«Авторайзер»: беспарольная децентрализованная авторизация через OAuth 2.0 на блокчейне Emercoin

    На этой неделе компания HashCoins запустила открытый некоммерческий проект «Авторайзер», основная задача которого — упростить подключение emcSSL для владельцев сайтов. Являясь OAuth2-провайдером, Authorizer позволяет подключить беспарольную авторизацию на основе блокчейна Emercoin для любого сайта, CMS которого поддерживает этот протокол.



    Увидеть, как это работает на практике, можно на сайтах журнала о крипторазработке Cryptor.net и сайте с сиськами, где можно залогиниться, чтобы комментировать публикации и делать подборки понравившихся молочных желёз.

    По мере оцифровывания нашей реальности, всё большее значение приобретают инструменты авторизации. Старые добрые пароли уже не катят: его слишком легко взломать, если он простой — или забыть, если он сложный. Даже менеджеры паролей не решают всех проблем, потому что мы просто не можем контролировать, как с ними обращаются на другой стороне — на стороне собственно сервисов. И постоянно появляющиеся новости о компрометации базы аккаунтов какого-нибудь крупного сервиса с миллионами юзеров не добавляет уверенности в завтрашнем дне. Даже захешированные пароли можно подобрать по словарю, если есть желание.

    В своей статье «Под капотом Emercoin», ведущий разработчик проекта Олег Ховайко приводит сразу несколько громких инцидентов последнего времени:

    Adultfriendfinder – украдено 412 миллионов учётных записей.

    OPM (база государственных служащих США) – украдено 22 миллиона записей.

    Ну и отечественные хакеры тоже не отстают – Взлом «вконтакте» скомпрометировал 171 миллион учётных записей.

    Тут уже не удаётся списать такие инциденты на «исключительный частный случай», тут прослеживается система. Конечно, не будем спорить – каждый взлом был уникален по-своему, но результат одинаков – массовая компрометация учётных записей пользователей, репутационные потери сайтов и организаций, и в каких-то случаях – значительные финансовые потери как пользователей, так и для сайтов и их владельцев.

    EMCSSL – децентрализованный сервис беспарольного доступа к интернет-площадкам:

    1. Беспарольный принцип авторизации гарантирует защиту от компрометации учётной записи пользователя, как происходит в многочисленных случаях взломов различных сервисов, потому что никакие данные в этом случае на стороне сервиса не хранятся.
    2. А децентрализованность EmcSSL делает сертификат пользователя независимым от сервиса, выпустившего его — что выгодно отличает от других методов беспарольной авторизации — например, «логина через Facebook», который работает только пока работоспособен сам Facebook.

    EmcSSL смещает фокус процесса аутентификации на пользователя. При генерации сертификата, генерируется и случайное число и определенная хэш-сумма, с помощью которых пользователь сам становится владельцем собственных личных данных. Сертификат состоит из публичной части и приватного ключа, который известен только пользователю.

    С технологией EmcSSL доступ к идентификатору не контролирует никто кроме самого пользователя, сертификат уникален, так как проассоциирован со случайным числом.

    Пользователь системы emcSSL получает эдакий «пропуск-вездеход», не зависящий ни от кого, кроме самого пользователя. Ни от «сайта в интернете», ни от сертификатора, ни от кого-либо ещё.
    пишет Олег Ховайко, главный разработчик Emercoin

    Как и у всех хороших, но не признанных идей, проблемой EmcSSL была не надёжность или изящество решения, а простота внедрения в реальной жизни. Представьте себе: сотни существующих CMS — и под каждую нужно сделать интеграцию? Это безумие. Поэтому решение связать EmcSSL с OAuth напрашивалось само собой: там все интеграции уже имеются.

    Этапы подключения сайта:

    1. Создание сертификата. Сертификат позволит авторизоваться на странице приложений Authorizer и добавить свой сайт.
    2. Создание приложения. Тут все просто. Указываете название сайта и RedirectURL (о нем чуть дальше )
    3. Настройка модуля на своем сайте. Есть уже готовые модули для WordPress, Drupal и October. В настройках модуля нужно просто указать Client Id и Secret. Эти данные можно взять на странице приложений. RedirectURL зависит от выбранной CMS и указан в инструкциях к модулям.

    Облачный майнинг HashFlare уже внедрил её в свои панели управлении майнерами.

    Генерация сертификата EmcSSL бесплатна, а отправка записи о нём в блокчейн Emercoin стоит 0,2 эмеркоина (примерно 2,5 рубля). Назначение сбора — защита от спама и бесконтрольного автоматического выпуска сертификатов, которые бы перегрузили блокчейн Emercoin.

    HashCoins работает над тем, чтобы сделать процесс выпуска сертификатов полностью бесплатным — то есть компания возьмёт на себя отправку данных в блокчейн и соответствующие расходы. Пользователю потребуется кошелёк Emercoin, на адрес которого будет отправляться сгенерированный сертификат, после чего он полностью переходить под контроль пользователя.

    В случае потери физического носителя сертификата (например, кражи ноутбука или телефона), пользователь сможет вернуть контроль над сертификатом, восстановив свой Emercoin-кошелёк из бэкапа и сделать апдейт записи о сертификате в блокчейне, тем самым отменив доступ для старой версии и заменив его на новый.

    Для практического использования, мы рекомендуем выпускать сертификаты самостоятельно. В этом случае у пользователя будет не только сертификат, но и шаблон сертификата, который позволит его перевыпустить с сохранением имени сертификата. Для первого же знакомства вполне можно воспользоваться нашим генератором сертификатов, только имейте в виду, что в случае утери доступа к своему сертификату, восстановить его не получится, т.к. шаблоны остаются на стороне сервера.

    Сейчас «Авторайзер» практически готов. Идёт активное тестирование, поэтому если есть интерес — милости просим. Поможем подключить и настроить.

    Облачный майнинг HashFlare поддерживает проекты Emercoin
    HashFlare 90,72
    Разработка ПО и услуги облачного майнинга
    Поделиться публикацией
    Комментарии 15
    • 0
      Правый клик на КПДВ > Адблок > Заблокировать изображение
      Пожалуйста, не превращайте трекер ГТ в йаплакал и тп.
      • 0
        Убедили. Никаких больше сисек!
      • 0
        Я прочитал статью, но не понял при чем тут сиськи. А потом понял — что бы прочитал. Я, как классический представитель тупого стада глупо купился на вашу элегантную психологическую уловку.
        • +2
          Вообще-то это не просто сиськи, а сайт, почётно внедривший авторизацию EmcSSL одним из первых в интернете.
        • 0
          Запостить сиськи на ГТ — легчайший способ слить карму
          • 0
            Или налить. Кому как повезёт. Нам не повезло.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +1
              Вы хотели сказать «универсальная»? Потому что единая — не дай бог. Вот EmcSSL благодаря своей децентрализованности отлично подходит на эту роль.
            • 0
              Т.е. чтобы войти на сайт мне теперь нужно будет заводить эмеркоин кошелек, я все правильно понял?
              • 0
                Кошелёк нужен, чтобы отправить данные о сертификате в блокчейн Эмеркоин. Это однократное действие.
                • 0
                  Ну не знаю возможно идея хорошая, но массовой скорее всего не станет. Был проект децентрализированной соц. сети. Где она сейчас? Скорее возможен сценарий, когда 95% всех домохозяек без учетки не смогут пользоваться операционкой и когда в браузеры впилят апи на аутентификацию учеткой ОС. Вот вам вход везде без ввода пароля.
                  • 0

                    А ежели у домохозяйки несколько компьютеров и, следовательно, несколько учёток в нескольких ОС? Тогда из каждой операционки домохозяйка будет аутентифицироваться как отдельный новый пользователь в каждом из сервисов? Или вы предлагаете, чтобы microsoft взял на себя роль единого центра авторизации?


                    По существу у меня вопрос к автору статьи по поводу заявленной открытости проекта: можно ли запустить этот сервис "Авторайзер" на собственном домене? Иначе получается банальная замена facebook.com на autorizer.io, какая бы замечательная технология не скрывалась за именем: ляжет autorizer — пропадёт возможность авторизации.

                    • 0
                      У домохозяйки не будет несколько учеток, потому что к её учетке будет привязано облако (неважно чье майкрософт или эпл) и стор приложений и кредитка привязана и т.д. и т.п. К примеру у меня на андроиде только одна учетка и к ней много всего привязано. Такое же будет и на десктопах
                      • 0
                        • 0
                          можно ли запустить этот сервис "Авторайзер" на собственном домене?

                          Да! В том то всё и дело! Вы скачиваете код с github, запускаете сервиc, подключаете к нему сайты-клиенты — и все пользователи emcSSL, придя на любой из Ваших сайтов-клиентов, могут авторизоваться именно через Ваш авторайзер. И эти же пользователи, имея единый "сертификат-вездеход", могут авторизоваться на Крипторе через authorizer.io, рассмотренный в статье.
                          А если сайт-клиент вообще не хочет верить ни одному авторайзеру, он может сам работать в системе emcSSL, как например это делает майнинг-пул Emercoin.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое