Компания BitPay представила новое беспарольное средство аутентификации BitAuth, направленное на снижение практики хранения паролей на стороне сервера, и таким образом уменьшая воздействие несанкционированного доступа на сервер
В блоге компании рассказывается о технологии:
Мы долго и тщательно обдумывали, как лучше обеспечить безопасность данных наших клиентов, это один из главных факторов, когда речь идет о финансовой информации. Существующие схемы аутентификации, которые всем известны, включают использование имени пользователя и пароля, сертификаты SSL на стороне клиента или прочие подобные методы. В конце нашего исследования мы обнаружили в каждом из методов свои недостатки, поэтому мы приняли решение построить протокол BitAuth.
Используя ту же эллиптическую криптографию, что и биткоин, BitAuth позволяет клиенту подписать каждый запрос, и сервер затем будет проверять соответствие подписи открытому ключу.
Одноразовое число используется для предотвращения повторных атак и для того чтобы обеспечить соблюдение последовательности.
BitAuth использует серийный идентификационный номер (Serial Identification Number, SIN), «новую форму идентификации, основанную на криптографической паре ключей», впервые предложенную разработчиком ядра биткоина Джеффом Гарзиком.
SINявляется аналогом биткоин-адреса и не представляет собой что-то секретное, в то время как соответствующий ему приватный ключ не хранится на стороне клиента и не передается по сети.
Схема проверки подлинности BitAuth прямо совместима со знакомой нам механикой аутентификацией по имени пользователя (или по электронной почте) и паролю. В самом деле, при хранении закрытых ключей мы рекомендуем их шифрование при помощи парольной фразы, что также делает их устойчивыми к атакам. Основное отличие метода BitAuth состоит в том, что пароль никогда не передается по сети, в каком бы то ни было формате. С помощью этой конкретной системы пользователь по-прежнему сталкивается с привычной системой ввода логина и пароля, но уже на локальном уровне для расшифровки закрытого ключа, а затем использует его для подписания запроса.
Если сервер подвергается атаке, целостность формы аутентификации пользователя остается нетронутым, хотя история отличается, если машина конечного пользователя находится под угрозой, так как пароль хранится локально.
Вот как систему сравнивает с традиционными методами аутентификации сама BitPay:
- Только раскрытие секретных данных на клиентской машине может поставить под угрозу безопасность системы.
- Поскольку закрытый ключ никогда не передается серверу, не нужно обмениваться между клиентом и сервером по боковому каналу, как в HMAC.
- Простота внедрения, где реализуется протокол биткоин.
- Разделение с биткоин адресом, что предоставляет четкое отделение от финансовых операций и приводит к большей конфиденциальности.
- Идентификация становится портативной — одна идентификация может использоваться для нескольких услуг, что позволяет взять идентификацию с собой.
«Мы считаем, что широкое внедрение BitAuth (или аналогичной схемы) будет способствовать повышению безопасности в интернете, и с нетерпением ждем, что другие сервисы примут подобный механизм», говорится в сообщении компании.