un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
Acestea mă scot din sărite pentru că folosesc cât de mult pot amprenta ca mijloc de autentificare tocmai ca să nu mai rețin o mulțime de parole. Aplicațiile și dispozitivele, însă, au alte planuri.
Dacă trec mai mult de 24 de ore între deblocări, tableta mea îmi cere parola, nu se mai mulțumește cu amprenta. Degetul este ok până la maxim 23 de ore și 59 de minute. Telefonul face la fel, din când în când vrea parola fără nici un motiv bun dincolo de “așa vreau eu”.
Am pățit inclusiv să deblochez de trei ori în același minut telefonul cu amprenta, iar a patra oară, la propriu la 15 secunde după ultima deblocare, să-mi ceară PIN-ul. Nu se mai mulțumea doar cu amprenta.
I-am înrolat amprenta Matildei în telefonul meu tocmai ca să-l poată debloca dacă vreodată este vreo urgență și-l are pe al meu în preajmă și, când a încercat asta odată, telefonul i-a cerut PIN-ul, nu amprenta.
Același lucru se întâmplă și prin aplicații, de exemplu în ING Homebank. Poți activa autentificarea cu amprenta, dar pentru unele operațiuni aceasta nu este suficientă și ți se cere și parola.
În mintea mea, amprenta este mai sigură decât o parolă. Șansele ca cineva să-mi fure telefonul și să aibă o amprentă foarte similară pentru a păcăli sistemul sunt infime. Șansele ca cineva să-mi vadă parola în timp ce o introduc sunt, însă, mult mai mari.
Faptul că dispozitivele și aplicațiile au însă astfel de mecanisme suplimentare de protecție îmi dă de gândit că poate ne-au păcălit în tot acest timp, că poate recunoașterea amprentei nu este o metodă sigură și atunci preferă această verificare periodică suplimentară. Caz în care aș prefera să știm asta. Producătorii ori renunță la amprentă, ori o fac 100% safe și nu mai trebuie să reținem 15.000 de parole.
De ce? V-a spart cineva baza de date între timp? Nici măcar nu știți asta și ați ales ca la 3 luni să cereți altă parolă oricum?
Consecința este că nu mai rețin parola. Am știut-o pe prima, pe a doua, pe a treia… am încercat să le fac cât mai complexe, dar la un moment dat nu mai am idei. Ajung la o parolă atât de complexă încât îmi este imposibil să o mai rețin, așa că ori o notez, ori o uit de tot și dau recover password de fiecare dată când vreau să folosesc acel serviciu, ceea ce este stupid.
Banca Transilvania este de genul acesta, de exemplu.
Am intrat recent pe un site de rețete culinare și pac, am fost întrebat de browser dacă vreau sau nu să mă abonez la notificări push de la acel site.
Mai nou, aproape orice site, indiferent că-i magazin online de nișă, agregator de rețete sau site de review-uri de aspiratoare vrea să trimită notificări, deși nu are nici un motiv bun să facă asta.
Sistemul de notificări prin browser nu-i rău, dar când toți îl folosesc și pe orice site trebuie să închizi pop-up-ul care te întreabă dacă le vrei, apăsarea pe Block intră în reflex, iar asta va dăuna exact site-urile de la care poate ai vrea notificări.
Eu, de exemplu, am vrut să le implementez pe blog pentru ca cei interesați să afle direct în browser când am postat un articol nou. 3 notificări pe zi, celor care optează pentru ele, n-ar fi fost mare lucru. N-am mai făcut-o pentru că avalanșa de așa ceva stârnește în acest moment reacții adverse.
Intri pe un site și, în secunda următoare, apare un overlay cât jumătate de ecran ce-ți cere să dai like paginii. De ce să dau like? Abia am intrat, lasă-mă să citesc vreo 3 articole, să revin 2 zile la rând și abia apoi sugerează-mi să dau subscribe. I don’t subscribe on the first date, ca să zic așa.
Alte site-uri afișează acel overlay când duci mouse-ul pe tab-ul lor, în partea de sus a browserului, cu gândul că vrei să-l închizi. Doar că, de cele mai multe ori, duci mouse-ul pe acolo din greșeală sau pentru că vrei să dai click sau să închizi un alt tab.
Apropo de Facebook, am tăiat o secundă din timpul de încărcare a blogului renunțând la box-ul oficial de like de la Facebook. Am pus în sidebar un link chior către pagina blogului, dacă vrea cineva să o acceseze, iar scripturile eliminate cu această ocazie au scos o grămadă din dimensiunea și timpul de încărcare a paginii. Mă întreb dacă cei ce implementează trei pop-up-uri și cinci mesaje de tipul “dă-mi un like” s-au gândit dacă nu cumva pierd mai mult pe partea de încărcare și enervare a cititorilor.
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Formula 1 în China: Mercedes mă dezamăgește, plus înjurături între piloți
Articole interesante de citit astăzi – 21 aprilie 2024
Cîrstoiu out, Piedone intră în linia dreaptă
Camerele 360 de grade ajung la senzori 8K
Motorola a prezentat Edge 50 Ultra și Fusion, plus căștile Buds+, la prețuri foarte bune pentru ce oferăCopyright © 2006 - 2020 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
29 comentarii
21/08/2020 la 6:35 AM
Legat de anprenta, nu se face recuniasterea cu o acuratete foarte mare. Legat de schimbarea parolei la 3 luni face parte din bunele practici din cyber security, e scrisa la manual.
Cata(Citează)
21/08/2020 la 9:43 AM
Erau bune practici acum 30 de ani cand puteai sa ai parola de maxim 8 carctere alfanumerice. Acum cele mai bune practici recomanda sa nu mai fortezi utilizatorii sa-si schimbe parolele.
sin(Citează)
21/08/2020 la 9:49 AM
Firma la care lucrez si-a schimbat recent politica. De la o parola de minim 8 caractere schimbata la 1,5 luni au trecut la o parola de 12 caractere schimbata la 6 luni, adaugand niste restrictii. Mi se pare mult mai safe si muuuuult mai convenabil.
Giani Mucea(Citează)
21/08/2020 la 7:29 AM
Folosește un password manager ca să nu-ți mai bați capul cu asta cu parolele. LastPass și 1Password sunt ok.
Cristina(Citează)
21/08/2020 la 7:32 AM
Obligativitatea schimbarii parolei dupa o perioada nu mai e de ceva vreme o buna practica pentru ca nu face decat sa promoveze folosirea parolelor slabe. Si nu zic eu asta ci o zice NIST (https://pages.nist.gov/800-63-3/sp800-63b.html#sec5): Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
@Radu, foloseste un password manager daca nu folosesti deja si nu o sa mai ai probleme cu uitatul parolelor. Eu am folosit initial KeePass2 si ulterior am cumparat un abonament “de familie” la 1Password si face toti banii.
etk(Citează)
21/08/2020 la 7:42 AM
Ai uitat de GDPR și cookies consent.
Opțiuni care sunt degeaba, rar chiar poți sa alegi cookies și altfel oricum e pierdere de timp.
Mihai(Citează)
21/08/2020 la 7:44 AM
“I-am înrolat amprenta Matildei în telefonul meu tocmai ca să-l poată debloca dacă vreodată este vreo urgență și-l are pe al meu în preajmă și, când a încercat asta odată, telefonul i-a cerut PIN-ul, nu amprenta.” – In cazul asta nu mai bine ar sti parola sau modelul de deblocare al ecranului.
Poți activa autentificarea cu amprenta, dar pentru unele operațiuni aceasta nu este suficientă și ți se cere și amprenta.” – Cred ca e typo si ai vrut sa zici ca-ti cere parola/PIN-ul. :)
Radu-Mihai(Citează)
21/08/2020 la 8:15 AM
Eu am citit undeva, clar ca nu mai retin unde, dar faptul că iti cere pin-ul din când în când, este o facilitate si nu un bug. Se considera ca poti fi forțat/drogat/adormit etc si degetul poate atinge senzorul de amprenta in acesta situatie. Mai sigur este un cod pin, pe care trebuie sa-l dezvălui unui terț rău intenționat sau sa fi conștient in momentul introducerii acestuia. Ia ING trebuie confirmat cu cod pin orice tranzacție din homebank iar la plati contactless parca dupa un anumit nr de plăți (10?) iti cere si codul pin. Bine, aici este o încercare de a limita o folosire neautorizata in momentul pierderii cardului.
Coco Moll(Citează)
21/08/2020 la 8:16 AM
Treaba cu schimbatul parolei imi scoate si mie peri albi. La munca, pentru fiecare proiect am cate o camera de date, aleasa de client. Ajung sa folosesc cam 7-8 provideri de camere de date, fiecare cu parola ei care expira la 3 luni. Din cauza politicii de securitate, nu pot nici sa dau “save password” in browser, asa ca trebuie sa o reintroduc mereu. Iar cand dau “forgot password”, incepe a doua distractie: raspunsul la intrebarea de securitate. Oare ce am raspuns, oare cum am scris, etc.
Horror si inutil daca ma intrebi pe mine, pt ca asa cum zicea cineva mai sus, daca nu ar fi trebuit sa o schimb mereu, puneam o parola de statea mata in coada, dar asa folosesc cele mai intuitive parole, in speranta ca o sa mi le amintesc peste 3 luni.
A.(Citează)
21/08/2020 la 8:25 AM
Poate citesc aia de la banca transilvania pe aici sa vada ca e stupida obligarea utilizatorilor sa schimbe parola la 3 luni. Cred ca ar fi mai bine sa lase optiunea clientului daca vreau sau nu vrea sa-si schimbe parola. Partea proasta e ca nu poti reveni la o parola pe care ai mai folosit-o.
beb(Citează)
21/08/2020 la 8:42 AM
Telefonul meu imi cere pin la 72 de ore si zice ca face asta ca sa nu o uit (Xiaomi).
Eu sunt ok cu asta, mi se pare o chestie desteapta.
Celelalte 2 puncte sunt de acord ca-s enervante.
Apropo de parole, am ajuns sa am fix aceeasi parola la toate site-urile neesentiale, doar la alea gen google am parola diferita (evident aceeasi :-)). Trebe sa ma mobilizez cu pass manager, dar nu cred ca mai pot schimba acum parola pe zeci sau sute de site uri.
Marean(Citează)
21/08/2020 la 8:53 AM
Macar sa fie una puternica. Asa nu prea ai de ce sa-ti faci griji.
varucu(Citează)
21/08/2020 la 9:04 AM
Xiaomi cu aplicatia lor XIaomi Home te pune sa te reloghezi destul de dez. Ma pomenensc mai mereu cand vreau ca sa dau drumul aspiratorului ca mai intai trebuie ca sa ma loghez, lucrul destul de enervant.
XYZ(Citează)
21/08/2020 la 9:34 AM
@XYZ am observat si eu ca MiHome imi cere sa ma reloghez din cand in cand, dar mie mi-a salvat google credentialele, deci nu tb sa le tin minte sau sa le scriu de fiecare data
Marean(Citează)
21/08/2020 la 11:53 PM
E o mare greseala sa ai aceeasi parola la mai multe site-uri, oricat de puternica e. Motivul e simplu – multe site-uri au fost sparte si parolele furate. Iti dai seama ca e foarte usor pentru pirati sa-ti acceseze toate conturile care au aceeasi parola.
Poti vedea aici ce site-uri care au contul tau au fost sparte. Si in setari in Chrome am vazut ca verifica ce parole au fost sparte. Te vei ingrozi cand vei vedea ce multe sunt.
https://haveibeenpwned.com/
thundermar(Citează)
21/08/2020 la 9:40 AM
Surprinzator, nu prea da nimeni 2 bani pe securitate, pe blogul de tehnologie.
Incercati la stat, acolo e pe password never expires.
Foorysh(Citează)
21/08/2020 la 9:49 AM
Sony-ul meu îmi cere patternul la fiecare restart. Am înțeles că treaba a pornit de la faptul că prin State poliția, dacă vrea să îți deblochezi telefonul, nu te poate obliga să le dai parola / modelul (celebrul “you have the right to remain silent”), în schimb justiția a considerat că poți fi obligat să pui degetul pe senzor, acolo nefiind vorba de “mărturisit” ceva care să te autoincrimineze.
alunelu(Citează)
21/08/2020 la 12:38 PM
Inculpatul s-a impiedicat si a cazut cu degetul pe senzor onorata instanta!
Dex(Citează)
21/08/2020 la 9:51 AM
Overlayurile mă scot din minți. In special siteurile alea care au mari multe, și apar întotdeauna pe rând. Mai întâi unul de cookies, după aia unul de newsletter so după încă unul de subscribe.
Em(Citează)
21/08/2020 la 12:27 PM
subscriu la toate.
pun aici si cookies
rivi(Citează)
21/08/2020 la 12:30 PM
Banca Transilvania este de genul acesta, de exemplu.
Am zis ca-s eu mai cu probleme…dar efectiv am patit la fel, acum nu mai stiu ce naibii parola am….fa-o de 10 caractere cu 3 numere cu 3 stelute si s-a dus pe apa sambetii. in schimb in aplicatie pot sa pun parola 4 cifre =)) acolo merge, pe browser nu.
Jimmy(Citează)
21/08/2020 la 12:42 PM
Mai nou am incetat sa apas pe butonul mare si verde de “Accept all cookies”, ca sa profit si eu de ceva de pe urma UE. Ma jur ca ecranele alea sunt facute de experti de talie mondiala. Daca nu esti atent, dupa ce ai debifat tot, sigur apesi pe “Accept all and close”. Tipul ala de buton e pus intotdeauna in cel mai atractiv loc posibil pentru click, are cea mai misto culoare, etc.
Dex(Citează)
21/08/2020 la 2:39 PM
first world problems
GabrielG(Citează)
21/08/2020 la 5:37 PM
Motivul pentru care ți se cere parola după un timp e ca să nu o uiți. De asemenea, pe Android ți se cere parola la boot pentru că partiția e criptată iar cheia de decriptare e derivată din parolă (sau pattern-ul, după caz). Probabil nu poți folosi amprenta drept cheie de criptare deoarece astfel nu ai putea folosi decât un deget pentru deblocarea telefonului.
ov1d1u(Citează)
21/08/2020 la 7:32 PM
Așa e la iOS, pe absolut toate versiunile de la iPhone 5 încoace. La Android e opțional, din câte am citit.
dumy(Citează)
21/08/2020 la 6:17 PM
Subscriu la mizeria cu notificarile din browser. As dori sa dispara porcaria aia mai repede. Nu coita bleaga, nu vreau notificari de la tine. De ce as vrea? Ca sa ce ? Daca esti interesant intru eu din cand in cand, ma abonez la newsletter and shit.
Alea cu faceook sunt geniale. Prin anii 2000. Acum doar mizerii care irita. Cred ca am zeci de site-uri de pe care am iesit in secunda aia cand mi-a aparut porcaria.
Cu amprentele si parolele asta e. Eu chiar le uit de multe ori si e bine sa-mi fie si reamintite uneori.
jules(Citează)
21/08/2020 la 7:35 PM
Cred că cel mai important e să ai parole unice pe fiecare cont. În zilele noastre e mai ușor să acceseze DB-ul cu toate parolele decât să facă brute-force pe contul tău. Caz în care nu ajută o parolă puternică întotdeauna.
dumy(Citează)
22/08/2020 la 1:29 AM
o parola puternica nu ar trebui schimbata des.
daca e implementata o masura anti brute force (dupa 3 greseli penalizare timp, etc) si 2fa sau la incercare login de pe alt device, etc ..
in 2017 verificat gmail in ro seara.
a doua zi dupamasa gmail pe acelasi laptop in germania a trebuit sa bag otp de pe sms desi dezactivasem otp ca venea cam greu sms si stiind ca plec vroiam sa nu am surprize ..
exista si alte metode, nu doar schimbay parola ca ciorapii sau puse in lastpass (care parca a avut o bresa acum ceva timp)
sai na ne luam yubikey-uri
sau .. hitachi Finger Vein Authentication ..
dan(Citează)
28/08/2020 la 1:12 PM
Dar aplicația MyEnel care îți cere să te reautentifici când vrea ea nu te enervează? Sau aplicația de mobil (iOS) a lui ING care tot aleator nu ia primul touch de autentificare și trebuie să mai dai o dată cu degetul sau că decide să nu mai afișeze situația conturilor și trebuie s-o reinstalezi? Sau aplicația (iOS) Waze pe care n-o poți opri dacă ai telefonul cuplat la sistemul unei mașini cu Car Play? Sau că pică curentul atât de des? Sau că tensiunea la priză nu e de 230 ci de 209?
Alx MAX(Citează)