Am o mulțime de subiecte interesante pe care vreau să le tratez zilele următoare dar pentru moment voi vorbi despre cum Automattic, firma din spatele serviciului wordpress.com, dă din gard în șanț. Articolul de față se adresează cu precădere celor care au bloguri găzduite pe wordpress.com, dar nu numai lor.
Acum un an și 9 luni, Automattic introducea necesitatea de a te loga înainte să comentezi pe un blog de pe wordpress.com. Rațiunile au fost simple: cineva a comentat pe un blog folosind nick-ul și mailul lui Matt Cutts, evident, fără ca el să fie Mutt Cutts. Cum avatarul care se afișează în dreptul comentariului cuiva depinde de adresa de mail pe care respectivul o folosește, comentariul acelei persoane a apărut pe site ca și cum ar fi fost lăsat de Mutt Cutts. Pentru a preveni astfel de situații ulterioare, cei de la wordpress.com au impus necesitatea de a te loga pe contul de wordpress.com/gravatar înainte de a lăsa un comentariu pe platforma lor. Astfel, nu mai era de ajuns să cunoști adresa cuiva de mail pentru a te putea da drept el. În timp ce această măsură are să zic o justificare ce se susține, ea este bineînțeles restrictivă și nu poate fi standardizată, deoarece blogurile găzduite pe domenii proprii nu sunt obligate să impună așa ceva comentatorilor (și nici nu o fac).
Automattic însă nu se oprește aici. Azi dimineață, când am vrut să mă loghez pe wordpress.com, am fost întâmpinat de un mesaj care mă informa că, dacă doresc, pot activa o autentificare în doi pași pe contul meu, spre a-i spori securitatea, și că pentru mai multe informații să citesc această pagină. Pe care am și citit-o, și-am fost atât de neplăcut surprins încât am zis să vă relatez și domniilor voastre.
Despre ce este vorba? În esență, îți cer numărul de telefon. Apoi, îți trimit un cod pe telefon iar tu trebuie să le spui ce cod ți-au trimis, și cu asta probezi că acel telefon este într-adevăr în posesia ta. Odată finalizată confirmarea telefonului, la fiecare logare pe wordpress.com, după ce vei introduce parola, vei primi un cod similar pe telefon și va trebui să specifici și acel cod pentru a putea intra în cont. Da, ați citit bine: parola veche + codul primit prin SMS la fiecare logare. Scriu ei acolo că asta va adăuga un mic pas procesului de logare dar vă va face contul mult mai sigur, deoarece cel care vrea să vi-l spargă va trebui nu doar să vă știe parola ci și să vă fure telefonul ca să obțină accesul.
Desigur, este opțional, și desigur, nu se referă la sistemul de comentarii, ci la cei care au bloguri pe wordpress.com și vor să se logheze de exemplu în panoul de control al acelor bloguri. Orișicum, odată deschisă posibilitatea, mă întreb în cât timp va deveni obligatorie.
Evident, ideea lor este o mare prostie. Da, de acord, îți mărește protecția contului. Dar cu costuri foarte mari. În primul rând, este foarte incomod să te loghezi cu codul de pe telefon, pe bune frate, am zeci de conturi pe net, ce-ar fi dacă fiecare mi-ar trimite SMS când dau click pe butonul de login? Apoi, dacă-mi fură cineva telefonul? E complicat, sunt niște coduri de back-ul pe care trebuie să le folosești atunci. Adică alte parole. Nu înțeleg de ce nu te lasă să-ți specifici nr de telefon pentru ca, în caz că ai uitat parola (sau ți-a spart cineva contul și ți-a schimbat-o), și - colac peste pupăză - ai pierdut și contul de mail, să poți cere resetarea parolei pe telefon! Eventual, să-ți pună o întrebare de siguranță, să vadă că într-adevăr ești tu și nu cineva care ți-a sustrat telefonul, și apoi să îți trimită parola nouă prin SMS! Ce-ar fi așa de greu? De ce să te deranjeze la fiecare logare? Sau ar putea să-ți trimită un SMS la fiecare logare, și atunci afli imediat ce se loghează altcineva pe contul tău. Dar să trebuiască să citești spamul lor și să introduci încă un cod, încă o parolă în acea căsuță...grr...
Adevărul este că niciun cont nu e absolut sigur. În proporție de 100%. Niciunul. Permanent va exista o posibilitate, oricât de mică, ca acel cont să fie spart. Cu cât iei mai multe măsuri de siguranță și supra-siguranță, cu atât îți complici viața (oarecum fără rost). În experiența mea, un utilizator de net educat, care știe să-și aleagă parole tari și diferite pentru fiecare site în parte și al cărui calculator nu se virusează tot la două-trei săptămâni, va fi pe cât se poate de safe. Altfel, eu le propun celor de la wordpress.com să te autentifice și prin amprentă. Și și prin scanarea irisului. Și și prin analiza timbrului vocal...
Și atunci să-și schimbe sintagma Code is poetry cu Safer then Fort Knox. Numai că și ăla a fost spart.
Acum un an și 9 luni, Automattic introducea necesitatea de a te loga înainte să comentezi pe un blog de pe wordpress.com. Rațiunile au fost simple: cineva a comentat pe un blog folosind nick-ul și mailul lui Matt Cutts, evident, fără ca el să fie Mutt Cutts. Cum avatarul care se afișează în dreptul comentariului cuiva depinde de adresa de mail pe care respectivul o folosește, comentariul acelei persoane a apărut pe site ca și cum ar fi fost lăsat de Mutt Cutts. Pentru a preveni astfel de situații ulterioare, cei de la wordpress.com au impus necesitatea de a te loga pe contul de wordpress.com/gravatar înainte de a lăsa un comentariu pe platforma lor. Astfel, nu mai era de ajuns să cunoști adresa cuiva de mail pentru a te putea da drept el. În timp ce această măsură are să zic o justificare ce se susține, ea este bineînțeles restrictivă și nu poate fi standardizată, deoarece blogurile găzduite pe domenii proprii nu sunt obligate să impună așa ceva comentatorilor (și nici nu o fac).
Automattic însă nu se oprește aici. Azi dimineață, când am vrut să mă loghez pe wordpress.com, am fost întâmpinat de un mesaj care mă informa că, dacă doresc, pot activa o autentificare în doi pași pe contul meu, spre a-i spori securitatea, și că pentru mai multe informații să citesc această pagină. Pe care am și citit-o, și-am fost atât de neplăcut surprins încât am zis să vă relatez și domniilor voastre.
Despre ce este vorba? În esență, îți cer numărul de telefon. Apoi, îți trimit un cod pe telefon iar tu trebuie să le spui ce cod ți-au trimis, și cu asta probezi că acel telefon este într-adevăr în posesia ta. Odată finalizată confirmarea telefonului, la fiecare logare pe wordpress.com, după ce vei introduce parola, vei primi un cod similar pe telefon și va trebui să specifici și acel cod pentru a putea intra în cont. Da, ați citit bine: parola veche + codul primit prin SMS la fiecare logare. Scriu ei acolo că asta va adăuga un mic pas procesului de logare dar vă va face contul mult mai sigur, deoarece cel care vrea să vi-l spargă va trebui nu doar să vă știe parola ci și să vă fure telefonul ca să obțină accesul.
Desigur, este opțional, și desigur, nu se referă la sistemul de comentarii, ci la cei care au bloguri pe wordpress.com și vor să se logheze de exemplu în panoul de control al acelor bloguri. Orișicum, odată deschisă posibilitatea, mă întreb în cât timp va deveni obligatorie.
Evident, ideea lor este o mare prostie. Da, de acord, îți mărește protecția contului. Dar cu costuri foarte mari. În primul rând, este foarte incomod să te loghezi cu codul de pe telefon, pe bune frate, am zeci de conturi pe net, ce-ar fi dacă fiecare mi-ar trimite SMS când dau click pe butonul de login? Apoi, dacă-mi fură cineva telefonul? E complicat, sunt niște coduri de back-ul pe care trebuie să le folosești atunci. Adică alte parole. Nu înțeleg de ce nu te lasă să-ți specifici nr de telefon pentru ca, în caz că ai uitat parola (sau ți-a spart cineva contul și ți-a schimbat-o), și - colac peste pupăză - ai pierdut și contul de mail, să poți cere resetarea parolei pe telefon! Eventual, să-ți pună o întrebare de siguranță, să vadă că într-adevăr ești tu și nu cineva care ți-a sustrat telefonul, și apoi să îți trimită parola nouă prin SMS! Ce-ar fi așa de greu? De ce să te deranjeze la fiecare logare? Sau ar putea să-ți trimită un SMS la fiecare logare, și atunci afli imediat ce se loghează altcineva pe contul tău. Dar să trebuiască să citești spamul lor și să introduci încă un cod, încă o parolă în acea căsuță...grr...
Adevărul este că niciun cont nu e absolut sigur. În proporție de 100%. Niciunul. Permanent va exista o posibilitate, oricât de mică, ca acel cont să fie spart. Cu cât iei mai multe măsuri de siguranță și supra-siguranță, cu atât îți complici viața (oarecum fără rost). În experiența mea, un utilizator de net educat, care știe să-și aleagă parole tari și diferite pentru fiecare site în parte și al cărui calculator nu se virusează tot la două-trei săptămâni, va fi pe cât se poate de safe. Altfel, eu le propun celor de la wordpress.com să te autentifice și prin amprentă. Și și prin scanarea irisului. Și și prin analiza timbrului vocal...
Și atunci să-și schimbe sintagma Code is poetry cu Safer then Fort Knox. Numai că și ăla a fost spart.
0 comentarii
Pentru afișarea avatarului, utilizați un cont Google. Nu faceți reclamă: comentariile cu linkuri spre magazine online (inclusiv pe nick) vor fi marcate cu spam. Lucru pe care probabil nu-l doriți, dacă ne gândim că blogul de față e găzduit de Google.