Защита онлайн-сервисов с EmerSSL

К списку новостей

Пароль является одним из самых распространенных способов аутентификации пользователей. Программы, сайты, сервисы, банки и даже правительственные организации используют его для предоставления доступа к своим системам. Но так ли надежны пароли на самом деле?

Изначально заложенная уязвимость

История паролей насчитывает более 55 лет. Впервые надобность в них возникла в 60-х годах. Тогда компьютеры только начинали свой путь, стоили очень дорого и использовались в основном в учебных и исследовательских учреждениях. А вот желающих испытать возможности новых машин было более чем достаточно. Для распределения вычислительных мощностей между ними и был придуман пароль. Только после его ввода можно было получить доступ к системе, и он контролировал, кто и сколько времени может провести за компьютером. В это же время случились и первые взломы паролей. Так, в 1962 году недовольный правилами аспирант MIT украл пароли, чтобы пользоваться чужими квотами.

Сегодня же, когда компьютер подключен к всемирной сети появилось множество других угроз. Теперь ваш пароль может украсть не только знакомый вам человек, но и любой, кому необходим доступ к вашим данных. Более того, сервисы, которые мы используем, хранят наши пароли и мы не можем полностью доверять используемому устройству, сетевому соединению и даже серверу. Взлом серверов не раз служил причиной хищения паролей миллионов пользователей, например базы государственных служащих США OPN, в результате которого злоумышленники получили доступ к данным 22,1 млн. людей, в том числе служащих, их семей и родственников. И таких примеров можно привести бесконечное множество.

В результате подобных массовых компрометаций учетных записей пользвателей портится репутация организаций и компаний. Как владельцы сайтов, так и пользователи могут понести серьезные финансовые потери.

 

Устаревшая система – повышенные риски

Система парольной аутентификации устарела и не может выполнять тех функций, которые от нее требуются. Она отлично подходила для однопользовательского ПК, но не годится для онлайн-систем.

Когда пользователь предъявляет свой пароль, он полностью раскрывает секрет. В случае с использованием доверенного устройства это не представляет собой проблему. Но сегодня вряд ли какое-нибудь устройство можно назвать доверенным. При перехвате пароля злоумышленник получает полный доступ к учетной записи.

Для решения этой проблемы используется несколько методов. Зачастую сервисы требуют выбора пароля, который содержать не меньше определенного количества символов и букв разного регистра. Время от времени они напоминают о том, что старый пароль неплохо было бы обновить. И не следует забывать о том, что одному пользователю приходится придумывать десятки, а то и сотни подобных паролей для разных сайтов, которые попросту невозможно запомнить.

Централизованное хранение учетных записей является еще одной ключевой уязвимостью большинства современных систем. В подобных базах данных кроме UserID, который сам по себе не представляет ценности, также хранятся другие данные, в том числе хэши паролей, по которым можно воссоздать пароль

Использование централизованного хранения является одной из главной причин массового хищения данных. Только использование новой архитектуры позволит решить эту проблему. Она не должна раскрывать секрет пользователя в процессе аутентификации серверу, а также использовать децентрализованное хранение учетных записей. И чем меньше их хранится, тем лучше. Оптимальным вариантом является хранение на сервере только пользовательского ID.

Частичное решение предлагает использование системы пользовательских SSL-сертификатов. Но покупка этих сертификатов не только дорогая, но и происходит централизованно. В случае компрометации сертификата происходит массовая компрометация пользователей. Несмотря на то, что подобные взломы не так часты, как взломы сайтов, они случаются, и компания DigiNotar служит этому ярким подтверждением.

 

Децентрализованность блокчейна в EmerSSL

С появлением криптовалюты и блокчейна появился абсолютно новый способ защиты данных. Независимое доверие можно применить для построения новой архитектуры аутентификации, что и сделали в Emercoin.

Cистема клиентских SSL-сертификатов успешно справляется с решением проблемы полного раскрытия секрета, однако ее главными недостатком является сложная масштабируемость. В результате, она пользуется невысокой популярностью.

EmerSSL полностью меняет представление о подобных системах. В ней пользователи сами отвечают за выпуск сертификатов. Единый центр сертификации отсутствует. Блокчейн Emercoin используется как публичное доверенное хранилище хешей SSL-сертификатов. Он также присваивает уникальный номер, который является пользовательским ID. В результате, массовая компрометация учетных записей попросту невозможна. Сертификаты генерируются на пользовательских компьютерах и никогда их не покидают. Работа «пропуска» не зависит от сертификатора, сайта, а только от пользователя.

В случае необходимости повышенной безопасности EmerSSL можно использовать в рамках двухфакторной авторизации. С помощью EmerSSL происходит авторизация устройства и установление безопасного канала связи с сервером, а пароль авторизует пользователя. В случае необходимости, пользователь может легко отозвать скомпрометированный сертификат.

Очень хорошо использовать EmerSSL вместе с системой InfoCard. Инфокарта содержит всю информацию о пользователе, которую он хочет хранить на блокчейне. Во время входа в систему по сертификату EmerSSL, в нем содержится ссылка на карту и ключ расшифровки. Сервер извлекает из него необходимые данные, например имя и адрес доставки, а после покупки «забывает» содержимое карты. На сервере хранится только пользовательский ID, который без других данных представляет собой небольшую ценность.

InfoCard повышает удобство использования различных сервисов. Пользователю не нужно вручную вводить личную информацию при регистрации, что экономит время и снижает вероятность опечаток. В случае изменения данных не нужно менять их на всех используемых сервисах, достаточно обновить инфокарту.

Подводя итог можно сказать, что EmerSSL решает несколько важных на сегодняшний день задач. При использовании системы не раскрывается секрет пользователя и не приходится полагаться на доверенное устройство, а также централизованные хранилища сертификатов. В сочетании с InfoCard вы получаете надежную систему, которая защищает ваши личные данные и обеспечивает безопасную беспарольную аутентификацию. Она уже используется многими сервисами, в том числе Authorizer, системой управления датацентрами и майнерами компании HashCoins, массовой системой беспарольной авторизации от компании Remme, а также совсем скоро будет использоваться компанией облачного майнинга Hashing24 для защиты пользовательских аккаунтов.

К списку новостей