«Авторайзер»: беспарольная децентрализованная авторизация через OAuth 2.0 на блокчейне Emercoin
На этой неделе компания HashCoins запустила открытый некоммерческий проект «Авторайзер», основная задача которого — упростить подключение emcSSL для владельцев сайтов. Являясь OAuth2-провайдером, Authorizer позволяет подключить беспарольную авторизацию на основе блокчейна Emercoin для любого сайта, CMS которого поддерживает этот протокол.
Увидеть, как это работает на практике, можно на сайтах журнала о крипторазработке Cryptor.net и сайте с сиськами, где можно залогиниться, чтобы комментировать публикации и делать подборки понравившихся молочных желёз.
По мере оцифровывания нашей реальности, всё большее значение приобретают инструменты авторизации. Старые добрые пароли уже не катят: его слишком легко взломать, если он простой — или забыть, если он сложный. Даже менеджеры паролей не решают всех проблем, потому что мы просто не можем контролировать, как с ними обращаются на другой стороне — на стороне собственно сервисов. И постоянно появляющиеся новости о компрометации базы аккаунтов какого-нибудь крупного сервиса с миллионами юзеров не добавляет уверенности в завтрашнем дне. Даже захешированные пароли можно подобрать по словарю, если есть желание.
В своей статье «Под капотом Emercoin», ведущий разработчик проекта Олег Ховайко приводит сразу несколько громких инцидентов последнего времени:
Adultfriendfinder — украдено 412 миллионов учётных записей.
OPM (база государственных служащих США) — украдено 22 миллиона записей.
Ну и отечественные хакеры тоже не отстают — Взлом «вконтакте» скомпрометировал 171 миллион учётных записей.
Тут уже не удаётся списать такие инциденты на «исключительный частный случай», тут прослеживается система. Конечно, не будем спорить — каждый взлом был уникален по-своему, но результат одинаков — массовая компрометация учётных записей пользователей, репутационные потери сайтов и организаций, и в каких-то случаях — значительные финансовые потери как пользователей, так и для сайтов и их владельцев.
EMCSSL — децентрализованный сервис беспарольного доступа к интернет-площадкам:
- Беспарольный принцип авторизации гарантирует защиту от компрометации учётной записи пользователя, как происходит в многочисленных случаях взломов различных сервисов, потому что никакие данные в этом случае на стороне сервиса не хранятся.
- А децентрализованность EmcSSL делает сертификат пользователя независимым от сервиса, выпустившего его — что выгодно отличает от других методов беспарольной авторизации — например, «логина через Facebook», который работает только пока работоспособен сам Facebook.
EmcSSL смещает фокус процесса аутентификации на пользователя. При генерации сертификата, генерируется и случайное число и определенная хэш-сумма, с помощью которых пользователь сам становится владельцем собственных личных данных. Сертификат состоит из публичной части и приватного ключа, который известен только пользователю.
С технологией EmcSSL доступ к идентификатору не контролирует никто кроме самого пользователя, сертификат уникален, так как проассоциирован со случайным числом.
Пользователь системы emcSSL получает эдакий «пропуск-вездеход», не зависящий ни от кого, кроме самого пользователя. Ни от «сайта в интернете», ни от сертификатора, ни от кого-либо ещё.
— пишет Олег Ховайко, главный разработчик Emercoin
Как и у всех хороших, но не признанных идей, проблемой EmcSSL была не надёжность или изящество решения, а простота внедрения в реальной жизни. Представьте себе: сотни существующих CMS — и под каждую нужно сделать интеграцию? Это безумие. Поэтому решение связать EmcSSL с OAuth напрашивалось само собой: там все интеграции уже имеются.
Этапы подключения сайта:
- Создание сертификата. Сертификат позволит авторизоваться на странице приложений Authorizer и добавить свой сайт.
- Создание приложения. Тут все просто. Указываете название сайта и RedirectURL (о нем чуть дальше)
- Настройка модуля на своем сайте. Есть уже готовые модули для WordPress, Drupal и October. В настройках модуля нужно просто указать Client Id и Secret. Эти данные можно взять на странице приложений. RedirectURL зависит от выбранной CMS и указан в инструкциях к модулям.
Облачный майнинг HashFlare уже внедрил её в свои панели управлении майнерами.
Генерация сертификата EmcSSL бесплатна, а отправка записи о нём в блокчейн Emercoin стоит 0,2 эмеркоина (примерно 2,5 рубля). Назначение сбора — защита от спама и бесконтрольного автоматического выпуска сертификатов, которые бы перезагрузили блокчейн Emercoin.
HashCoins работает над тем, чтобы сделать процесс выпуска сертификатов полностью бесплатным — то есть компания возьмёт на себя отправку данных в блокчейн и соответствующие расходы. Пользователю потребуется кошелёк Emercoin, на адрес которого будет отправляться сгенерированный сертификат, после чего он полностью переходить под контроль пользователя.
В случае потери физического носителя сертификата (например, кражи ноутбука или телефона), пользователь сможет вернуть контроль над сертификатом, восстановив свой Emercoin-кошелёк из бэкапа и сделать апдейт записи о сертификате в блокчейне, тем самым отменив доступ для старой версии и заменив его на новый.
Для практического использования, мы рекомендуем выпускать сертификаты самостоятельно. В этом случае у пользователя будет не только сертификат, но и шаблон сертификата, который позволит его перевыпустить с сохранением имени сертификата. Для первого же знакомства вполне можно воспользоваться нашим генератором сертификатов, только имейте в виду, что в случае утери доступа к своему сертификату, восстановить его не получится, т.к. шаблоны остаются на стороне сервера.
Сейчас «Авторайзер» практически готов. Идёт активное тестирование, поэтому если есть интерес — милости просим. Поможем подключить и настроить.
Облачный майнинг HashFlare поддерживает проекты Emercoin