Xpoint
   [напомнить пароль]

Использование ЭЦП для web-авторизации

Метки: [без меток]
[удл]
2006-01-09 16:23:49 [обр] Дворнов Роман(0/109)[досье]
Подскажите какой-нибудь модуль для веб-авторизации с использование ЭЦП. Интерисует модуль на стороне клиента, то есть непосредственно в браузере (прицепление ключа). Что-то не получается найти ничего подходящего, получилось найти только модули для апача или Perl/PHP. Может я что-то не так понимаю? Направте в какую сторону смотреть.
спустя 1 час 23 минуты [обр] Роман Чемисов(0/327)[досье]
Дворнов Роман[досье]
В браузере это делается через механизм сертификатов. Например, в Опере: Tools->Preferences->Advanced->Security->Manage Certificates... В FF: Tools->Options->Advanced->View Certificates... И никакой особый модуль не нужен (или я не понимаю о чём Вы).
спустя 27 минут [обр] Дворнов Роман(0/109)[досье]
Роман Чемисов[досье] Не понимаете.. Наверное я не так объяснил. Дело состоит не в том чтобы шифровать данные (с помощью тех же сертификатов SSL если я правильно Вас понял), а в том чтобы производить аутентификацию пользователя. То есть к его логину/паролю прибавляется еще ЭЦП.
Например как здесь:
https://service.cyberplat.ru/cgi-bin/mts_espp/index.cgi
Насколько я понял они сами писали, а есть ли уже готовые решения?
спустя 19 минут [обр] Давид Мзареулян(7/1003)[досье]
Какой конечной цели Вы добиваетесь («прибавить ЭЦП» — не цель)? Что именно Вам нужно защитить/подтвердить при помощи ЭЦП и на каком этапе?
спустя 3 часа 18 минут [обр] Дворнов Роман(0/109)[досье]
Мне нужно чтобы пользователь помимо пароля и логина так же указывал некоторый ключ соответствующий его учетной записи, который находится на внешнем носителе, таком как флешка или дискета. Таким образом знание логина и пароля ничего не дает.
(К слову, сейчас пользователи вводят только свой логин и пароль, передача данных осуществляется с использованием SSL.)
спустя 6 минут [обр] Давид Мзареулян(7/1003)[досье]
Тогда — персональный SSL-сертификат.
спустя 5 часов [обр] Роман Чемисов(0/327)[досье]
Дворнов Роман[досье]
Сертификаты не только шифруют, они используются и для подписи данных.
спустя 12 часов [обр] Дворнов Роман(0/109)[досье]
Все равно это не решает главную задачу ;) как указать этот сертификат человеку для текущей его сессии. Например, человек будучи в командировке зашел Инет-кафе и ему нужно получить доступ к закрытой информации. Логин и пароль могут запросто остаться (например стоит настройка сохранять пароли), а вот некоторый файл утянуть уже сложнее. Задача собственон в том, чтобы можно было указать такой файл на некотором носителе, а потом этот файл автоматически брался для авторизации во время сессии (или что-то в этом роде).
спустя 46 минут [обр] Давид Мзареулян(7/1003)[досье]

Дворнов Роман[досье] Браузер скажет человеку, что для входа на сайт требуется сертификат и не хочет ли он указать, где тот лежит.

Но я бы очень не рекомендовал подобными вещами пользоваться в интернет-кафе, потому что утянуть файл на хорошо заражённой машине ничуть не сложнее, чем утянуть пароль. Если расчёт именно на такое использование — на случайных машинах — то лучше придумать другой способ авторизации.

спустя 1 день 1 час [обр] Дворнов Роман(0/109)[досье]
Если расчёт именно на такое использование — на случайных машинах — то лучше придумать другой способ авторизации.
Расчет конечно не идет, но не исключает такой ситуации, когда иначе просто не получается. Какой способ можете посоветовать?
В сестемах банк-клиент, которые работают через веб также используются ключи и "кодовая фраза", насколько мне известно (конечно возможно не во всех). Собственно вопрос то был не в том какой способ лучше, а если ли готовые решения для подобной "защиты"? :-/ Уж очень не хочется самому писать - практика показывает, что написание своего решения в данной теме оказывается всегда хуже чем у тех людей, которые на этом специализируются.
спустя 1 час 4 минуты [обр] Роман Чемисов(0/327)[досье]
Дворнов Роман[досье]
А какой ещё способ защиты можно придумать? Если машина заражена, то никакая защита не поможет (уйдут и пароль и сертификат). Единственное, что можно сделать, так это при выходе из системы напоминать пользователю, что нужно удалить сертификат из браузера (например, как это делает WebMoney)
спустя 2 часа 24 минуты [обр] Алексей Севрюков(6/1280)[досье]
Дворнов Роман[досье] Ну тогда совмещайте SSL + Basic Auth + form (login, password, key). ИЕ в частности не сохраняет пароль и логин если в форме два поля password (хотя может это не его действие по умолчанию, а настройки).
спустя 59 минут [обр] Давид Мзареулян(7/1003)[досье]

Вариантов много есть. Скажем, можно сделать как у WM — привязать аккаунт к определённому IP или сети. Если человек хочет войти из интернет-кафе, то он должен запросить по почте код для активации. Можно сделать так, чтобы код этот был одноразовый — только на текущую сессию.

А если уж выпендриваться до конца, то код активации можно по SMS присылать:)

спустя 23 минуты [обр] arto(1/494)[досье]
JFYI: OTP
спустя 12 часов [обр] Yeoman(6/48)[досье]
полностью согласен с arto. Ставите на веб-сервер SSL, и прикручиваете One Time Password. Получите двухфакторную аутентификацию пользователей. Софт и железо (есть решения и с получением OTP по мобильнику, вместо аппаратного генератора) для этого производит несколько компаний.
Вот примеры:
RSA Security - http://www.rsasecurity.com/node.asp?id=1166
Cryptomathic - http://www.cryptomathic.com/products/authenticator_index.html
Powered by POEM™ Engine Copyright © 2002-2005