Pull to refresh

Comments 50

… и будьте счастливым обладателем одноразовых паролей.
Эта фраза заставила меня улыбнуться.

Поверьте, испытывал те же эмоции, когда писал этот текст.
Неправда, они всего лишь рекомендуют.
в точку)
большинство компаний именно рекомендует.
а выбирать уж пользователям. Хотят они защищать свой аккаунт, или готовы потерять его.
кстати, в данной реализации одноразовых паролей их можно использовать только на данном ресурсе. Представляю пользователя 20 ресурсов, для каждого из которых нужен свой брелок или отдельное приложение для генерации одноразовых паролей)
Кстати, они теперь просят код только при авторизации на сайте или при первом заходе в игру с текущей машины (данные о брелке где-то в cahce хранятся)
проблема в том, что mOTP нет на paypal, ebay, etc… решение на motp подойдет для личного или корпоративного ресурса
Есть более простой и более дешевый способ аутентификации с помощью мобильного (и даже, стационарного!) телефона.
Итак, зайдя на сайт (не обязательно даже с самого телефона) клиент может авторизоваться, либо как классическим способом (логин-пароль, open-id, цифровой сертификат, кукисы, прямая ссылка из е-майл), либо, предлагаемым мною«телефонным» способом:
Клиенту достаточно ввести свой логин (либо, просто, четыре последних цифры своего телефона), и нажать на кнопку «Звонок».
Далее клиент делает исходящий вызов на номер телефонного провайдера, и ждет длинного гудка.
После этого нажимает на кнопку «Войти» — и попадает в персональную закрытую часть сайта (в случае успешной авторизации).
Аутентификация в данном случае основана на SIM-карте (RUIM-карте) мобильного телефона, и знании пин-кода к карте.
По описанию вполне интересный вариант.
К сожалению, не было времени посмотреть более детально.

Но, опять же, как во всех примерах из комментариев к посту: данный вариант можно использовать только для ограниченного сегмента приложений (webmoney+партнеры).
Описанный же в посте вариант можно использовать везде. Или потенциально везде)))))))))
т.е. там, где поставщик услуги произвел интеграцию со службой проверки одноразовых паролей. И еще раз повторюсь, можно использдовать и внутри компаний.
Что-то вы про <a href=«googleblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html»гугл забыли. Да и в яндекс.деньгах что-то подобное есть. Не говоря уже интернет-банках, где пароли по смс/из токенов используются практически везде. Так что технология очень известная.
согласен, технология известная.
но реализаций много.
хорошо, что все понимают, что нужно уходить одноразовых паролей.
Другое дело, что плохо, что каждый строит свой дом без оглядки на других.
В итоге получаем «неорганизованную застройку».

В случае Гугла нужно отдать должное, что можно будет использовать в ряде приложений. Но опять же, гугл-аккаунт использовать можно далеко не везде. И конечно же не внутри компаний.
А этот одноразовый пароль генерируется по каким-то алгоритмам или приходит на телефон через, скажем, GPRS?
Генерируется Алгоритмами как и в токенах)
UFO just landed and posted this here
gmail и сам google используют VeriSign, но немного по другому направлению.
в ссылке указано, что они используют сертификаты от VeriSign.
Эти технологии никак не противоречат, а только дополняют друг друга.
как всегда, вопрос обсуждаемый))))
но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
Сами понимаете, чем больше пользователей, тем меньше цена.
Кстати, не совсем понятно, за что именно нужно платить в этой технологии?
кто-то же должен обслуживать инфраструктуру, обслуживающую эту возможность)
Так денег правильнее было бы собрать со спонсоров, желающих разместить рекламу на страницах сайта с мегапопулярным проектом по бесплатной организации открытой двухфакторной авторизации!
Каким контентом будете заманивать спонсоров на такой ресурс?)
Могу предложить тематику «Решения по авторизации».
Создать раздел, подробно описывающий все модные способы авторизации и аутентификации, с открытыми исходными текстами на всех возможных языках программирования, и на всех мыслимых платформах.
Ради такого дела можно даже задействовать домен oauth2.ru
К своему огромному огорчению не нашел в списке мобильных платформ x86 16-bit DOS. Такое программное решение позволило бы мне в качестве мобильного оборудования использовать нет-бук ЕЕЕ, который я мог бы загружать с загрузочной SD-карты, с установленной на ней MS-DOS (PC-DOS, FREE-DOS).
может, я что-то пропустил? зачем грузиться в DOS?
подозреваю, что не многие все еще это делают, поэтому и поддержку не реализовали.
Речь идет не о использовании DOS в качестве основной операционной системы.
Речь идет о поддержке платформы DOS. Поскольку такие программы можно будет запустить и из Windows (например Windows-98/XP).
То есть нужно разработать обычное консольное приложение запускающееся из командной строки с возможностью перенаправления ввода-вывода
разработать, думаю, особой сложности нет.
вот только:
— кто будет это все поддерживать? (есть сомнение, что разработчики захотят ковыряться с проблемами на Win98)
— кто будет использовать? (не видел статистику, но есть предположение, что это нужно единицам)
А, в чем, собственно проблема-то? Ведь, даже на турбо-паскале можно ж написать простенькую программку в 15 строчек, которая генерирует случайное число в диапазоне от 100000 до 999999 в зависимости от текущего показания системного таймера и секретного ключа-затравки.
А сервер, производящий проверку также будет генерировать случайное число?))))
Попробуем предсказать результат сопоставления двух величин.
На сервере хранится секретный ключ-затравка (или его асимметричный аналог), привязанный к учетке пользователя.
Когда пользователь на своем оборудовании генерит разовый пароль (со временем жизни в 30 секунд), и отправляет его на сервер, сервер также генерирует с этой же затравкой последовательность (с шагом в 1 секунду, или даже, десятую долю секунды) из 60-100 «кандидатов» на роль разового ключа (один из которых должен гарантированно совпасть с тем разовым ключом, который был получен от клиента).
видимо, не совсем правильно понял. т.е. вы говорите про простоту написания функции, которая «скрещивает» системное время и некий идентификатор, привязанный к пользователю?
С мобильными телефонами возникает вопрос: а насколько они сами надёжны? Собственно, ответ всем известен. Разве что иметь телейон только для паролей, без сторонних программ. Но это нереально. Вот брелоки специализированные — это более интересное решение.
Для авторизации в принципе можно использовать не сам телефон, и сим-карту, вставленную в телефон.
Причем от телефона требуется всего лишь поддержка одной-единственной функции: уметь делать исходящий вызов на нужный номер.
Впрочем, вместо телефона можно использовать и обычный модем (в связке с компом).
В описанном решении можно использовать и брелоки (или брелки, как теперь русский язык позволяет, мне так удобнее).
Если нет веры в приложение на мобильном устройстве, то можно использовать брелок. Но, сами понимаете, это лишние затраты + нужно его с собой носить.

Т.ч. сопоставляйте риски от использования телефона и неудобство использования брелков и выбирайте, что удобнее.
На самом мобильнике (в моем варианте, который заминусовали) вообще не требуется устанавливать никакого дополнительного программного обеспечения.
Мобильник есть у всех (в отличие от токенов/брелоков).
Сим-карта имеет СТАНДАРТИЗОВАННУЮ защиту, и не нужно специально еще что-то велосипедить.
Решение — полностью универсальное: Не нужно таскать с собой связку из нескольких мобильных телефонов для авторизации на разных ресурсах.
Решение абсолютно бесплатное (для всех сторон, включая серверов авторизации), поскольку не требуется поддерживать специальную инфраструктуру, и выпускать (изготавливать и распространять в защитной упаковке) программно-аппаратные модули.
Конечно же бесплатные!
Важен лишь сам факт «дозвона». То есть пользователь должен лишь услышать один «длинный гудок» и повесить трубку. Этого достаточно!
Сервер после третьего гудка сам вешает трубку (если клиент не повесил), чтобы не занимать канал. Можно хоть из-заграницы такой дозвон сделать АБСОЛЮТНО бесплатно.
При звонках из-заграницы номер часто неопределен или измененный (видимо операторы «химичат»). Так что такой способ больше подхожит для ситуации, когда все пользователи свои, локальные
По крайней мере при звонках из Украины (а, так же при роуминге в Украине) проблем не возникает.
Возможно, скора появится возможность проверить этот факт из Турции.
не забывайте, что в момент вашего дозвона потенциальный злоумышленник также может нажимать кнопку ввода на своем компьютере, логинясь вместо вас. Это как один сценарий, показывающий недостаток данного метода.

При этом мне до сих пор не понятно, почему Вы считаете, что в данном случае все будет бесплатно. Обеспечивать поддержание и такой системы тоже стоит денег. Если это делать для каждой системы отдельно, то каждому нужно будет думать о поддержании своей системы. Если думать централизовано (аналог нашей схемы), то поддержание доступности данной системы -тоже не самая простая задача. А также необходимо забывать промасштабирование.
Факт попытки одновременного логина легко выявляется на стороне сервера, и точно так же легко разрешается: например, и того и другого пользователя просят повторно набрать номер, и при этом, первому предлагается «дождаться второго длинного гудка» и самостоятельно повесить трубку, а, второму предлагают просто дождаться, когда сервер сам повесит трубку.
В зависимости от того, какой из двух предложенных сценариев будет выполнен на клиентской стороне, тот комп и будет считаться авторизованным. (А, второй комп получит бан на пять минут, и будет занесен в черный список).
Телефонное подтверждение может использоваться не только при логине в системе: например, при внесении в профиль пользователя существенных изменений, или при заказе дорогой услуги, подписке и т.д.

Относительно бесплатности: поддержание данной системы сводится лишь к единичной замене (подключению нового) USB-модема к серверу с запущенным демоном RINGOUT-провайдера.

Масштабирование реализуется либо добавлением дополнительных модемов (с новыми номерами), либо установкой многоканальной АТС (с перераспределением нескольких вызовов по одному номеру на несколько модемов в пуле).

Так же можно построить полностью автономную RINGOUT-систему (с резервированием), которая автоматически переключается в случае отказа. В общем-то по такому же принципу работают большинство автоматических систем охранно-пожарной сигнализации.
например, и того и другого пользователя просят повторно набрать номер, и при этом, первому предлагается «дождаться второго длинного гудка» и самостоятельно повесить трубку, а, второму предлагают просто дождаться, когда сервер сам повесит трубку

Т.е. после того как легитимный пользователь понял, что под его учеткой логинится кто-то еще, ему предлагают поиграть со злоумышленником в игру «орел или решка»?
А если это запланированная атака и логинятся 234 злоумышленника, предлагать пользователю:«подождать 5 гудков, перезвонить, подождать сброса, перезвонить и подождать 1 гудок»?

хм… да я некропостер o_O
Когда-то я уже писал про двухсторонний метод аутентификации, в итоги пришли к тому что возможно клонировать сим карты. Но как по мне, данный вид куда безопаснее. :)
А можно где-то увидеть расценки на это решение? На сайте я что-то не нашёл.
ответ писал выше.
Цитирую:
«как всегда, вопрос обсуждаемый))))
но для прикидки: долларов по 10 за аккаунт если речь идет о тысяче пользователей.
Сами понимаете, чем больше пользователей, тем меньше цена. „
Отписал Вам в личку. Хотим подключиться, интересно.
Sign up to leave a comment.