На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> Интересно узнать, создаются ли системы аппаратной криптографической авторизации? , они могли б быть эффективнее паролей с дополнениями
    С авторизацией на основе пароля чем дальше, тем больше проблем, это и "упрощение обратимости hash-функций", и появляющиеся способы перехвата паролей. Но что если в телефоны встраивать аппаратно защищённую систему подписи с достаточно длинным неизменяемым секретным ключом, который напрямую программно не доступен вообще никаким образом, но при этом с обязательным биометрическим подтверждением можно получить открытый ключ и цифровую подпись каких-то данных. И в дополнение при каждой смене пользователя устройства генерируется дополнительный секретный ключ, доступный в API аналогичным образом. И применять всё это в особенно критичных вариантах авторизации, например, при доступе к inet banking'у.

    Допустим, для использования доступа к счетам с устройства, после offline'ового подтверждения личности, сопоставляются оба открытых ключа. Для авторизации по этой системе высылается каждый раз случайный код, в ответ на который должны прийти его подписи обоими ключами, и в случае правильной подписи создаётся token. Конечно, в случае смены телефона придётся offline'овое подтверждение выполнять повторно, после hard reset тоже, что поделать.

    Но зато допустим произошла утечка данных клиентов банка, в итоге в них входят только открытые ключи. Получить с них какую-то пользу - ну, mining криптовалюты и то перспективнее. Направили на fishing site через открытый wi-fi - ну, узнали подпись некоторых кодов авторизации, но при качественных случайных числах какой шанс, что совпадение случится раньше, чем будут замечены подозрительные запросы. В случае потери или кражи телефона не так просто будет отвязать от биометрических данных, так что сразу воспользоваться не получится, а после сброса устройства второй секретный ключ исчезнет совсем, и авторизация не пройдёт. Ну и потом можно обращением в банк отменить эти открытые ключи, возможностей предотвратить доступ кем-то ещё предостаточно, чтоб времени на это всегда хватило.
      Идея очень интересная. Есть неподтверждённая информация, что банки будут использовать блокчейн-технологии для работы банковской системы.
      0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
      0 пользователей:


      Рейтинг@Mail.ru
      [ Script execution time: 0,0200 ]   [ 15 queries used ]   [ Generated: 10.12.24, 11:44 GMT ]