- PVSM.RU - https://www.pvsm.ru -

«Авторайзер»: беспарольная децентрализованная авторизация через OAuth 2.0 на блокчейне Emercoin

На этой неделе компания HashCoins запустила открытый некоммерческий проект «Авторайзер [1]», основная задача которого — упростить подключение emcSSL для владельцев сайтов. Являясь OAuth2-провайдером, Authorizer позволяет подключить беспарольную авторизацию на основе блокчейна Emercoin для любого сайта, CMS которого поддерживает этот протокол.

«Авторайзер»: беспарольная децентрализованная авторизация через OAuth 2.0 на блокчейне Emercoin - 1

Увидеть, как это работает на практике, можно на сайтах журнала о крипторазработке Cryptor.net [2] и сайте с сиськами [3], где можно залогиниться, чтобы комментировать публикации и делать подборки понравившихся молочных желёз.

По мере оцифровывания нашей реальности, всё большее значение приобретают инструменты авторизации. Старые добрые пароли уже не катят: его слишком легко взломать, если он простой — или забыть, если он сложный. Даже менеджеры паролей не решают всех проблем, потому что мы просто не можем контролировать, как с ними обращаются на другой стороне — на стороне собственно сервисов. И постоянно появляющиеся новости о компрометации базы аккаунтов какого-нибудь крупного сервиса с миллионами юзеров не добавляет уверенности в завтрашнем дне. Даже захешированные пароли можно подобрать по словарю, если есть желание.

В своей статье «Под капотом Emercoin [4]», ведущий разработчик проекта Олег Ховайко приводит сразу несколько громких инцидентов последнего времени:

Adultfriendfinder – украдено 412 миллионов учётных записей [5].

OPM (база государственных служащих США) – украдено 22 миллиона записей [6].

Ну и отечественные хакеры тоже не отстают – Взлом «вконтакте» скомпрометировал 171 миллион учётных записей [7].

Тут уже не удаётся списать такие инциденты на «исключительный частный случай», тут прослеживается система. Конечно, не будем спорить – каждый взлом был уникален по-своему, но результат одинаков – массовая компрометация учётных записей пользователей, репутационные потери сайтов и организаций, и в каких-то случаях – значительные финансовые потери как пользователей, так и для сайтов и их владельцев.

EMCSSL – децентрализованный сервис беспарольного доступа к интернет-площадкам:

  1. Беспарольный принцип авторизации гарантирует защиту от компрометации учётной записи пользователя, как происходит в многочисленных случаях взломов различных сервисов, потому что никакие данные в этом случае на стороне сервиса не хранятся.
  2. А децентрализованность EmcSSL делает сертификат пользователя независимым от сервиса, выпустившего его — что выгодно отличает от других методов беспарольной авторизации — например, «логина через Facebook», который работает только пока работоспособен сам Facebook.

EmcSSL смещает фокус процесса аутентификации на пользователя. При генерации сертификата, генерируется и случайное число и определенная хэш-сумма, с помощью которых пользователь сам становится владельцем собственных личных данных. Сертификат состоит из публичной части и приватного ключа, который известен только пользователю.

С технологией EmcSSL доступ к идентификатору не контролирует никто кроме самого пользователя, сертификат уникален, так как проассоциирован со случайным числом.

Пользователь системы emcSSL получает эдакий «пропуск-вездеход», не зависящий ни от кого, кроме самого пользователя. Ни от «сайта в интернете», ни от сертификатора, ни от кого-либо ещё.
пишет [4] Олег Ховайко, главный разработчик Emercoin

Как и у всех хороших, но не признанных идей, проблемой EmcSSL была не надёжность или изящество решения, а простота внедрения в реальной жизни. Представьте себе: сотни существующих CMS — и под каждую нужно сделать интеграцию? Это безумие. Поэтому решение связать EmcSSL с OAuth напрашивалось само собой: там все интеграции уже имеются.

Этапы подключения сайта:

  1. Создание сертификата. Сертификат позволит авторизоваться на странице приложений Authorizer и добавить свой сайт.
  2. Создание приложения. Тут все просто. Указываете название сайта и RedirectURL (о нем чуть дальше )
  3. Настройка модуля на своем сайте. Есть уже готовые модули для WordPress [8], Drupal и October. В настройках модуля нужно просто указать Client Id и Secret. Эти данные можно взять на странице приложений. RedirectURL зависит от выбранной CMS и указан в инструкциях к модулям.

Облачный майнинг HashFlare [9] уже внедрил её в свои панели управлении майнерами.

Генерация сертификата EmcSSL бесплатна, а отправка записи о нём в блокчейн Emercoin стоит 0,2 эмеркоина (примерно 2,5 рубля). Назначение сбора — защита от спама и бесконтрольного автоматического выпуска сертификатов, которые бы перезагрузили блокчейн Emercoin.

HashCoins работает над тем, чтобы сделать процесс выпуска сертификатов полностью бесплатным — то есть компания возьмёт на себя отправку данных в блокчейн и соответствующие расходы. Пользователю потребуется кошелёк Emercoin, на адрес которого будет отправляться сгенерированный сертификат, после чего он полностью переходить под контроль пользователя.

В случае потери физического носителя сертификата (например, кражи ноутбука или телефона), пользователь сможет вернуть контроль над сертификатом, восстановив свой Emercoin-кошелёк из бэкапа и сделать апдейт записи о сертификате в блокчейне, тем самым отменив доступ для старой версии и заменив его на новый.

Для практического использования, мы рекомендуем выпускать сертификаты самостоятельно [10]. В этом случае у пользователя будет не только сертификат, но и шаблон сертификата, который позволит его перевыпустить с сохранением имени сертификата. Для первого же знакомства вполне можно воспользоваться нашим генератором сертификатов [11], только имейте в виду, что в случае утери доступа к своему сертификату, восстановить его не получится, т.к. шаблоны остаются на стороне сервера.

Сейчас «Авторайзер [1]» практически готов. Идёт активное тестирование, поэтому если есть интерес — милости просим. Поможем подключить и настроить.

Облачный майнинг HashFlare поддерживает проекты Emercoin
«Авторайзер»: беспарольная децентрализованная авторизация через OAuth 2.0 на блокчейне Emercoin - 2 [9]

Автор: HashFlare

Источник [12]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/kriptovalyuty/247347

Ссылки в тексте:

[1] Авторайзер: https://authorizer.io/

[2] Cryptor.net: https://cryptor.net/

[3] сайте с сиськами: https://nicetits.ru/

[4] Под капотом Emercoin: https://cryptor.net/kriptovalyuty/pod-kapotom-emercoin-chast-4-emcssl-decentralizovannaya-besparolnaya-sistema

[5] украдено 412 миллионов учётных записей: http://www.zdnet.com/article/adultfriendfinder-network-hack-exposes-secrets-of-412-million-users/

[6] украдено 22 миллиона записей: https://www.washingtonpost.com/news/federal-eye/wp/2015/07/09/hack-of-security-clearance-system-affected-21-5-million-people-federal-authorities-say/

[7] компрометировал 171 миллион учётных записей: https://habrahabr.ru/company/defconru/blog/302644/

[8] WordPress: https://cryptor.net/tutorial/podklyuchaem-sayt-na-wordpress-k-sisteme-authorizer

[9] HashFlare: https://hashflare.io/?lang=rus&utm_source=geektimes&utm_medium=post&utm_campaign=286474

[10] самостоятельно: https://authorizer.io/ru/instructions/how-create-certificate

[11] генератором сертификатов: https://emcssl.org/

[12] Источник: https://geektimes.ru/post/286474/