xaker

Save Password — новый стандарт авторизации в вебе

  • пятница, 2 мая 2014 г. в 03:10:27
http://www.xakep.ru/post/62440/

Каждая новая кибератака возвращает нас к мысли, что традиционная авторизация на сайты, состоящая из связки логина и пароля, изживает себя. Приходится доверять свои данные десяткам и сотням серверов и уповать на то, что администраторы вовремя закрывают дырки. В худшем случае пользователь просто выставляет один пароль на всех сайтах и надеется на авось. В лучшем случае, если речь идет о продвинутом юзере, он вынужден выполнять следующий набор действий:

  • устанавливать специальное приложение для работы с паролями, например 1Password или Dashlane;
  • выставлять уникальные пароли для всех сайтов и записывать их в свой менеджер паролей;
  • в случае любой утечки пользовательских данных оперативно менять свои пароли;
  • для самых важных учеток (вроде Google, Dropbox, Evernote, учетки в интернет-банке) использовать двухфакторную авторизацию.

Если же появятся глобальные угрозы, вроде недавнего Heartbleed, придется заменить пароли во всех критичных сервисах. А как часто пользователь вообще не в курсе, что его данные были слиты?

Чтобы решить эту проблему, ребята из Москвы запустили проект Save Password. Суть — в комбинации всех перечисленных методов, где центральным элементом становится двухфакторная авторизация. Для пользователя это выглядит следующим образом:

  • Пользователь регистрируется на сервисе Save Password, при этом присваивает себе логин.
  • При заходе на сайт, поддерживающий Save Password, пользователю показывается поле, в которое нужно ввести свой логин.

  • После этого приходит SMS с тремя случайными цифрами, которые нужно ввести в то же поле на сайте после логина.

  • Все, авторизация завершена!

Если пользователь заходит на сайт, где он уже регистрировался без Save Password, ему предложат сменить существующий пароль на более сложный. Записывать или хранить новый пароль уже не потребуется, так как для работы с сайтом будет достаточно запомнить свой логин. На серверах самого Save Password эти данные храниться не будут.

Также Save Password устранит саму процедуру регистрации: для каждого пользователя сервис будет хранить данные о дате рождения, поле, имени, а также его фото/аватар. Поэтому для любого сайта, поддерживающего SP, вводить какие-либо дополнительные данные просто не потребуется.

При утере доступа к учетной записи на Save Password пользователь сможет восстановить его по почте с помощью секретного вопроса. На введение трех случайных символов пользователю дается две попытки, в случае неудачи они могут быть заново сгенерированы сервисом SP. Для пользователя авторизация через SP будет проще, чем в обыденных случаях, которые распространены сегодня, — потому что нет базы из десятков и сотен логинов и паролей, которые нужно запоминать либо где-то хранить.

Сейчас на краудфандинговой платформе «Бумстартер» идет сбор средств, которые требуются для реализации этого проекта. Нужно не только продвигать проект в Сети, но и писать API и документацию для сторонних разработчиков, разрабатывать плагины для популярных CMS (минимум десяти — сейчас есть тестовая версия первого плагина). Необходимы средства и на техническую поддержку пользователей и администраторов сайтов.

По мере получения необходимых средств создатели планируют расширять команду и приглашают всех желающих, в том числе и читателей «Хакера». О том, как поучаствовать в самой разработке проекта, можно также прочитать на странице проекта на «Бумстартере».

На правах рекламы