https://forum.sources.ru Форум на Исходниках.RU Форум на Исходниках.RU https://forum.sources.ru/index.php?showtopic=416501&view=findpost&p=3829030 Thu, 23 Apr 2020 06:58:48 +0000 https://forum.sources.ru/index.php?showtopic=416501&view=findpost&p=3829030 Dmitry DDD Обсуждаем новые идеи https://forum.sources.ru/index.php?showtopic=416501&view=findpost&p=3817783 Tue, 07 Jan 2020 14:56:54 +0000 https://forum.sources.ru/index.php?showtopic=416501&view=findpost&p=3817783
Допустим, для использования доступа к счетам с устройства, после offline'ового подтверждения личности, сопоставляются оба открытых ключа. Для авторизации по этой системе высылается каждый раз случайный код, в ответ на который должны прийти его подписи обоими ключами, и в случае правильной подписи создаётся token. Конечно, в случае смены телефона придётся offline'овое подтверждение выполнять повторно, после hard reset тоже, что поделать.

Но зато допустим произошла утечка данных клиентов банка, в итоге в них входят только открытые ключи. Получить с них какую-то пользу - ну, mining криптовалюты и то перспективнее. Направили на fishing site через открытый wi-fi - ну, узнали подпись некоторых кодов авторизации, но при качественных случайных числах какой шанс, что совпадение случится раньше, чем будут замечены подозрительные запросы. В случае потери или кражи телефона не так просто будет отвязать от биометрических данных, так что сразу воспользоваться не получится, а после сброса устройства второй секретный ключ исчезнет совсем, и авторизация не пройдёт. Ну и потом можно обращением в банк отменить эти открытые ключи, возможностей предотвратить доступ кем-то ещё предостаточно, чтоб времени на это всегда хватило.]]> Ilya81 Обсуждаем новые идеи