высокого уровня прозрачности и надежности хранения ключей.

Целевая аудитория

One ring to rule them all или аутентификация через TeddyID - 9
На мой взгляд до сих пор не очень понятна целевая аудитория сервиса. Среднестатистический пользователь живет в персональном аду среди Яндекс-баров, Guard'ов, поисковых панелей и прочего мусора. А в качестве пароля использует свой день рождения. Для того, чтобы захотеть воспользоваться удобством и безопасностью двухфакторной аутентификации нужно хотя бы на секунду об этом задуматься. Но среди таких пользователей подобная «задумчивость» почти не встречается. Большинство из них искренне исповедует лозунг «У меня нет ничего интересного, кому я нужен?». Также они обычно искренне верят в злобного хакера, который будет по ночам персонально взламывать его страничку в Одноклассниках. В результате, такие пользователи пополняют дружные ряды узлов бот-нета.
Другая, меньшая часть населения сети, сурова и бородата. Красные глаза бесстрастно взирают на логи, мелькающие в консоли… Подобные пользователи, как правило, прекрасно понимают основы безопасности в сети и редко отдают заботу об этом кому-то постороннему. Убедить их, что использование телефона в качестве средства доступа лучше, чем шифрованная база KeePassX, синхронизируемая через любовно настроенный owncloud, будет непросто.
При этом явно чувствуется направление монетизации в сторону услуг для бизнес-проектов. В результате, достаточно непросто понять направление развития проекта в ближайшей перспективе.

Распространенность TeddyID

Практически никакая. Стартап сейчас находится в типичной ситуации, когда даже хорошее и удобное начинание с огромным трудом завоевывает первых пользователей. Даже если вы сейчас вложите огромные деньги и создадите самую удобную в мире социальную сеть, то Facebook догнать будет практически невозможно. Окно возможностей ушло. Проект предлагает действительно интересную концепцию, которая позволяет удобно и безопасно осуществлять доступ, но в качестве конкурентов выступают такие гиганты как тот же Facebook, Google и другие, которые предлагают пользователям удобную авторизацию без использования пароля. Поэтому команде проекта предстоит не только убедить добавить интеграцию своей системы наиболее крупные площадки, но и убедить пользователей, что они удобнее и безопаснее чем Google+, интегрированный уже, по-моему, в каждый чайник.

В целом, мне понравился проект, но чувствуется, что предстоит еще немало работы, пока он заживет полноценной жизнью.

Автор: Meklon

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js