Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.97.9.168] |
|
Сообщ.
#1
,
|
|
|
С авторизацией на основе пароля чем дальше, тем больше проблем, это и "упрощение обратимости hash-функций", и появляющиеся способы перехвата паролей. Но что если в телефоны встраивать аппаратно защищённую систему подписи с достаточно длинным неизменяемым секретным ключом, который напрямую программно не доступен вообще никаким образом, но при этом с обязательным биометрическим подтверждением можно получить открытый ключ и цифровую подпись каких-то данных. И в дополнение при каждой смене пользователя устройства генерируется дополнительный секретный ключ, доступный в API аналогичным образом. И применять всё это в особенно критичных вариантах авторизации, например, при доступе к inet banking'у.
Допустим, для использования доступа к счетам с устройства, после offline'ового подтверждения личности, сопоставляются оба открытых ключа. Для авторизации по этой системе высылается каждый раз случайный код, в ответ на который должны прийти его подписи обоими ключами, и в случае правильной подписи создаётся token. Конечно, в случае смены телефона придётся offline'овое подтверждение выполнять повторно, после hard reset тоже, что поделать. Но зато допустим произошла утечка данных клиентов банка, в итоге в них входят только открытые ключи. Получить с них какую-то пользу - ну, mining криптовалюты и то перспективнее. Направили на fishing site через открытый wi-fi - ну, узнали подпись некоторых кодов авторизации, но при качественных случайных числах какой шанс, что совпадение случится раньше, чем будут замечены подозрительные запросы. В случае потери или кражи телефона не так просто будет отвязать от биометрических данных, так что сразу воспользоваться не получится, а после сброса устройства второй секретный ключ исчезнет совсем, и авторизация не пройдёт. Ну и потом можно обращением в банк отменить эти открытые ключи, возможностей предотвратить доступ кем-то ещё предостаточно, чтоб времени на это всегда хватило. |
Сообщ.
#2
,
|
|
|
Идея очень интересная. Есть неподтверждённая информация, что банки будут использовать блокчейн-технологии для работы банковской системы.
|