Специализированный софт для компьютерных мастерских

Так уж получилось, что у меня почта на gmail. Можно попросить у Вас тестовый аккаунт, чтобы поглядеть на систему изнутри?

(ответить)

Логин: thinkit.ru.demo@yandex.ru
Пароль: demo

Особенности аутентификации и конфиденциальности информации

1. Полный уход от передачи ваших логинов и паролей по сети, и реализация альтернативного способа доказать что вы это вы. Открыто по сети летит только e-mail, и только один раз при регистрации. Пароль и пин-код передаются в виде хэшей с солью, формирующиеся перед отправкой формы на клиенте. Никаких ограничений на содержание пароля нет. С одной стороны это нехорошо, так как можно зарегистрироваться с паролем «1», с другой стороны отсутствие ограничений дает полную свободу при вводе данных и не парит сообщениями типа «В пароле должны быть заглавные буквы, ...».
Технически заложенная невозможность узнать какой вы вводите пароль, не дает сделать какие-то выводы о вашем выборе, хоть стихотворение Есенина впишите, это ваше личное дело.

2. Запрет всем браузерам сохранять вводимые вами данные, с целью не дать Вам случайно совершить слив информации о пароле той железяке, на которой осуществляется вход в закрытые разделы софта. Осуществляется это просто, у поля ввода пароля атрибут «type» имеет значение толкьо «text», а не «password». Эта мера запрещает браузеру запоминать пароль до его разрушения. При этом имя поля при каждой авторизации имеет разное значение в виде хэша,
поэтому даже насильное изменение типа поля и сохранение в браузере пароля не даст нужного вам результата, так как в следующий раз сохраненные браузером данные подставлены всё равно не будут.

3. Внедрение дополнительной, упрощенной, системы подавторизации посредством пин-кода, с тремя попытками, как в банковских системах. На пин-код также нет ограничений, и он тоже передается в виде хэша с солью. Это позволяет выполнив однажды вход в систему, не повторять авторизацию каждый раз, а перейти на более простой, не менее безопасный способ определения что вы это действительно вы. Время жизни идентификатора сессии установлено в одну неделю и на сервере, и в браузере, чтобы не мучить никого постоянными авторизациями парой логин/пароль. Просто блокируете после работы программу пин-кодом и идете домой, на утро она вас ждет в том же состоянии.

4. Введение системы односессионной аутентификации, с целью перехватить возможность открытия аккаунта с двух или более устройств. Данная схема позволяет прекратить работу случайно забытой в открытом состоянии программу, или закрыть доступ на украденном или потерянном устройстве авторизацией в другом месте.

5. Сокрытие от всех других пользователей программы наличия в базе Вашей учётной записи на таких страницах, как регистрация и восстановление пароля. Никто не «пробьет» зарегистрированы вы или нет, даже зная Ваш e-mail. При регистрации хоть есть e-mail в базе, хоть нет, ответная реакция сайта одна: «Инструкции отправлены на почту». При авторизации, система так же не сообщает ничего кроме: «Пара логин/пароль не верны».

Так что любой желающий, вошедший в тестовый аккаунт автоматически отбирает у вас демо доступ


Активировал вручную ваш аккаунт, с которого вы хотели зарегистрироваться.

(ответить)

Спасибо. Вашу статью на Хабре тоже внимательно почитал.
Желаю Вашему проекту побольше довольных пользователей.

(ответить)