Алгоритм авторизации со съёмным носителем
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Алгоритм авторизации со съёмным носителем - 2011-02-24 03:55:09.410000
|
|
|
slipslop
Сообщений: 115
Оценки: 0
Присоединился: 2010-12-27 20:21:35.253333
|
Ну если и на этот вопрос на ксакепе я не смогу получить ответ, то я совсем разочаруюсь в здешних посетителях.
Есть многопользовательская система с разделяемыми данными. Пользователи аналогичны по поведению бухгалтерам, то есть склонны к суперпростым паролям, наклеенным на мониторы. Нужно создать дополнительный признак авторизации, позволяющий повысить надёжность. Дабы не страдать фигнёй и не распространять дополнительный клиентский софт, сделать всё нужно силами браузера. Компы меняются, так что любая привязка к железу бесполезна.
Моё решение:
Генерировать для каждого пользователя уникальный ключ и сохранять его на флешку. За копирование ключа или передачу флешки ввести уголовную отвественность (ресурсы это действительно позволяют). При авторизации требовать кроме логина и пароля путь к файлу. На сервере генерировать access_token как хеш от 3х параметров: логина пользователя, ключа с флешки и времени авторизации (как вариант, третьим параметром может идти session_id, который сам по себе включает время авторизации). Этот access_token вместе с session_id сохранять в куки до окончания сессии, в начале следующей сессии снова требовать ключ с флешки.
Два вопроса:
1) какие могут быть потенциальные дыры такой защиты?
2) существуют ли аналогичные, но менее кривые протоколы (электронные ключи не в счёт - браузер с ними не умеет работать)?
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-02-24 16:43:32.760000
|
|
|
_SaZ_
Сообщений: 4329
Оценки: 398
Присоединился: 2008-01-30 02:18:05.553333
|
Может стоит покурить в сторону такого решения: http://www.rsa.com/node.aspx?id=1156 ? Правда у нас оно использовалось просто при установке VPN соединения.
З.Ы. в куках в открытом виде, естественно, ничего не сохранять.
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-02-24 16:49:40.760000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
1. На вскидку сильных косяков не видно.
2. Попробуй обратиться к Хьего_Босс'у, он там похожее что-то делал.
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-02-24 21:01:16.706666
|
|
|
slipslop
Сообщений: 115
Оценки: 0
Присоединился: 2010-12-27 20:21:35.253333
|
quote:
ORIGINAL: _SaZ_
Может стоит покурить в сторону такого решения: http://www.rsa.com/node.aspx?id=1156 ? Правда у нас оно использовалось просто при установке VPN соединения.
Прикольно, конечно, но штамповать брелоки-генераторы кода как-то дороговато, закупаться ими тоже напряжно.
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-02-24 21:02:33.030000
|
|
|
slipslop
Сообщений: 115
Оценки: 0
Присоединился: 2010-12-27 20:21:35.253333
|
quote:
ORIGINAL: Sрam
2. Попробуй обратиться к Хьего_Босс'у, он там похожее что-то делал.
Ху из ит?
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-03-01 00:08:44.810000
|
|
|
_SaZ_
Сообщений: 4329
Оценки: 398
Присоединился: 2008-01-30 02:18:05.553333
|
quote:
ORIGINAL: slipslop
Прикольно, конечно, но штамповать брелоки-генераторы кода как-то дороговато, закупаться ими тоже напряжно.
Не сильно дороже, чем флэшками, имхо :). Хотя я ценами не владею, это когда-то для reuters оффшорили - так они использовали такую систему для VPN.
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-03-01 21:55:06.306666
|
|
|
slipslop
Сообщений: 115
Оценки: 0
Присоединился: 2010-12-27 20:21:35.253333
|
Предварительная оценка показала, что такие брелоки стоят порядка 800 рос. рублей / $27 - можно флешки и подешевле найти :)
|
|
|
|
|
RE: Алгоритм авторизации со съёмным носителем - 2011-03-02 03:44:54.596666
|
|
|
_SaZ_
Сообщений: 4329
Оценки: 398
Присоединился: 2008-01-30 02:18:05.553333
|
Зато будет тех. поддержка и достаточно маленькая вероятность того, что накосячишь в собственных велосипедах. Я не настаиваю, просто предложил то, что вспомнил ;), вам уже виднее.
|
|
|
|
|
|
