Odpověď na názor
Odpovídáte na názor ke článku Přihlašte se QR kódem.
-
Ondřej Novák (neregistrovaný)
@Jura: Naprosto souhlasím s tím, že problém autentizačních metod je jejich penetrace. Mohu na své stránky implementovat třeba SQRL a pak přesvědčovat uživatele, ať si stáhne aplikaci na store. "Proč?" bude se ptát uživatel, který má další tři podobné aplikace v telefonu. A to nepočítám další aplikace, které se umí přihlásit pouze na své servery.
Na druhou stranu nemyslím si, že FIDO má nějakou velkou šanci na úspěch. Možná, že se za něj postaví velké společnost, ale určitě každá si ho přihne na svou stranu, krásným příkladem je Google Authentifikátor, který sice používá TOTP a HOTP, ale pokud jej budete chtít použít univerzálně, zjistíte, že má dost omezení a vlastně neumí plně implementovat oba RFC. Přesto je populární pro jeho jednoduchost.
Přečtěte si pořádně celý článek. Všimněte si, že nemám ambice konkurovat velkým hráčům a nevymýšlím standardy. Dokonce - i pro mne nezvykle - jsem v celé implementaci nevymyslel jediný "svůj standard", používám výhradně existující standardy a právě z důvodu toho, aby se mi (snad) podařilo překonat tu nízkou penetraci, které bude čelit i FIDO - byť aliance je přeci jen v lepší pozici, oni to těm uživatelům a poskytovatelům natlačí silou.
QRlogin nevyžaduje žádnou speciální aplikaci na straně uživatele. Stačí pouhá čtečka QR kódu (standard) a prohlížeč (standard) schopný běhu javascriptu (standard) s podporou localstorage (standard) a komunikaci po https (standard). Použitá kryptografie staví na EC (standard) a používá algoritmy totožné jako u Bitcoinu (dnes už standard) Na straně poskytovatele služby pak stačí použít protokol OAuth 2.0 (standard) a na stránce IFRAME (standard). Samotná implementace do stránky poskytovatele služby nestojí žádné zdroje a minimum času a určitě si to své uživatele najde. Chápu ale, že programovat speciální aplikaci pro to by nízká penetrace mohla znamenat problém. Proto jsem to nedělal a k samotnému provozu to neni třeba.
PS: Napsal jsem FIDO do Google Play a nevypadl na mě žádný relevantní výsledek. Specifikace FIDA má 190 stran. Srovnejte to s RFC 6749 (OAuth 2.0) má 70 stran. Má zkušenost říká, že čím delší je popis, tím větší fail, zkráceně řečeno v jednoduchosti je síla
