Verisign tylko wznowiono ich Beta Personal Identity portalu [via TechCrunch], ale nie sądzę, jaki będę zapisywać się na to.
Dlaczego? Oto mój 6 powodów:
- Będzie przechowywać dane potrzebne do zalogowania w ich serwer, który Mam nadzieję, że nigdy nie będzie się włamał.
- Z tego co wiem, można go przechowywać tylko jednego loginu szczegółowo na jednej stronie internetowej (proszę mnie poprawić, jeśli się mylę). Więc to nie będzie działać dla mnie. Bo jeśli jesteś tak jak ja, masz kilka kont Gmail
. Co najmniej 1 dla mnie i 1 dla mojej żony. - Najważniejszą rzeczą jest, jeśli masz spyware / keylogger na komputerze i masz OpenID konta, co oznacza, że napastnik może po prostu użyć jednego ID dostęp do różnych witryn. Wyobraźcie sobie!
- Nie ma formy wypełniania obiektu.
- Nr generator haseł.
- Nie wiele możliwości tożsamości.
Teraz wszystkie powyższe jest obecnie obsługiwana przez Roboform, i dla tych, którzy muszą używać logowania na innym komputerze, można po prostu dostać Roboform wersji przenośnej.
Inną rzeczą, którą chciałbym o Roboform, że mogłam dostosować pole wyszukiwania Roboform również.
Ale z drugiej strony, jedyną rzeczą, która zmusi mnie do korzystania Verisign PIP lub coś podobnego jest, gdy muszę używać inteligentnych telefonów komórkowych do przeglądania częściej. Ponieważ nie ma wersji Roboform, które mogą być stosowane w urządzeniu mobilnym w tej chwili.
So that's it. My 6 minus 1 powodów, dlaczego nie wykorzystuje Verisign PIP
What about you?
Popularność: 11% [?]
No related posts.
22 sierpnia 2008 at 5:26 am
Cześć: Jako dyrektor techniczny PiP / projektów pasów bezpieczeństwa tutaj na VeriSign musiałem zareagować.
Jeśli chodzi o punkty:
1) To po prostu nieprawda. Informacji, które są przechowywane w naszej bazie danych jest szyfrowany blob, że tylko Ty masz klucz (który jest co tworzysz, kiedy początkowo włączyć tę funkcję w PiP). Nie ma dla nas sposobem na uzyskanie dostępu do danych osobowych poświadczeń.
2) jest poprawne. Obecnie obsługuje tylko jeden zestaw danych. Ponieważ jest to wstępne uruchomienie usługi musieliśmy ograniczyć rzeczy i teraz, że jest jednym z czynników ograniczających. W tej sytuacji zarówno ty i twoja żona nie są potrzebne oddzielne rachunki na PIP.
3) Jeden z funkcji PiP jest to, że oferuje dwa dodatkowe zabezpieczenia. Jednym z nich jest przeglądarka świadectwo, które mogą być użyte jako czynnik Drugi mechanizm uwierzytelniania i innych wiąże powiedzieć konta PayPal tokena do usług. Połączenie pozwala na dodatkowy poziom zabezpieczeń podczas uzyskiwania dostępu do konta.
4) "wypełniania formularzy" masz na myśli wypełniania formularzy nazwy użytkownika i hasła? Jeśli tak, niż w przypadku witryn wymagających tego oferujemy tym obiektem oraz do innych miejsc nie jest to wymagane będziemy bezpośrednio zalogować się w.
5) Jest to obecnie poprawna. Jest to dobra propozycja.
6) Czy jest to związane z punktu # 2? Czy może jest to związane z wielu tożsamości OpenID? Jeśli to ostatnie, niż jest całkowicie obsługiwane.
Oczywiście funkcje te nie są tak kompletne jak Roboform ani nie jest przeznaczone do. Jest pomyślany jako poręczny funkcji pozwala na elastyczność w wielu urządzeniach, aby bezpiecznie przechowywać nazwy użytkowników i hasła.
Hope that helps.
22 sierpnia 2008 at 2:51 pm
Hi Gary
Dziękuję za dodać komentarz na mój post
Jeśli chodzi o komentarz:
1. Dziękuję za wyjaśnienie tego, zapomniałem, że szyfrować dane potrzebne do zalogowania w pierwszej kolejności
I just realized to po Zarejestrowałem się do PIP. That's right! I've decided to give it a try 
Czy możliwe jest wykorzystanie token z mojego banku? A jeśli jest backdoor trojan w moim komputerze, a następnie świadectwa przeglądarka jest prawie bezużyteczne, prawda? 
2. Jeśli można by również wsparcie dla wielu loginów w tym samym miejscu, to byłoby świetnie
3. Cóż, nie Paypal token jest dostępna dla użytkowników Australii
Ale jeśli mogę używać RoboForm Portable, nikt nie może uzyskać dostępu do danych, chyba że otrzymam Token
4. That's great. Innym powodem, dlaczego nie mogę używać PiP
5. Dzięki
6. To było związane z # 2. Z Roboform może zarządzać kilkoma tożsamości. Nawet jeżeli jest jedna 1 osobę (mnie), mogłem użyć 1 tożsamości rzeczywistych / Użyteczne strony, 1 tożsamości prawdopodobnie scam / witryn śmieci, itp.
Podsumowując, jest to prawie porównywalny do Roboform i może być lepiej, gdy jest to wykluczone z wersji Beta.
I jeśli można zrobić coś takiego online linii papilarnych / czytnik siatkówki do uwierzytelnienia użytkownika? 
Moja propozycja jest zapewnienie wszystkim użytkownikom fizycznego tokena. Jestem pewien, że więcej osób będzie korzystać PiP, jeżeli dany za darmo lub w bardzo niskiej cenie
Dodaj więcej funkcji i PiP będzie mój wybrany menedżer haseł w przyszłości!
25 sierpnia 2008 at 8:53 pm
Tinx Hi, hi Gary
Mam też dodać kilka myśli i pomysłów na ten temat.
Po pierwsze chciałbym podkreślić, że jesteśmy w niemieckiej organizacji służby robią w zasadzie takie same jak nasze koledzy z firmy VeriSign. Jesteśmy obecnie w fazie beta od marca, 08. Obecnie pracujemy nad lokalizacją, nie angielski nakładka dostępne w tej chwili, ale jest tuż za rogiem (w przypadku, gdy chcesz ją wypróbować, dajcie nam kilka dni lub pozwól mi Cię przez niemiecki interfejs) .
Będę trzymać się wymienionych numerów Gary używane podczas odpowiadania tak wszyscy wiemy, co mówimy o.
1). Gary, jeśli sklep zaszyfrowanych danych w bazie danych, nadal logowania użytkownika bezpośrednio. Czy jest to prawidłowe? Tak więc system musi wiedzieć pw kombinacji użytkownika. Po ataku szkodliwego w domu na bazie danych będzie nadal prowadzić do ujawnienia wszystkich użytkowników haseł. Poprawny? Albo jak można ewentualnie zalogowaniu użytkownika bez hasła?
Czy szyfrować danych do innych stron logowania? Jeśli tak, to w jaki sposób obsługiwać witryn, które nie są oparte na https / SSL (ponieważ istnieją liczne przykłady).
2. Eingelogged.de jest w pełni zdolny. Just wait for wielojęzyczny interfejs
3. Oferujemy rozwiązania problemu keylogger i są w pełni świadomi problemu. Niestety nie mogę przedstawić rozwiązanie w tej chwili w miejscach publicznych, ponieważ będzie ona dostępna już wkrótce. Musimy mieć to na radar na kilka dni.
4. Bezpośrednio z logowaniem cala nr wypełniania formularzy potrzebnych. Może chciałbym zwrócić uwagę, że używamy szyfrowania SSL 128bit w ruchu.
5. Mamy również brak tej funkcji. To w sprawie planu działań.
6. Całkiem możliwe, z eingelogged.de
I tak, zgadzamy się, że jest to jeden z bardzo silne właściwości internetu. To jest naszym zdaniem jednym z głównych wad, że OpenID i inni: Sometimes I just wanna be somebody else Cruisin 'netto, a nie ja.
Różne tożsamości do różnych miejsc pracy jest jednym z wielkich funkcje związane z Internetem i wszyscy musimy przyznać, robimy to co jakiś czas.
dodatkowe funkcje oferujemy:
-Zaloguj się wszystkie (jeden przycisk, zaloguj się do wszystkich usług w niektórych profili)
-profile swoje dane logowania (w szczególności odnoszą się do punktu Tinx's # 6: Mamy całkowicie rozwiązać ten problem)
-Nie musisz prowadzić coś z tobą nawet urządzenia USB. Wystarczy dostęp do internetu oraz przeglądarka (ten szczególnie odnosi się do # 3; Jak dotąd, wciąż muszą czekać na availabilty roztworu kilka dni więcej).
Czekamy na opinie.
26 sierpnia 2008 przy 210: jestem
Thanks a lot "Tinx" za uwagi. Jeśli chodzi o dostarczanie użytkownikom żetony (może napisz do mnie na podstawie odrębnych okładka ... :-)), ale w ogóle kosztów Paypal token sprawia, że bardzo korzystne dla użytkowników: https: / / www.paypal.com / pl / cgi -bin/webscr? cmd = XPT / CPS / SecurityCenter / general / PPSecurityKey-outside
Również jedno należy pamiętać jest nasza Przeglądarka funkcji certyfikatu. Jeżeli użytkownik nie ma fizycznego tokena ale chce komfort posiadania nazwy użytkownika i hasła poparte drugi czynnik ( "coś wiesz, co masz") instalacji certyfikatu jest zobowiązany do przeglądarki może zapewnić tym.
Więc w zasadzie można przechowywać poświadczeń i mieć dostęp do PiP wspierane przez przeglądarki certyfikat w celu zapewniania wysokiego poziomu bezpieczeństwa.
Sprawdź, czy na zewnątrz i let me know what you think.
26 sierpnia 2008 przy 214: jestem
Sven: Mamy * * nie wiemy, że poświadczenie naszych użytkowników. Nie będę zagłębiać się w szczegóły, co do "jak" to robimy, ale scenariusz przedstawiony nie jest możliwe w naszym systemie.
Jak wspomniano powyżej, nie trzeba mieć token, aby uzyskać drugi czynnik uwierzytelniania VeriSign świadczone bez certyfikatu przeglądarki mogą zapewnić ten sam poziom komfortu.
26 sierpnia 2008 at 11:35
Jestem szczerze nie wiedziałem, że Paypal token jest dostępny dla użytkowników, a także Australii.
To tylko 7,50 AUD
Może będę zamówić taki
20 marca 2009 at 8:33 am
"Tinx"
Zarządzać Australia Post VIP Online Służby Bezpieczeństwa, który jest oparty na platformie VIP VeriSign. Zobacz: http://www.auspost.com.au/BCP/0, 1467, 257EMO19% CH4365, 00.html. Jeśli docierają do mnie poprzez kontakt na stronie internetowej będę przyjemność przedstawić Państwu z wolna znak, że będzie działać na wszystkich użytkowników sieci, w tym VIP PayPal, eBay i VeriSign PIP.
Wiwaty
RL