- PVSM.RU - https://www.pvsm.ru -
На этой неделе компания HashCoins запустила открытый некоммерческий проект «Авторайзер [1]», основная задача которого — упростить подключение emcSSL для владельцев сайтов. Являясь OAuth2-провайдером, Authorizer позволяет подключить беспарольную авторизацию на основе блокчейна Emercoin для любого сайта, CMS которого поддерживает этот протокол.
Увидеть, как это работает на практике, можно на сайтах журнала о крипторазработке Cryptor.net [2] и сайте с сиськами [3], где можно залогиниться, чтобы комментировать публикации и делать подборки понравившихся молочных желёз.
По мере оцифровывания нашей реальности, всё большее значение приобретают инструменты авторизации. Старые добрые пароли уже не катят: его слишком легко взломать, если он простой — или забыть, если он сложный. Даже менеджеры паролей не решают всех проблем, потому что мы просто не можем контролировать, как с ними обращаются на другой стороне — на стороне собственно сервисов. И постоянно появляющиеся новости о компрометации базы аккаунтов какого-нибудь крупного сервиса с миллионами юзеров не добавляет уверенности в завтрашнем дне. Даже захешированные пароли можно подобрать по словарю, если есть желание.
В своей статье «Под капотом Emercoin [4]», ведущий разработчик проекта Олег Ховайко приводит сразу несколько громких инцидентов последнего времени:
Adultfriendfinder – украдено 412 миллионов учётных записей [5].
OPM (база государственных служащих США) – украдено 22 миллиона записей [6].
Ну и отечественные хакеры тоже не отстают – Взлом «вконтакте» скомпрометировал 171 миллион учётных записей [7].
Тут уже не удаётся списать такие инциденты на «исключительный частный случай», тут прослеживается система. Конечно, не будем спорить – каждый взлом был уникален по-своему, но результат одинаков – массовая компрометация учётных записей пользователей, репутационные потери сайтов и организаций, и в каких-то случаях – значительные финансовые потери как пользователей, так и для сайтов и их владельцев.
EMCSSL – децентрализованный сервис беспарольного доступа к интернет-площадкам:
EmcSSL смещает фокус процесса аутентификации на пользователя. При генерации сертификата, генерируется и случайное число и определенная хэш-сумма, с помощью которых пользователь сам становится владельцем собственных личных данных. Сертификат состоит из публичной части и приватного ключа, который известен только пользователю.
С технологией EmcSSL доступ к идентификатору не контролирует никто кроме самого пользователя, сертификат уникален, так как проассоциирован со случайным числом.
Пользователь системы emcSSL получает эдакий «пропуск-вездеход», не зависящий ни от кого, кроме самого пользователя. Ни от «сайта в интернете», ни от сертификатора, ни от кого-либо ещё.
— пишет [4] Олег Ховайко, главный разработчик Emercoin
Как и у всех хороших, но не признанных идей, проблемой EmcSSL была не надёжность или изящество решения, а простота внедрения в реальной жизни. Представьте себе: сотни существующих CMS — и под каждую нужно сделать интеграцию? Это безумие. Поэтому решение связать EmcSSL с OAuth напрашивалось само собой: там все интеграции уже имеются.
Этапы подключения сайта:
Облачный майнинг HashFlare [9] уже внедрил её в свои панели управлении майнерами.
Генерация сертификата EmcSSL бесплатна, а отправка записи о нём в блокчейн Emercoin стоит 0,2 эмеркоина (примерно 2,5 рубля). Назначение сбора — защита от спама и бесконтрольного автоматического выпуска сертификатов, которые бы перезагрузили блокчейн Emercoin.
HashCoins работает над тем, чтобы сделать процесс выпуска сертификатов полностью бесплатным — то есть компания возьмёт на себя отправку данных в блокчейн и соответствующие расходы. Пользователю потребуется кошелёк Emercoin, на адрес которого будет отправляться сгенерированный сертификат, после чего он полностью переходить под контроль пользователя.
В случае потери физического носителя сертификата (например, кражи ноутбука или телефона), пользователь сможет вернуть контроль над сертификатом, восстановив свой Emercoin-кошелёк из бэкапа и сделать апдейт записи о сертификате в блокчейне, тем самым отменив доступ для старой версии и заменив его на новый.
Для практического использования, мы рекомендуем выпускать сертификаты самостоятельно [10]. В этом случае у пользователя будет не только сертификат, но и шаблон сертификата, который позволит его перевыпустить с сохранением имени сертификата. Для первого же знакомства вполне можно воспользоваться нашим генератором сертификатов [11], только имейте в виду, что в случае утери доступа к своему сертификату, восстановить его не получится, т.к. шаблоны остаются на стороне сервера.
Сейчас «Авторайзер [1]» практически готов. Идёт активное тестирование, поэтому если есть интерес — милости просим. Поможем подключить и настроить.
Облачный майнинг HashFlare поддерживает проекты Emercoin
[9]
Автор: HashFlare
Источник [12]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/kriptovalyuty/247347
Ссылки в тексте:
[1] Авторайзер: https://authorizer.io/
[2] Cryptor.net: https://cryptor.net/
[3] сайте с сиськами: https://nicetits.ru/
[4] Под капотом Emercoin: https://cryptor.net/kriptovalyuty/pod-kapotom-emercoin-chast-4-emcssl-decentralizovannaya-besparolnaya-sistema
[5] украдено 412 миллионов учётных записей: http://www.zdnet.com/article/adultfriendfinder-network-hack-exposes-secrets-of-412-million-users/
[6] украдено 22 миллиона записей: https://www.washingtonpost.com/news/federal-eye/wp/2015/07/09/hack-of-security-clearance-system-affected-21-5-million-people-federal-authorities-say/
[7] компрометировал 171 миллион учётных записей: https://habrahabr.ru/company/defconru/blog/302644/
[8] WordPress: https://cryptor.net/tutorial/podklyuchaem-sayt-na-wordpress-k-sisteme-authorizer
[9] HashFlare: https://hashflare.io/?lang=rus&utm_source=geektimes&utm_medium=post&utm_campaign=286474
[10] самостоятельно: https://authorizer.io/ru/instructions/how-create-certificate
[11] генератором сертификатов: https://emcssl.org/
[12] Источник: https://geektimes.ru/post/286474/
Нажмите здесь для печати.