На главную
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> Интересно узнать, создаются ли системы аппаратной криптографической авторизации?, они могли б быть эффективнее паролей с дополнениями
    С авторизацией на основе пароля чем дальше, тем больше проблем, это и "упрощение обратимости hash-функций", и появляющиеся способы перехвата паролей. Но что если в телефоны встраивать аппаратно защищённую систему подписи с достаточно длинным неизменяемым секретным ключом, который напрямую программно не доступен вообще никаким образом, но при этом с обязательным биометрическим подтверждением можно получить открытый ключ и цифровую подпись каких-то данных. И в дополнение при каждой смене пользователя устройства генерируется дополнительный секретный ключ, доступный в API аналогичным образом. И применять всё это в особенно критичных вариантах авторизации, например, при доступе к inet banking'у.

    Допустим, для использования доступа к счетам с устройства, после offline'ового подтверждения личности, сопоставляются оба открытых ключа. Для авторизации по этой системе высылается каждый раз случайный код, в ответ на который должны прийти его подписи обоими ключами, и в случае правильной подписи создаётся token. Конечно, в случае смены телефона придётся offline'овое подтверждение выполнять повторно, после hard reset тоже, что поделать.

    Но зато допустим произошла утечка данных клиентов банка, в итоге в них входят только открытые ключи. Получить с них какую-то пользу - ну, mining криптовалюты и то перспективнее. Направили на fishing site через открытый wi-fi - ну, узнали подпись некоторых кодов авторизации, но при качественных случайных числах какой шанс, что совпадение случится раньше, чем будут замечены подозрительные запросы. В случае потери или кражи телефона не так просто будет отвязать от биометрических данных, так что сразу воспользоваться не получится, а после сброса устройства второй секретный ключ исчезнет совсем, и авторизация не пройдёт. Ну и потом можно обращением в банк отменить эти открытые ключи, возможностей предотвратить доступ кем-то ещё предостаточно, чтоб времени на это всегда хватило.
      Идея очень интересная. Есть неподтверждённая информация, что банки будут использовать блокчейн-технологии для работы банковской системы.
      1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
      0 пользователей:


      Рейтинг@Mail.ru
      [ Script Execution time: 0,0649 ]   [ 14 queries used ]   [ Generated: 10.07.20, 12:53 GMT ]