Как заменить тысячу и один пароль одним блокчейном

Современному человеку необходимо держать в голове десятки логинов и паролей для доступа к своим аккаунтам на разных платформах. Чем надежнее пароль, тем сложнее его запомнить. И чем больше уникальных паролей создает пользователь для своих аккаунтов, тем выше вероятность потери одного из них.

Можно ли изменить эту старую парадигму, где сам залог безопасности (пароль) зачастую становится причиной ее снижения? Нам сложно представить, что в скором будущем логин и пароль перестанут быть нужны для авторизации. Но как давно сканирование сетчатки или голосовая аутентификация казались нам фантастикой? Возможно, сегодня мы не так далеки от эры беспарольной безопасности, как может показаться.

Решения, пытающиеся облегчить жизнь пользователя с помощью технологии единого входа, появились не вчера. Вдохновителем этих инициатив можно назвать старый протокол Kerberos, с помощью которого пользователь мог свободно перемещаться внутри одного сайта или программной оболочки.

Децентрализованные системы аутентификации OpenID и Mozilla Persona попытались распространить принцип единого входа на целый ряд сайтов и сервисов, но не достигли значительного успеха. Несмотря на поддержку крупных брендов, их использование не стало повсеместным, а Persona был благополучно похоронен в конце ушедшего года.

Серьезной уязвимостью подобных сервисов считался фишинг.

Намного большую популярность набрал oAuth — открытый протокол авторизации, позволяющий пользователю временно предоставить третьей стороне ограниченный доступ к своим данным и с помощью одного хорошо защищенного аккаунта авторизоваться на любом другом онлайн-сервисе, поддерживающем протокол.

Но oAuth не мог похвастать идеальной защитой персональных данных и делал слишком большую ставку на один центральный аккаунт, взлом которого мог повлечь потерю остальных.

Довольно надежным методом беспарольной авторизации можно назвать клиентские SSL-сертификаты для браузеров, которые можно купить у централизованных компаний-сертификаторов. Но это удовольствие не из дешевых и требует определенного времени и усилий.

Существуют также другие варианты решения этой проблемы с использованием технологии блокчейн. Например, токены авторизации NXT используются для аутентификации пользовательского аккаунта, неся в себе уникальную подпись, сгенерированную с помощью приватного ключа. К сожалению, токены NXT не обеспечивают достаточную безопасность, так как передаются целиком и, следовательно, могут быть перехвачены.

Использование блокчейна EmerCoin

На фоне большого и печального опыта появилась потребность в новом сервисе, который обеспечил бы безопасную и надежную единую авторизацию. Здесь необходимо упомянуть протокол emcSSL, который позиционирует себя как первая децентрализованная система управления цифровыми ключами на основе блокчейна EmerCoin.

Как и положено в децентрализованной структуре, сертификацией в системе emcSSL занимаются сами пользователи, а блокчейн EmerCoin используется для хранения хэшей этих SSL-сертификатов и обеспечивает уникальность UserID.

Технология блокчейн позволяет как повысить безопасность, так и масштабировать систему до глобального уровня благодаря децентрализации. Приватные ключи никогда не покидают компьютеры пользователей, поэтому невозможна массовая утечка личных данных в результате взлома. Да и центрального сервера, который можно скомпрометировать, у системы не существует.

В системе emcSSL персональные данные хранятся на так называемых инфокартах — зашифрованных блоках данных в блокчейне EmerCoin. Когда пользователь авторизуется на том или ином сайте или сервисе, он сам решает к какой информации открывать доступ. Такая система защищает личные данные, когда пользователь не хочет ими делиться, и позволяет легко открыть доступ к ним, когда это необходимо — например, для совершения онлайн-покупки не нужно заполнять анкету на каждом сайте, протокол сам откроет магазину доступ к контактным данным с разрешения пользователя.

Тем не менее, emcSSL довольно сложен в настройке и работе и требует от пользователя определенных профессиональных навыков.

Authorizer

Серьезный шаг на пути к созданию «мультипаспорта» для массового пользователя неожиданно сделали в Hashcoins — компании, которую многие в криптовалютном сообществе знают по сервису облачного майнинга Hashflare.

После длительного знакомства с emcSSH, который сотрудники компании использовали для создания простой и эффективной иерархии доступов к многочисленным майнинговым серверам, Hashcoins заявили что работают над сервисом Authorizer, объединяющим протокол emcSSL с функционалом oAuth 2.0. Ожидается, что в результате этого союза упростится настройка сервиса и значительно увеличится дружелюбность к пользователю.

По словам разработчиков, интерфейс будет реализован как кнопка-гиперлинк, нажав на которую пользователь окажется на сайте Authorizer или увидит всплывающее окно и получит токен авторизации. Судя по всему, внешне это будет мало отличаться от авторизации через Facebook.

Релиз запланирован на конец января, но Hashcoins уже сегодня объясняют процесс работы с новым продуктом. Первым шагом в настройке Authorizer будет создание собственного сертификата и заполнение инфокарты. Это можно будет сделать как на сайте самого Authorizer, так и на сайте emcSSL или через кошелек EmerCoin. Самый надежный способ для продвинутых пользователей — самостоятельная генерация сертификата с помощью скриптов.

Вновь созданный сертификат интегрируется в любые браузеры. Это простой процесс, требующий только единожды ввести сгенерированный при создании сертификата пароль для привязки сертификата к каждому новому браузеру.

Однако при всех преимуществах такого единого инструмента авторизации, кража плохо защищенного девайса с активным сертификатом может привести к печальным последствиям. Пользоваться Authorizer с мобильных устройств, не имеющих надежной защиты от несанкционированного физического доступа, может быть небезопасно.

«Для защиты сертификата используется пароль. Его нужно ввести один единственный раз при добавлении в браузер. Если вы носите ноутбук или телефон с собой и на этих девайсах есть важные данные, то наверняка у вас уже стоит пароль или используется отпечаток пальца для защиты девайса от посторонних глаз», — прокомментировал технический директор компании Hashcoins Николай Павловский.

Дальнейшее использование сервиса не требует паролей и проверок. Для авторизации на любом ресурсе, поддерживающем Authorizer, необходимо будет просто нажать на кнопку авторизации и выбрать сертификат на устройстве. Объем личной информации, которую каждый ресурс получит при авторизации, будет зависеть только от решения самого пользователя.

Как электронное хранилище персональных данных, Authorizer намного безопаснее любого централизованного решения, но требует от пользователя более ответственного подхода к обеспечению офлайн-безопасности своих устройств.