Pull to refresh

Алгоритм: избавляемся от паролей на разные ресурсы — используем почтовый ящик

Lumber room
Очередная идея о том, как избавится от кучи паролей к разным веб-ресурсам и сделать жизнь человечества проще.

Универсальная система логина на сайте:
  • Пользователь заходит сайт и вводит свою почту.
  • Ему посылается письмо с секретным URLом.
  • По заходу на этот URL — он оказывается авторизованным, а письмо может удалить(может и оставить на будущее).

Так выглядит общая схема :) Что имеем в итоге — авторизовались на ресурсе, не имея дополнительного логина и пароля — используется только почта. Ну и никаких дополнительных сервисов/библиотек не требуется — все достаточно просто.

Теперь прикинем минусы данного подхода и как их можно обойти…
Читать дальше →
Total votes 17: ↑6 and ↓11 -5
Views 263
Comments 50

Входите! Вход без логина и пароля

PHP *

Кто виноват?


Одна из часто встающих задач при разработке web-проектов — пустить пользователя на сайт без ввода логина и пароля, при этом авторизовав его.

Вот некоторые примеры таких ситуаций:
  • Ссылка на активацию аккаунта только что зарегистрированным пользователем.
  • Ссылка на восстановление пароля.
  • Приглашение (возвращение) на сайт пользователя, который давно не заходил.

В каждом из этих случаев нам нужно создать для пользователя некий ключ и добавить его в URL, отправленный в письме.
Читать дальше →
Total votes 98: ↑82 and ↓16 +66
Views 18K
Comments 78

Авторизация через ВКонтакте, Mail.ru и другие — 3 (ВКонтакте и OAuth)

Website development *
В прошлых двух частях мы сделали авторизацию через ВКонтакте, используя предоставленный ими javascript-виджет и через Майл.ру, используя как JS API, так и через взаимодействие сервер-сервер. Сегодня мы исправим наше упущение относительно ВКонтакте и рассмотрим авторизацию через ВКонтакте без использования клиентских javascript'ов.
В качестве ссылки на авторизацию мы можем использовать любой элемент, например картинку

, оформленную аналогичным образом со ссылкой на авторизацию через mail.ru.
Читать дальше →
Total votes 68: ↑55 and ↓13 +42
Views 31K
Comments 31

Посторонним вход воспрещен

Журнал Хакер corporate blog
Тебе никогда не приходила в голову мысль о том, что идея использовать логин и пароль для входа в систему несколько устарела? Почему, имея в одном кармане флешку, в другом — телефон, а на компе установленный SSH с настроенной авторизацией при помощи ключей, мы продолжаем вводить эти запутанные пароли?

Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 21K
Comments 4

Единая авторизация пользователей с поддержкой нескольких сервисов

Yii *
Yii EAuth extension При реализации одного из проектов на Yii framework у меня возникла задача сделать регистрацию и авторизацию пользователей через сторонние сервисы (Google, Facebook, Twitter, etc).

У данной задачи есть два пути решения:
  • Использовать сервис авторизации, например Loginza;
  • Реализовывать функции авторизации самостоятельно для каждого сервиса.
UPDATE: Актуальная версия и инструкция по настройке доступны на github.com. Инструкция в данной статье подходит для EAuth версии <= 1.1.3.
Я выбрал второй вариант...
Total votes 148: ↑136 and ↓12 +124
Views 66K
Comments 105

Безопасность при авторизации на сайтах по OpenID

Information Security *IT Standards *
OpenID — это открытая децентрализованная система, которая позволяет пользователю использовать единый аккаунт для аутентификации на множестве не связанных друг с другом сайтов, порталов, блогов и форумов. Если WEB сайт предполагает использование аутентификации или авторизации пользователя, то возможные варианты реализации этого приведены ниже:
1) Использовать стандартную регистрацию через ввод email и заполнения необходимых данных.
2) Использовать аутентификацию через указание личного идентификатора OpenID провайдера.
3) Использовать авторизацию через открытый протокол OAuth

Поддержка второго и третьего способа является одним из преимуществ, которое должно повысить количество зарегистрированных пользователей.

Читать дальше →
Total votes 8: ↑5 and ↓3 +2
Views 22K
Comments 8

Привязка телефона к аккаунту и авторизация сканированием QR кода

PHP *JavaScript *
Tutorial
Привет, хабр!
Сегодня меня посетила идея об альтернативной авторизации на сайтах при помощи привязанных к аккаунту мобильных девайсов.
Зачем это нужно?
Ну например, если пользователю лень вбивать пароли или для использования в двухфакторной авторизации, или для восстановления пароля и тд.
Собственно о способах применения данного механизма на продакшене я не задумывался. Основная цель — это реализация, а дальше посмотрим.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 9.9K
Comments 12

HybridAuth для UMI.CMS. Авторизация через социальные сети на UMI.CMS

CMS *PHP *
Sandbox
Tutorial
Я очень давно хотел для UMI сделать скрип отличный от loginza, так как считаю, что он не совсем удачный, по ряду причин (чисто субъективных). Могу ошибаться, если так и есть не закидывайте камнями.

Был вдохновлен одной из статей на habrahabr, к сожалению статья была удалена. Во всяком случае, ссылку на всякий пожарный оставлю — этой статьей. В этой статье было рассказано в общем как подключать HybridAuth к своему сайта, и созрел для реализации метода и написания своей статьи.

Постараюсь рассмотреть реализацию авторизацию на UMI.CMS через популярную библиотеку HybridAuth.

Авторизация для UMI.CMS будет реализована через провайдеров:

  • Facebook
  • Twitter
  • Linkedin
  • Google+
  • Вконтакте

Читать далее
Total votes 15: ↑3 and ↓12 -9
Views 3.7K
Comments 4

EMCSSL – Система идентификации пользователей WWW на основе подсистемы NVS криптовалюты EmerCoin и децентрализованных клиентских SSL-сертификатов

Information Security *Cryptography *Browsers
Под катом подробно рассмотрена масштабируемая инфраструктура для беспарольной авторизации на неограниченное число независимых серверов сети.

Инфраструктура базируется на блокчейне криптовалюты, используя последний как децентрализованное доверенное хранилище хеш-сумм клиентских SSL-сертификатов. Сами сертификаты могут быть сгенерированы клиентами локально, без участия каких-либо внешних сервисов авторизации, и быстро заменены по мере необходимости, что делает эффективными как плановую замену, так и быстрый отзыв скомпрометированных сертификатов.

Также предложена система InfoCard — децентрализованных распределённых «визитных карточек», с возможностью организации информации в иерархическую структуру, что может быть полезным для быстрого обновления содержимого карточек членов компаний или других организаций.

Совместное использование предложенных сервисов позволяет быстро, буквально в один клик, создавать и обновлять учётные записи, а также иметь беспарольный логин и защищённое соединение с неограниченным множеством серверов.

Новизна предложения заключается в полной децентрализации системы, то есть отсутствия некой группы серверов авторизации под единым управлением, что имеет место в системах Kerberos, OpenID, TeddyID и им подобных. В результате, становится невозможным блокировка пользователя посредством административного ресурса, или же одномоментного отказа в обслуживании всей системы авторизации из-за технических сбоев или злонамеренных атак на серверы авторизации.
Читать дальше →
Total votes 12: ↑9 and ↓3 +6
Views 18K
Comments 11

Вкратце об OpenID Connect

API *
Translation

Медленно, но неотвратимо наступает смена решений SSO на основе SAML на решения OpenID стека. С недавних пор компания Google реализовала поддержку OpenID Connect протокола на своих серверах. Насколько он может быть приемлем для Вашего проекта и как с ним работать, оценить по спецификации протокола довольно трудно. Немного облегчить это решение должна статья одного из авторов спецификации в своём блоге, перевод которой я и предоставляю аудитории хабра. В целях упростить понимание, некоторые моменты были добавлены от себя, таким образом, чтобы не приходилось обязательно читать ссылки на используемые технологии, но ознакомится с некоторыми из них всё же я рекомендую.


Когда вы читаете спецификацию по OpenID Connect, вы можете испытывать довольно неприятные чувства от лёгкой испуганности до полнейшего разочарования. Всё это происходит потому, что они написаны на “сухом” языке спецификации, и по большей части они описывают граничные случаи, исключения и т.д. Тем не менее, когда вы переводите их на нормальный человеческий язык и переключаетесь на конкретные случаи, всё становится довольно очевидно. Итак, давайте приступим! (Ремарочка: большая часть текста совпадает с первоначальным предложением, написанным Дэвидом Рекордоном. В основном, мои правки затронули лишь некоторые из имен параметров и другие мелочи)

Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 61K
Comments 3

Веб авторизация доменного пользователя через nginx и HTTP Negotiate

Website development *
    Намедни встала задача — обеспечить прозрачную авторизацию пользователей домена в CRM, собственно Microsoft давным давно разработал для этих целей метод аутентификации HTTP Negotiate, это все замечательно работает на IIS и Windows Server, а у нас за плечами Samba4 в роли Primary Domain Controller и проксирующий веб сервер nginx. Как быть?

    В сети куча информации по организации подобной схемы для Apache2 & AD на базе Windows, а вот пользователям nginx приходится собирать все по крупицам, информации кот наплакал. В базовой поставке Nginx нет подобного функционала. Благо люди не пали духом и история началась в мейл рассылках nginx в 2009 году, где один американский товарищ из Огайо нанял разработчика на RentACoder для запиливания модуля с подобным функционалом. Ребята форкнули подобный модуль для апача, прикрутили его к nginx и результаты работы выложили на github, где модуль время от времени допиливался разными людьми и в итоге принял роботоспособный вид. Последнюю версию можно получить на гитхабе.


В данном руководстве я расскажу как заставить работать nginx с SPNEGO модулем и samba4.

Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views 46K
Comments 19

Авторизация в Laravel, через социальные сети (Ulogin). Просто, гибко и эффективно

PHP *MySQL *Programming *API *Laravel *
Sandbox
Привет, друзья. Хочу сегодня поделится своим взглядом на то, как можно сделать простую и эффективную авторизацию/регистрацию пользователей через любую социальную сеть, используя плагин Ulogin. Почему через этот плагин? Потому что он может избавить разработчика от кучи головной боли, которая возникнет при синхронизации с каждой социальной сетью в отдельности. Плюс вы сможете получить данные из плагина в едином красивом формате.
Читать дальше →
Total votes 24: ↑13 and ↓11 +2
Views 18K
Comments 63

Корпоративная мобильная безопасность и управление доступом пользователей

Gemalto Russia corporate blog Information Security *
Recovery mode
Периметр ИТ-безопасности постоянно меняется и деформируется под влиянием облачных вычислений, проникновения ИТ в жизнь пользователей и интенсификации рабочего времени. Лицам, принимающим решения в сфере информационных технологий и информационной безопасности, приходится находить тонкий баланс между соблюдением безопасности корпоративных данных и сохранением простоты, доступности и удобства в эксплуатации, которого ожидают пользователи. Потребность в том, чтобы закрыть пробел между идентификацией пользователя и обеспечением мобильного доступа, привела к развитию инновационных решений для управления идентификационными данными и управления доступом (IAM), обзор которых мы и предлагаем ниже.


Читать дальше: усталость от паролей
Total votes 6: ↑4 and ↓2 +2
Views 2.3K
Comments 1

От Root CA до User Authorization в nginx+apache. Часть 1. Создаем Root&Intermediate Certificate Authority

Information Security *Cryptography *
Tutorial
Доброго времени, Хабраюзер!

Хочу поделиться с тобой идеей беспарольной аутентификации. Недавно лазил по сайтам центров сертификаций и наткнулся на интересную вещь. ЦС использую аутентификацию по сертификату вместо пароля. Я считаю это удобным, для компании, а не для обычных интернет сайтов, где шарятся простые пользователи, но вход в АД (админ-центр сайта), было бы неплохо.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 9.5K
Comments 7

Как крупная курьерская компания персональные данные своих клиентов раздавала

Information Security *
Sandbox
image

Сразу хочу оговориться, что данная статья — не крик души, не бахвальство и, тем более, не попытка очернить чью-то там репутацию. Я просто призываю быть немного внимательнее пользователей услуг к сервисам компаний, которые их обслуживают, а сами компании — к сервисам, которые они предлагают своим клиентам. Иной раз такие сервисы ради удобства клиентов жертвуют их же, клиентов, конфиденциальностью. В каких пределах это происходило в моем случае — под катом.
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 11K
Comments 28

Настройка сервиса авторизации гостевой Wi-Fi сети

ZYXEL в России corporate blog System administration *Network technologies *Wireless technologies *Network hardware
Tutorial

Поводом для написания этой статьи стало два фактора.

Первое: необходимость соблюдения для публичных (гостевых) Wi-Fi сетей постановления Правительства РФ №758 от 31 июля 2014 года и №801 от 12 августа 2014 года (размеры штрафов за несоблюдение постановлений).

Второе: комплекс эмоций, которые испытаны, в процессе реализации всего этого. С этими постановлениями всё понятно, нужно соблюдать, но была другая неприятная проблема, вылезшая в процессе эксплуатации сервисов авторизации.

Читать далее
Total votes 2: ↑2 and ↓0 +2
Views 9.2K
Comments 2