BitPay представляє новий протокол аутентифікації BitAuth

Компанія BitPay представила нове беспарольному засіб аутентифікації BitAuth, спрямоване на зниження практики зберігання паролів на стороні сервера, і таки м чином зменшуючи вплив несанкціонованого доступу на сервер

В блозі компанії розповідається про технології:

Ми довго і ретельно обмірковували, як краще забезпечити безпеку даних наших клієнтів, це один з головних чинників, коли мова йде про фінансову інформації. Існуючі схеми аутентифікації, які всім відомі, включають використання імені користувача і пароля, сертифікати SSL на стороні клієнта або інші подібні методи. В кінці нашого дослідження ми виявили в кожному з методів свої недоліки, тому ми прийняли рішення побудувати протокол BitAuth.

Використовуючи ту ж еліптичну криптографію, що і біткоіни, BitAuth дозволяє клієнту підписати кожен запит, і сервер потім буде перевіряти відповідність підпису відкритого ключа.

Одноразове число використовується для запобігання повторних атак і для того щоб забезпечити дотримання послідовності.

BitAuth використовує серійний ідентифікаційний номер (Serial Identification Number, SIN), "нову форму ідентифікації, засновану на криптографічного парі ключів", вперше запропоновану розробником ядра біткоіни Джеффом Гарзіком.

SINявляется аналогом біткоіни-адреси і не представляє собою щось секретне, в той час як відповідний йому приватний ключ не зберігається на стороні клієнта і не передається по мережі.

Схема перевірки автентичності BitAuth прямо сумісна зі знайомою нам механікою аутентификацией по імені користувача (або електронною поштою) і паролю. Справді, при зберіганні закритих ключів ми рекомендуємо їх шифрування за допомогою парольної фрази, що також робить їх стійкими до атак. Основна відмінність методу BitAuth полягає в тому, що пароль ніколи не передається по мережі, в якому б то ні було форматі. За допомогою цієї конкретної системи користувач як і раніше зіштовхується зі звичною системою введення логіна і пароля, але вже на локальному рівні для розшифровки закритого ключа, а потім використовує його для підписання запиту.

Якщо сервер піддається атаці, цілісність форми аутентифікації користувача залишається недоторканим, хоча історія відрізняється, якщо машина кінцевого користувача знаходиться під загрозою, так як пароль зберігається локально.

Ось як систему порівнює з традиційними методами аутентифікації сама BitPay:

  1. Тільки розкриття секретних даних на клієнтській машині може поставити під загрозу безпеку системи.
  2. Оскільки закритий ключ ніколи не передається серверу, не потрібно обмінюватися між клієнтом і сервером по боковому каналу, як в HMAC.
  3. Простота впровадження, де реалізується протокол біткоіни.
  4. Поділ з біткоіни адресою, що надає чітке відокремлення від фінансових операцій і призводить до більшої конфіденційності.
  5. Ідентифікація стає портативної - одна ідентифікація може використовуватися для декількох послуг, що дозволяє взяти ідентифікацію з собою.

"Ми вважаємо, що широке впровадження BitAuth (або аналогічної схеми) сприятиме підвищенню безпеки в інтернеті, і з нетерпінням чекаємо, що інші сервіси візьмуть подібний механізм", йдеться в повідомленні компанії.