24.04.2006
Wszystkie konta prezydenta
Mam na komputerze dokument, w którym trzymam listę swoich kont internetowych. Zawiera ona adresy serwisów i nazwy, pod którymi się w nich zarejestrowałem. Zazwyczaj też jest tam informacja, która pozwala mi odwtorzyć hasło, gdybym je zapomniał.
Potrzebuję listy kont, bo mam ich dużo, stosuję różne nazwy użytkowników (czasami jest to wręcz wymuszone), także zazwyczaj różne hasła, wreszcie — po prostu aby w razie czego móc wyczyścić po sobie śmieci; lubię porządek, a zwłaszcza kasowanie rzeczy, o których przekonam się, że są śmieciami.
Lista nie jest kompletna. Po pierwsze, zacząłem to spisywać w chwili, gdy już oczywiście nie pamiętałem o wszystkich swoich kontach. Poza tym od jakiegoś czasu nie wszystkie moje nowe konta tam trafiają. Nie liczyłem (trudno mi to w wygodny sposób zrobić, poza właśnie spisywaniem), ale szacuję, że w ciągu miesiąca przybywa mi średnio kilkanaście nowych kont w różnych serwisach, z których oczywiście w większości nie będę korzystał zbyt szybko. Część z nich kasuję zresztą zaraz po założeniu. Jestem w tym na tyle uparty, że nawet często piszę listy do administratorów z prośbą o usunięcie konta, bo często nie ma po prostu takiego elementu w interfejsie (nie wątpię, że zazwyczaj celowo) — jest tak na przykład w niektórych serwisach społecznościowych czy sklepach internetowych (jedne i drugie bardzo potrzebują dużej liczby użytkowników, rzecz jasna).
Lista ma obecnie 44 pozycje, ale aby była kompletna, musiałbym najpierw przejrzeć hasła zapisane w przeglądarce, czytniku poczty, serwerach postawionych lokalnie na moim komputerze, spisać wszystko. Potem przejrzeć del.icio.us, wreszcie wysilić pamięć, w jakich to sklepach internetowych robiłem zakupy, i miałbym prawie wszystkie. Oczywiście to wszystko jest związane z hasłami, ale mam na myśli same tylko konta.
Nie irytuje Was ta konieczność zakładania kont?
Mnie irytuje coraz bardziej, choć w gruncie rzeczy nie waham się podawać swojego e-maila, nie odczuwam kłopotów z zapamiętywaniem haseł, no i jako informatyk pracujący w Internecie jestem sprawny w korzystaniu z dużej liczby przydatnych narzędzi. A jednak ta konieczność zakładania kont powstrzymuje nawet mnie przed korzystaniem z różnych serwisów. Powoduje także, że chcąc wrócić do niektórych i nie znajdując nazwy użytkownika na liście swoich kont, liście robionej “ręcznie”, klnę na te przyjazne, “dostosowujące się” rozwiązania. Nawiasem mówiąc, zakładanie nowego konta dla każdego nowo napotkanego serwisu bardzo przypomina konieczność każdorazowego podawania wszystkich danych osobowych w formularzach krajowej administracji — nie wystarczy mój PESEL, musi być też nazwisko, adres, imiona rodziców, data i miejsce urodzenia, numer dokumentu i tak dalej, i tak dalej. To przecież tak, jakby za każdym razem zakładać nowe konto internetowe, na szczęście dane rzadziej się zmieniają…
W powyższym świetle pamięć przeglądarek, które gromadzą nawet tylko raz użytą parę login-hasło, i nawet po pół roku same to wstawiają w odpowiedni formularz, staje się dla mnie najważniejszą funkcją po wyświetlaniu strony i otwieraniu nowej zakładki…
Istotnym zagadnieniem w tym kontekście jest tożsamość elektroniczna, przez Dicka Hardta nazwana Identity 2.0. Jeśli chcielibyście, tak jak ja, musieć pamiętać jedno tylko hasło do wszystkich używanych przez Was serwisów i nie musieć za każdym razem podawać od początku wszystkich swoich danych w każdym kolejnym sklepie internetowym czy serwisie społecznościowym, obejrzyjcie koniecznie prezentację o Identity 2.0 wspomnianego pana Hardta — jest to wprowadzenie do koncepcji Identity 2.0, w dodatku prezentacja poprowadzona jest w rewelacyjnym stylu (który próbowałem imitować w lutym w Warszawie, co mi się częściowo udało, jak się później dowiedziałem od kilku słuchaczy :).
Korespondowałem nawet w sprawie łączenia danych użytkowników z jednym z autorów Ma.gnolii, Toddem Siedlingiem. Napisałem mu, że podoba mi się ten serwis, ale dopóki nie zaimportuję danych z del.icio.us, to nie mam jak się tam przenieść — nie będę przecież każdego serwisu wstawiał to tu, to tam, chyba że ktoś zrobic “bramkę” wstawiającą go do obu systemów w tle… ale wówczas to ta bramka będzie dla mnie nowym serwisem, i oczywiście do niej znów trzeba będzie się logować. Problem ten stanie się szczególnie przykry w serwisach społecznościowych, jeśli już nie jest. Brak wymiany informacji powoduje, że sieci z globalnych stają się znów lokalne, wymusza to konkurencja. Przykre. Co na to poradzić?
Wdrożyć Microsoft Passport.NET ;>
Masz dużo racji… zakładanie konta tylko po to, żeby ściągnąć jakiś plik, czy coś przeczytać to przesada. Tak samo mam masę kont, przy czym stosuję tylko 3 loginy i 4 hasła - ale czasem nawet zapamiętanie, które z którym sprawia problem.
Wprowadzić jedną usługę do trzymania haseł i identyfikacji? Może i dobry pomysł, ale jestem pewien, że pojawią się nadużycia takiego rozwiązania, a przede wszystkim stracisz to o czym piszesz - takiego konta nie usuniesz tak łatwo.
Aha - nie lubię też, kiedy serwis nakłada na mnie jakieś głupie ograniczenia względem nazwy użytkownika i hasła… głupota :].
Refleksja dokładnie taka j.w. Tylko jakoś nie palę się do tego, żeby ktośtam ‘administrował’ moimi danymi
p.s. jak dla mnie strasznie niewygodne jest zaznaczanie tekstu - lubie widzieć co mam zaznaczone (czasem ułatwiam sobie tak czytanie), a tutaj jest jak dla mnie zbyt mała różnica pomiędzy zaznaczonym, a niezaznaczonym.
Albo google toolbar co automatycznie wypełnia formularze [nie tylko login i hasło, ale CAŁE formularze:P]…ok nie wiem po co to komu. Wiem, że to co mówie jest lamerskie, ale, jeśli ufasz domownikom, masz mocne hasło na administratora windows i do swojego profilu w windowsie, to myślę, że pieczę nad pozostałymi hasłami można pozostawić explorerowi/outlookowi/itp…ok, to jest lamerskie;) Nie wiem czy można ufać wyżej wymienionym programom:)
Ale na pewno mają zabezpieczenia bardziej odporne, niż wymyślone na prędce hasła + podpowiedzi w kajeciku…no chyba, że to są podpowiedzi do ’systemu podpowiedzi na stronie’, bo jak nie, to wątpię w moc takiego hasła…eh…w ogóle to, tyle się mówi o bezpieczeństwie…a coraz mniej o włamywaniu się:P Czy ktoś ma jeszcze jakiś interes i radość we włamywaniu się?:P
m: jakaś koncepcja, dlaczego Passport.NET nie miał szans, jest właśnie we wskazanej w tekście prezentacji. :) Swoją drogą, mam Passport.NET, bo byłem w Saarbruecken, gdzie poznałem kilka osób korzystających z MSN Messangera; w Polsce z moich znajomych tylko Marcin Bober go lubi :)
Igor: nie wiem, z czego wynika ten problem z zaznaczaniem w FF, masz jakiś pomysł? W CSS nie widzę nic, co by ten efekt powodowało.
qbolec: jeśli masz ochotę się pobawić w wyrocznię, mogę Ci pokazać ten plik, jego fragment jest taki:
Allegro.pl (Elsindel) +
Nbportal.pl (elsindel) SHORT
OpenOffice.org (jpetrykowski) +
sxc.hu (Elsindel) +
itd. Powodzenia. ;P
BTW. co dla Ciebie znaczy “mocne hasło”?
Els:
Znam prezentację Hardta, nota bene bardzo ciekawa z punktu widzenia samej formy (super dynamika!), i jego stosunek do Passporta, który, jakby nie było, jest konkurencją (protoplastą właściwie) Sxipa.
Ale… skąd wniosek, że Passport.NET umarł? Moim zdaniem najlepsze przed nim, a powody ku temy trzy: ekstremalnie wygodna integracja z platformą .NET, wsparcie klientów biznesowych i niesamowity rozwój webowych usług Microsoftu, jaki czeka nas w najbliższym czasie, a któremu na imię live.com. I zobaczysz, jeszcze będziemy z tego wszyscy korzystali ;).
Gdyby nie RoboForm, to już by mnie dawno coś trafiło… ;-)
Hmm… a gdyby tak zintegrować system kont z jakąś instytucją przyznającą np. numery pesel?
Proponuję użyć jednego ze specjalistycznych narzędzi do przechowywania prywatnych danych takich jak konta (i hasła).
Jednym z moich oststnich odkryć jest program KeePass Password Safe 1.04:
http://keepass.sourceforge.net/
Program Open Source, silnay algorytm szyfrowania, program można nosić na pendrive.
Bardzo łatwy w obsłudze. Możliwość tworzenia kategorii, subkategorii, dodawania ładnych kolorowych ikonek, zintegrowana wyszukiwarka, import, eksport. Cód malina :D Zabezpieczamy wszystko jednym meta-hasłem i nie martwimy się o nasze konta - wszystko pięknie skatalogowane w małym pliczku ;] (zaszyfrowane of course :P
Ja osobiscie mam inna strategie - mam dosc niskie wymogi jesli chodzi o bezpieczenstwo wiekszosci moich ‘identity’, przez co prawie wszedzie uzywam wlasciwie jednego kompletu login + haslo, gdzie haslo to cos bardzo oczywistego i sie nie zmienia praktycznie. Ryzykuje tym, ze latwo ktos moze sie pode mnie podszywac na jakichs forumach i innych gronach, ale szczerze mowiac nie zalezy mi na tym calkowicie. Co do idei identity 2.0 to oczywiscie uwazam za jak najbardziej sluszna, ale uwazam ze problem utrzymywania wielu kont nie zniknie z tego powodu, ze wielu ludzi po prostu chce miec wiele osobowosci w internecie. Ale prezentacja faktycznie fajna, dzieki za linka. A jesli chodzi o przeslanki sklaniajace do zakladania identyfikacji na stronach, to polecam: http://www.alistapart.com/articles/identitymatters ,zas jesli chodzi o jej unikanie to http://www.bugmenot.com :) Ja z tego drugiego za wiele nie korzystalem, ale pare razy juz mi sie przydal.
krst.: Identity 2.0 może to zapewnić. Masz jedno konto z kilkoma profilami — publicznym i “prywatnymi”, i danej witrynie domyślnie udostępniasz jeden z tych profilów. Na przykład domyślnie w każdej witrynie rejestrujesz się profilem publicznym, który mówi o Tobie tylko tyle, że istniejesz; natomiast kolejne poziomy profilu prywatnego udostępniają np. sklepowi dane osobowe, potem numer karty kredytowej, jeśli dochodzi do transakcji itp. System może zapewniać różne poziomy prywatności.
Prawdziwy problem tkwi w użytkownikach, którzy oczekują niemożliwego.
Z jednej strony jest zapotrzebowanie na bezpieczeństwo w sieci, a z drugiej na coraz większą wygodę i podejście w stylu “nie chce mi się pamiętać”.
A tak naprawdę nie da się osiągnąć bezpieczeństwa nie rezygnując z wygody.
O ileż wygodniej wsiadałoby się do samochodu, gdyby nie trzeba było zapinać pasów i usadzać dziecka w foteliku. O ileż łatwiejsze byłoby wchodzenie i wychodzenie z domu, gdyby nie trzeba było pamiętać o zamykaniu/otwieraniu drzwi (i ewentualnie okien, jeśli mieszka się w domku, a nie w bloku). Tyle, że byłoby też mniej bezpieczne.
Dlatego trzeba się zastanowić jak dużo naszego bezpieczeństwa jesteśmy w stanie oddać za wygodę. Podobnie jak krst. dziele swoje tożsamośći na te wymagające mniej lub więcej bezpieczeństwa. Na większości for internetowych mam jeden login (generalnie staram się mieć wszędzie jeden login, ale nie zawsze się da) i takie samo dla wszystkich hasło. Jeśli mi się ktoś włamie i nabluzga wszystkim dookoła to trudno, wtedy rozważę zmianę podejśćia. Poza tym zrezygnowałem z funkcji autouzupełniania, dzięki temu, że muszę za każdym razem wklepać hasło łatwiej mi je pamiętać.
Co do usług wymagających większego bezpieczenstwa mam tam mocniejsze hasła, gdzie naprzykład najmocniejsze hasło ma mój klucz gpg liczy ono 40-pare znaków liter, cyfr i alfanumerycznych. Używam tego klucza do szyfrowania pliku z danymi o innych kontach.
Ponownie rezygnacja z autouzupełniania ułatwia zapamiętanie haseł.
Generalnie jestem bardzo nieufny wobec wszelkich pomysłów zcentralizowanego przechowywania danych o ludziach. No bo kto przypilnuje pilnujących ?
Małe sprostowanie:
Po przeczytaniu swojego komentarza stwierdziłem, że wynika z niego, że jestem zupełnie anty wobec pomysłów typu Master-account master-password, a to niezupełnie tak.
Powiedzmy, że jestem dość sceptyczny ;P
hig: pewne rzeczy, które wymieniłeś jako przykłady trade-off (bezpieczeństwo lub wygoda) już teraz możliwe są technicznie do zrealizowania, np. drzwi z zamkami czasowymi otwierane na hasło lub biometrycznie :) Owszem, im większy oczekiwany poziom bezpieczeństwa, tym bardziej trzeba się starać, aby go utrzymać. A jednak… a jednak mam wrażenie, że bezpieczeństwa wcale sobie nie zapewniamy zbyt dużego tymi hasłami, za to strasznie się trzeba przy tym namęczyć.
Słyszałem jeszcze o czymś takim jak OpenID http://openid.net
Nie wiem jak to się ma do Identity 2.0 - wersja uproszczona, czy zupełnie inne podejście? Lepsze/gorsze?
Może ktoś znający temat mógł się odnieść.
Przejrzałem tę stronę, ale musiałbym poczytać dokładniej opisy tych pozostałch systemów i samego OpenID; nie wchodziłem jeszcze tak głęboko w dziedzinę tożsamości cyfrowej, by porównywać koncepcje, chociaż jest to interesujące. Dzięki za link; może za jakiś czas poczytam więcej na ten temat i napiszę coś więcej. Na pewno zajrzę wtedy na http://openid.net i http://sxip.com/.
jesli wiesz jak odkryc haslo e-maila np. kolegi lub kolezanki to proszenapisz mi e-maila na: gabrys.158@wp.pl
gabriel: myślę, że można o to zapytać. Można także zakryć je kartką, a następnie odkryć. Pozostałe znane mi (proste — zaawansowanych nie znam) metody są nieetyczne i wzdragałbym się przed sugerowaniem Ci którejkolwiek z nich…
openid - zaciekawiło mnie już dawno kiedy przeczytałem o tym i innych systemach na blogu developera systemu barnraiser (też polecam). Ostatnio wypróbowałem - palikowski.vel.pl/node/199 to krótki raport (nieco chaotyczny).
Jeden wielki minus jak dla mnie to brak mirrorów serwerów tożsamości - tzn kiedy serwer na którym trzymasz swoje ID padnie na dłużej - nagle tracisz dostęp do wszystkich serwisów…