Авторизация и аутентификация. Интернет авторизация


Авторизация, аутентификация. Механизм, различия, способы реализации. Интернет на Поэтому.Ру

1. Зачем нужна идентификация

Вопросы проверки подлинности возникли ещё в древности. Чтобы убедиться, что человек действительно является тем, за кого себя выдаёт, у него могли попросить перечислить своих предков по мужской линии на несколько поколений назад или предоставить копию семейного древа.

Подлинность документов обычно устанавливалась по каким-нибудь особым знакам или качествам бумаги или по наличию на них определённых печатей. Но в век информационных технологий не поставишь сургучную печать на особо важный файл и не обнаружишь в нём водяных знаков. А вопрос о разрешении доступа к тем или иным данным оставался открытым.

2. Способы идентификации

Водяные знаки, сургучные печати и всевозможные кодовые слова не то, чтобы совсем вышли из употребления, но уже не так актуальны. В информационных системах обходятся другими средствами, ничуть не менее надёжными.

Чтобы информационная система (будь то сайт или, к примеру, банкомат) идентифицировала человека, желающего получить доступ к данным, он должен иметь в своём распоряжении уникальный идентификатор, который позволит системе установить, может быть разрешён доступ или нет.

Чтобы получить идентификатор, субъект (в нашему случае - пользователь сайта или держатель банковской карты) должен предварительно зарегистрироваться в информационной системе и либо получить идентификатор, либо придумать его самостоятельно.

Идентификация может быть проведена и по биометрическим параметрам: отпечатки пальцев или ладони, голос, снимок сетчатки. Несмотря на то, что подобные системы являются достаточно дорогими, из развитие и усовершенствование является одним из весьма перспективных направлений.

3. Механизм аутентификации

После того, как человек (или обобщённо - субъект) предъявил необходимый идентификатор и система распознала его, следует процедура аутентификации: система сопоставляет представленные в её распоряжение данные с имеющимся эталоном. Если они совпадают, субъект получает возможность пройти дальше.

Сказка, как известно, ложь, да в ней намёк - добрым молодцам урок. Как ни странно, именно в сказках можно встретить характерные примеры систем аутентификации со всем необходимыми составляющими. В качестве примера можно привести хорошо известную историю про Али-Бабу и 40 разбойников.

Субъектом в данном случае является человек, узнавший заветные слова, открывающие двери в пещеру. Его характеристикой является кодовая фраза "Сим-сим, откройся!". Хозяином системы являются, понятное дело, 40 разбойников. Механизм аутентификации - принцип работы системы - устройство, реагирующее на кодовые слова. Управляет доступом механизм, открывающий/закрывающий двери в пещеру.

Самым распространённым методом аутентификации является использование многоразового пароля. В качестве личного идентификатора в этом случае выступает логин - регистрационное имя - пользователя, а пароль является характеристикой субъекта. Любая система, доступ в которую осуществляется с помощью этой связки, имеет специальную базу данных, в которых хранятся эталоны этих данных. Именно поэтому даже при ошибке в одном символе в доступе будет отказано: не соответствует эталону и всё.

Многоразовые пароли имеют целый ряд недостатков:

  • Пароль (или его образ) хранится на сервере и может быть оттуда украден.
  • Субъект (пользователь то есть) должен многоразовый пароль запомнить или сохранить каким-то другим способом, чтобы иметь возможность доступа к нужной информации. Потеря пароля или его передача, даже невольная, в руки третьих лиц может привести к весьма неприятным последствиям.
  • Если право создания пароля предоставляется пользователю, снижается степень защищённости системы, ведь, как правило, в качестве пароля выступает какое-то слово или комбинация слов, присутствующие в словаре.

Чтобы свести подобные риски до минимума, могут использоваться случайные пароли или устанавливаются ограничения по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.

4. Авторизация

Как мы уже выяснили, авторизация необходима для подтверждения прав на доступ к той или иной информации. Далеко не всё на просторах Всемирной Паутины находится в открытом доступе.

К примеру, чтобы прочитать какую-нибудь научно-популярную статью достаточно быть просто гостем сайта, но чтобы прокомментировать материал или исполнять обязанности администратора - уже требуется авторизация.

Обращали внимание, что даже будучи авторизованным пользователем, вы не можете сделать больше, чем позволяет тип вашей учётной записи? Предоставление тех или иных прав определяется списком контроля доступа, в котором содержится информация о том, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. Списки контроля доступа являются основой систем с избирательным управлением доступом.

Надеемся, наш материал помог вам разобраться в том, как работает механизм авторизации. Оставайтесь с нами!

5. Список рекомендуемой литературы
  • Ричард Э. Смит Аутентификация: от паролей до открытых ключей
  • Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. Под редакцией А.А. Шелупанова, С.Л. Груздева, Ю.С. Нахаева.
  • Свободная электронная энциклопедия Википедия, раздел "Идентификация".
  • Свободная электронная энциклопедия Википедия, раздел "Аутентификация".
  • Свободная электронная энциклопедия Википедия, раздел "Авторизация".
  • Свободная электронная энциклопедия Википедия, раздел "Права доступа".
  • Свободная электронная энциклопедия Википедия, раздел "ACL".

www.poetomu.ru

АВТОРИЗАЦИЯ ПОЛЬЗОВАТЕЛЯ - это... Что такое АВТОРИЗАЦИЯ ПОЛЬЗОВАТЕЛЯ?

 АВТОРИЗАЦИЯ ПОЛЬЗОВАТЕЛЯ Авторизация (от английского «Authorization») – понятие, изначально использовавшееся в банковской сфере, в области платежных карт и означает процедуру идентификации лица для предоставления доступа к неким ресурсам или возможностям, имеющим ограниченный доступ. В Интернет авторизация Пользователя может требоваться для доступа к закрытым базам данных; для получения прав добавления сообщений на форуме, размещения пресс-релизов на ленте новостей и т.п. возможностям, предназначенным для ограниченной группы Пользователей. Как правило, процедура авторизации заключается в введении Пользователем в специальную форму своих уникальных идентификационных данных - логина и пароля. Далее эти данные проверяются на наличие в базе данных Пользователей ресурса, и определяется, к какой категории относится данный Пользователь. В результате процедуры авторизации Пользователь получает, либо не получает необходимый доступ (например, Пользователю может быть отказано, если он находится в бан-листе данного ресурса). Логин и пароль ранее должны быть получены Пользователем в результате процедуры регистрации на данном ресурсе. Нередко, зарегистрировавшись на некотором сайте, Пользователь в дальнейшем теряет свои регистрационные данные. На этот случай на сайте должна быть предусмотрена удобная процедура восстановления пароля.

Словарь бизнес-терминов. Академик.ру. 2001.

  • АНАЛОГОВАЯ СВЯЗЬ
  • АНАЛОГОВЫЙ КАНАЛ

Смотреть что такое "АВТОРИЗАЦИЯ ПОЛЬЗОВАТЕЛЯ" в других словарях:

  • Авторизация (идентификация) пользователя Интернет-сайта — Авторизация (идентификация) проверка пользователя на право просматривать определенные страницы сайта. Идентификация пользователя осуществляется с помощью имени пользователя (логина) и пароля... Источник: Приказ Казначейства РФ от 28.08.2008 N 231 …   Официальная терминология

  • авторизация — Получение права доступа путем проверки подлинности введенных данных пользователя [ГОСТ Р 52872 2007] авторизация предоставление прав доступа проверка полномочий Предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых… …   Справочник технического переводчика

  • авторизация — без. а) определение прав пользователя на доступ к определенным системным ресурсам; б) предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных или хостах (узлах) интернета …   Универсальный дополнительный практический толковый словарь И. Мостицкого

  • АВТОРИЗАЦИЯ — (англ. authorization) – получение разрешения на осуществление операции с платежной картой (или чеком). Обычно выполняется после аутентификации пользователя. Авторизац. запрос, направляемый в центр А. после аутентификации для получения кода А.,… …   Финансово-кредитный энциклопедический словарь

  • Аутентификация в Интернете — Аутентификация – это проверка подлинности предъявленного пользователем идентификатора. Аутентификация требуется при доступе к таким интернет сервисам, как: электронная почта веб форумы социальные сети интернет банкинг платежные системы… …   Википедия

  • Аппаратное шифрование — Аппаратное шифрование  процесс шифрования, производимый при помощи специализированных вычислительных устройств. Содержание 1 Введение 2 Достоинства и недостатки аппаратного шифрования …   Википедия

  • E-NIGMA — E NIGMA …   Википедия

  • CherryPy — Тип Фреймворк для создания веб приложений Разработчик команда CherryPy Операционная система любая Языки интерфейса Python Последняя версия 3.2.0 ( …   Википедия

  • OAuth — Логотип OAuth OAuth  открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищенным ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль. На …   Википедия

  • Яндекс-деньги — (Yandex money) Яндекс.Деньги мировая электронная платежная система Платежная ситема Яндекс Деньги: регистрация, открытие кошелька, пополнение и вывод средств Содержание >>>>>>>>>> Яндекс.Деньги это, определен …   Энциклопедия инвестора

dic.academic.ru

Простая авторизация пользователей для доступа в интернет с помощью ipfw / Хабр

Любая сеть рано или поздно начинает гранить с другой сетью, раньше так было. Сейчас же, создавая корпоративную сеть какой либо организации, она вряд ли не будет соединяться с сетью Интернет. Поэтому первым и основным сервером, который будет организован является роутер.

Так как я не полюбил Linux, хотя скажу чесно начинал с него, я давно для себя в качестве серверной ОС выбрал FreeBSD. Но как настроить маршрутизация на freebsd в интернетах информации достаточно. А вот если Вам надо выпустить в интернет не только известные(доверенные) Вам устройства, но и новые, которые должны авторизоваться. К примеру это общественное место, кафе или отель.

Что же мы имеем?

А в начале мы имеем роутер и сеть с проводным и беспроводным доступом, все же умеют заплетать провода? Естественно лучше запретить общаться им между собой, но как это реализовать щас рассматривать не будем, так как у всех свои игрушки и вариантом много.

Попадая в сеть, пользователь не должен быть просто заблокирован. Иначе он не будет знать что ему делать и будет загнан в угол, поэтому банально deny all from all to all нам не подойдет. Поэтому надо всех неизвестных нам личностей перенаправлять на один сайт, где уже будут все инструкции и будет производиться авторизация.

Есть два варианта… Первый, весь трафик прогонять через прокси и там уже разбираться кто друг, а кто враг и что кому отдавать в качестве ответа. Но при текущем положении дел, когда объем информации получаемый пользователем настолько огромен, а цены на безлимитные тарифы позволяют ими пользоваться даже юридическим лицам на хороших скоростях, то смысла в аккумулировании информации на своих носителях информации я не вижу.

Поэтому я пошел вторым путем, а именно фаерволл решает кому куда идти. Вот как выглядит мое решение в ipfw.

Я использую ipnat. Поэтому в ipfw будут фигурировать правила на разрешения трафика идущего во внешнюю сеть, но не будет правил для заворота его, как в случаи с natd. Мы создаем таблицу пользователей которых будем выпускать во внешнюю сеть:

ipfw table 1 add 192.168.0.1 ipfw table 1 add 192.168.0.2 Дальше будет правило на разрешения трафика в интернет через внешний интерфейс rl1:ipfw add allow ip from table\(1\) to any out via rl1 keep-state Теперь все известные наши машины могут пользоваться интернетом. Однако новые клиенты просто получает сообщение об ошибке, что сервер не найден.

Для них у нас будет свое правило:

ipfw add fwd 127.0.0.1, 9832 ip from not table\(1\) to any out via rl1 Тем самым мы перенаправили весь трафик от неизвестных нам пользователей на порт 9832. А на нем мы повесим веб-сервер с нужной нам информацией.

Небольшое отступление: fwd заворачивает пакет на указанный адрес, но не модифицирует его. И если его завернуть на какой нить веб-сервер в сети, то тот его просто отбракует. Потому что адрес назначения не его. Отсюда вывод, что перехватить и обработать данные можно только локально.

Так как это не полноценный веб-сервер, то смысла вешать туда apache или ngnix не вижу. Я бы порекомендовал посмотреть в сторону microhttpd, minihttod или lighthttpd.

Сразу не забываем добавить правило для разрешения трафика внутри сети через интерфейс rl0:

ipfw add allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0или лучше открыть только то, что Вам необходимо в работе:ipfw add allow tcp from 192.168.0.0/24 to me 9832 in via rl0 keep-state Я поставил, как самый простой и удобный, в данном случаи, сервис — micro_httpd. Ставим из портов:cd /usr/ports/www/micro_httpd make install clean Так это просто бинарник, а не демон, то он не висит в памяти и ничего не занимает. При запросе на определенный порт inetd вызывает его с параметром, он обрабатывает данные и возвращает результат. Настраиваем inetd, дописывая следующее в /etc/inetd.conf (одной строкой):micro_http stream tcp nowait nobody /usr/local/sbin/micro_httpd micro_httpd /var/www #micro_httpd где /var/www — путь к корневой папке веб-сервера. Еще добавим инфу в /ets/services:micro_httpd 9832/tcp #micro_httpd тут 9832 — порт на котором веб-сервер висит. В /var/www кладем index.html с нужным нам содержимым. Перезапускаем Inetd или перезагружаем сервер и проверяем.

habr.com

Все в интернете делают это: регистрация и авторизация

Регистрация и авторизация - это понятия, с которыми все пользователи интернета сталкиваются каждый день. Чтобы пользоваться электронной почтой, общаться с друзьями через интернет, создавать в интернете фотоальбомы, оставлять комментарии и делать многое другое необходимо пройти процедуру регистрации и в дальнейшем авторизации на соответствующем сайте.

Для начинающих пользователей слова "регистрация", "авторизация" и "аккаунт" могут звучать как китайская грамота. Однако на самом деле эти понятия не такие уж и сложные. Сейчас мы вам всё объясним.

Для начала вот такая история

Жил-был человек по имени Вася Пупкин. В один прекрасный день понадобилось ему сходить к врачу. Он приходит в регистратуру в поликлинике и говорит: - Заведите мне медицинскую карточку. - На какое имя? - "Василий". Ему заводят карточку, он ходит себе спокойно по врачам, и в его карточке постепенно добавляются записи врачей, прикрепляются листки с результатами анализов и т.д. Прошло какое-то время и Васе Пупкину снова понадобилось посетить врача, чтобы продолжить своё лечение. Приходит он в ту же самую поликлинику и говорит: - Выдайте мне, пожалуйста, мою карточку. - На какое имя? - "Вася". - Извините, но у нас нет карточки на имя "Вася". Завести новую? - Да. Ему заводят новую чистую карточку. Он идёт к врачу - но всё бестолку: история болезни отсутствует и результатов анализов нет. Придётся нашему Васе Пупкину заново объяснять врачу где что болело, сдавать анализы по новому кругу и пытаться вспоминать, какие процедуры и когда ему проводились. Бедный Вася чешет голову.

Теперь проведём аналогию с компьютерными терминами

Аккаунт, т.е. совокупность ваших данных, которые вы храните на каком-либо сайте, - это аналог медицинской карточки из нашей истории.

Создание аккаунта на каком-нибудь сайте (т.е. регистрация на сайте) - это то же, что и заведение медицинской карточки в поликлинике. На одном и том же сайте (или в одной и той же поликлинике) это должно делаться только один раз.

Во время регистрации на сайте вы придумываете себе логин (т.е. имя вашего аккаунта на этом сайте) и пароль.

Со временем ваш аккаунт пополняется различными данными: например, вы добавляете друзей, обмениваетесь с ними сообщениями, добавляете свои фотографии, и т.п. в зависимости от сайта. Так и медицинская карточка со временем заполняется записями врачей и результатами анализов.

Логиниться, залогиниваться на сайт, авторизовываться на сайте означает получать доступ к своему существующему аккаунту на этом сайте. Это то же самое, что просить регистратуру выдать вам вашу карточку в нашем примере.

При этом нужно указать свой логин и пароль, чтобы доказать, что это действительно вы. Если вы ввели и логин, и пароль правильно, то вы получаете доступ к своему аккаунту. То же и в примере с регистратурой: когда Вася Пупкин неправильно называл имя, на которое он раньше заводил себе карточку, ему карточку не выдавали.

Вылогиниваться - совершать действие, обратное авторизации, залогиниванию. Этим действием вы инструктируете сайт прекратить показывать информацию из вашего аккаунта. А если кто-нибудь захочет её увидеть, сайт попросит этого человека залогиниться. Если продолжить аналогию с поликлиникой, то вылогиниваться - это сдавать свою карточку обратно в регистратуру.

Теперь вам должно стать понятно, что именно Вася Пупкин сделал неправильно:

Он должен был запомнить на какое имя он заводил медицинскую карточку в самый первый свой визит в поликлинику, и при повторных визитах в эту же поликлинику называть это имя, чтобы получить свою старую карточку, вместо того, чтобы заводить новую карточку на новое имя.

В компьютерных терминах: Вася Пупкин должен был запомнить свой логин и пароль, с которыми он регистрировался на сайте, и при повторных визитах на этот же сайт вводить этот логин и пароль, чтобы авторизоваться, вместо того, чтобы регистрироваться на новое имя.

Слова, которыми обозначается регистрация, авторизация и вылогинивание

Создание нового аккаунта может быть обозначено на разных сайтах по-разному. Например: sign up, sign on, register, registration, create new account, create new user, join, регистрация, зарегистрироваться, создать, новый аккаунт, новый пользователь и т.п.

Чтобы авторизоваться на сайте, на котором у вас уже создан аккаунт, ищите:sign in, log in, log on, sign on, войти, зайти, вход и т.п.

Чтобы вылогиниться с сайта, нажмите на:sign out, log out, sign off, выйти, выход и т.п.

Обратите внимание: термином "sign on" может быть обозначено как создание нового аккаунта, так и авторизация.

В каких случаях необходимо вылогиниваться

Вылогиниваться (выходить с сайта) нужно для того, чтобы спрятать свою личную информацию на этом сайте от других людей, которые могут пользоваться этим же компьютером.

Допустим, вы залогинились на сайт проверить свою почту и потом не вылогинились. Приходит какой-нибудь другой человек и начинает работать на этом же компьютере - и тут ему как на блюдечке преподносится вся ваша переписка с другими людьми и адреса электронной почты ваших друзей. Если это плохой человек, то он может поменять пароль (и вы больше никогда не сможете зайти на свою почту) и начать рассылать спам и вирусы от вашего имени (в том числе и вашим друзьям). Причём, часто это возможно сделать, даже если вы после себя закрыли браузер и выключили компьютер.

Означает ли это, что вам не нужно вылогиниваться с сайтов, если вы доверяете всем другим людям, которые могут пользоваться этим же компьютерам? Нет, не означает. Эти люди, конечно же, не будут менять пароли или рассылать что-либо от вашего имени. Но возможно, вы просто не хотите, чтобы они были в курсе всех ваших дел на этих сайтах. А может, кто-нибудь из этих людей слабо владеет компьютером и по незнанию может ткнуть куда-нибудь не туда, и случайно удалить или изменить что-нибудь в вашем аккаунте. Или, в конце концов, у кого-нибудь из них есть свои аккаунты на тех же сайтах, тогда им придётся сначала вылогинить вас (т.е проделать эту операцию за вас), и только после этого они получат возможность авторизоваться под своим логином. В последнем случае речь идёт о хорошем тоне.Итого:

  • если компьютером могут воспользоваться чужие или малознакомые люди, вылогиниваться надо обязательно
  • если компьютером пользуются только люди, которым вы доверяете, вылогиньтесь, если вам не хочется делиться с ними лишней или ненужной им информацией, а также если среди них есть "малоопытные пользователи компьютеров"
  • если компьютером пользуетесь только вы, то можете не вылогиниваться сколько вашей душе угодно

"Запомнить меня" и "чужой компьютер"

Часто на форме для входа на сайт наряду с полями для ввода логина и пароля, также имеется чекбокс (квадратик, щёлкнув по которому мышкой, можно поставить "птичку") с надписью типа "запомнить". Возможные другие надписи: "remember me", "stay signed in", "stay logged in", "запомнить меня", "оставаться в системе", "не выходить из системы",  "автоматическая авторизация" и т.п.

Отметив этот чекбокс (т.е. поставив в нём птичку), вы инструктируете сайт не вылогинивать вас при закрытии браузера. Это удобно, если вы часто посещаете какой-то сайт и не хотите каждый день вводить свой логин и пароль.

Из этого описания логически вытекает, что эту птичку нужно ставить (если хотите, конечно), только работая на тех компьютерах, на которых вы не планируете вылогиниваться (см. предыдущую тему).

Ну, и чтоб жизнь мёдом не казалась, иногда на форме присутствует чекбокс ровно с противоположным смыслом. Надпись может гласить, например, "чужой компьютер", "не запоминать" и т.п.

В данном случае сайт, не спрашивая вашего разрешения, запомнит вас и не будет вылогинивать автоматически при закрытии браузера, если, конечно же, вы ему явно не запретите это делать, отметив данный чекбокс.

Внимание: птички птичками, но мы настоятельно вам рекомендуем вылогиниваться с сайтов явно (т.е. нажатием на "sign out", "log out", "выйти", "выход" и т.п), особенно на тех компьютерах, на которых ваша информация может оказаться в опасности.

Капча - ой, что это?

При регистрации на сайте, а иногда и при авторизации, вас могут попросить ввести дополнительный код из букв и цифр, который изображён на картинке. Этот код нужен для дополнительной безопасности и вы его обязаны ввести. Называется он экзотическим словом "капча".

Некоторые сайты делают различие между прописными и строчными (т.е. большими и маленькими) буквами при вводе этого кода, а некоторые не делают.

При регистрации можно заполнять не все поля

При регистрации на сайте вас всегда просят ввести какие-то данные о себе. Но не все поля регистрационной формы вам необходимо заполнять.

Требуемые поля обычно помечены  символом "*" (звёздочкой) возле имени поля. Также могут быть использованы слова "required", "необходимая информация", "обязательно". Остальные поля формы можно оставлять пустыми.

А бывает наоборот: все поля требуется заполнить, кроме тех, которые отмечены как "optional", "not required", "дополнительная информация", "не обязательно".

Случается, что вообще никаких отметок нет - типа, сами догадывайтесь, что из этого можно не заполнять.

А рассказываем мы об этом вам потому, что информацию о себе лучше в интернете лишний раз никуда не вводить.

Вернуться к списку статей

www.uzver.org

Авторизация в Интернетах / Хабр

Заметка демонстрирует хромую ногу интернета. Я в ней рассматриваю несколько моментов, которыми многие люди неосознанно пренебрегают, в чём не отдают себе отчёт. Вследствие ряда таких допущений страдают и те, кто их совершает, и остальные – а с опытом я замечаю, что в этой глупости участвуют все.

Я попробую на примерах показать несколько примитивных вещей, которые не все замечают, и поэтому постоянно строят мосты через рвы, старательно вырытые для охраны личных ценностей.

Какая должна быть авторизация? Алиса, Боб и ещё более 9 тысяч человек зарегистрировались в каком-либо Интернет-проекте с паролем 123, а те из них, кто поумнее – с паролем 1234 или даже 123456. Каждый из них всегда знает о себе, что лично он никого не интересует и только поэтому полностью защищён от взлома, либо считает, что потеря учётки ничем ему не грозит.

Для злоумышленника все эти люди — рабы, которые поддерживают его учётки: распознают капчи, ведут активность, нарабатывают репутацию, не дают удалить за то, что никто давно не логинился, причём всё это делают с разных ip-адресов, т.е. это идеальный сервис, который заменяет тысячи проксей, автоматику, да ещё и бесплатный. Теперь вам придётся жить и мучиться с пониманием о том, что каждая регистрация с простым паролем – это подарок врагу.

Следствие номер 1. Хотя бы спам, например, или заработок на торговле угнанными учётками. Создавая пароль 123, вы спонсируете преступника.

Следствие номер 2. Если это происходит в онлайн-игре, и в ней даже небольшой список учёток – это уже непобедимая армия, то кучка побольше, сопоставимая с размерностью всего объема активных учёток, – это уже угроза самому этому Интернет-проекту. Поэтому за простые пароли владелец игры (администратор) обязан стирать. Считайте, что это уголовка.

Следствие номер 3. Мошенство. Т.к. глупые людишки привыкли доверять друг другу, то они с радостью помогут разбогатеть любому мошеннику, назвавшему себя именем их друга. Пройти авторизацию с открытым логином и паролем 123 может даже человек, чуть менее взрослый, чем школьник. Придумал простой пароль — помог кинуть доверчивого друга на деньги. Но в этом трюке необходима ещё одна незаметная человеческая слабость, о которой, я полагаю, хотя бы один раз в жизни подумало менее 0%±1% людей. Так о чём же ещё надо заботиться в этом хищном мире?

Каждый пользователь какой-либо системы интернет-коммуникации только и делает, что общается с кем-то. Среда запрограммирована так, что беспечность окутала людей и подарила им сказку. Реальный мир пал. Итак, что же сделали не так все эти нытики, жалующиеся на то, что их обманули в лохотроне, — в таком заманчивом лохотроне с разноцветными фотками и лайками, в который они сами сбежались сломя голову и вовлекли всех своих друзей? Ответ: авторизация ушла из под контроля. Современный человек доверил авторизацию частной интернет-компании, которая на деле защищает только себя, и даже десяткам таких интернет-компаний. Кроме того, что алгоритм авторизации сам по себе всегда скрыт, так о нём ещё и никто из людей не хочет думать, подсознательно считая, что у «одноклассников»-то точно всё в порядке, вместо того, чтобы брать это важное дело под свою ответственность! Если ваш лучший друг во вконтакте, в скайпе или где угодно попросит вас скинуть незначительную сумму на яндекс-кошелёк, то вы бегом побежите требовать его лично авторизоваться перед вами или вы не подумаете о том, что интернет – это проходной двор?

Напоследок, как вам сценарий 2 в 1 (см. опрос ниже): Алиса, она же Крейг, по аське просит Боба выслать ей в долг денег на ящик печенек, он это незамедлительно делает, а на следующий день Алиса удаляет аккаунт и жалуется Бобу, что аккаунт угнан и деньги она не брала. Так вот, Боб, наверное, тоже виноват, как считаете?

Какая должна быть авторизация на самом деле? Наверно, p2p? Чтобы не происходило перекладывания ответственности за авторизацию на неизвестно чей алгоритм, который ты не видишь, не контролируешь, на который можно только надеяться, если для этого достаточно понимания, и который, как видим, вообще, держится на честном слове. Если же не p2p, то мы попадаем на корпоратократический центр авторизации.

Да и всё-таки, что теперь делать со всеми этими интернет-проектами со слабой авторизацией, в которых общается куча народу, да ещё и зачем-то доверяют друг-другу?

habr.com

Авторизация в Интернетах

Заметка демонстрирует хромую ногу интернета. Я в ней рассматриваю несколько моментов, которыми многие люди неосознанно пренебрегают, в чём не отдают себе отчёт. Вследствие ряда таких допущений страдают и те, кто их совершает, и остальные – а с опытом я замечаю, что в этой глупости участвуют все.

Я попробую на примерах показать несколько примитивных вещей, которые не все замечают, и поэтому постоянно строят мосты через рвы, старательно вырытые для охраны личных ценностей.

Какая должна быть авторизация?Алиса, Боб и ещё более 9 тысяч человек зарегистрировались в каком-либо Интернет-проекте с паролем 123, а те из них, кто поумнее – с паролем 1234 или даже 123456. Каждый из них всегда знает о себе, что лично он никого не интересует и только поэтому полностью защищён от взлома, либо считает, что потеря учётки ничем ему не грозит.

Для злоумышленника все эти люди — рабы, которые поддерживают его учётки: распознают капчи, ведут активность, нарабатывают репутацию, не дают удалить за то, что никто давно не логинился, причём всё это делают с разных ip-адресов, т.е. это идеальный сервис, который заменяет тысячи проксей, автоматику, да ещё и бесплатный. Теперь вам придётся жить и мучиться с пониманием о том, что каждая регистрация с простым паролем – это подарок врагу.

Следствие номер 1.Хотя бы спам, например, или заработок на торговле угнанными учётками. Создавая пароль 123, вы спонсируете преступника.

Следствие номер 2.Если это происходит в онлайн-игре, и в ней даже небольшой список учёток – это уже непобедимая армия, то кучка побольше, сопоставимая с размерностью всего объема активных учёток, – это уже угроза самому этому Интернет-проекту. Поэтому за простые пароли владелец игры (администратор) обязан стирать. Считайте, что это уголовка.

Следствие номер 3.Мошенство. Т.к. глупые людишки привыкли доверять друг другу, то они с радостью помогут разбогатеть любому мошеннику, назвавшему себя именем их друга. Пройти авторизацию с открытым логином и паролем 123 может даже человек, чуть менее взрослый, чем школьник. Придумал простой пароль — помог кинуть доверчивого друга на деньги. Но в этом трюке необходима ещё одна незаметная человеческая слабость, о которой, я полагаю, хотя бы один раз в жизни подумало менее 0%±1% людей. Так о чём же ещё надо заботиться в этом хищном мире?

Каждый пользователь какой-либо системы интернет-коммуникации только и делает, что общается с кем-то. Среда запрограммирована так, что беспечность окутала людей и подарила им сказку. Реальный мир пал. Итак, что же сделали не так все эти нытики, жалующиеся на то, что их обманули в лохотроне, — в таком заманчивом лохотроне с разноцветными фотками и лайками, в который они сами сбежались сломя голову и вовлекли всех своих друзей? Ответ: авторизация ушла из под контроля. Современный человек доверил авторизацию частной интернет-компании, которая на деле защищает только себя, и даже десяткам таких интернет-компаний. Кроме того, что алгоритм авторизации сам по себе всегда скрыт, так о нём ещё и никто из людей не хочет думать, подсознательно считая, что у «одноклассников»-то точно всё в порядке, вместо того, чтобы брать это важное дело под свою ответственность! Если ваш лучший друг во вконтакте, в скайпе или где угодно попросит вас скинуть незначительную сумму на яндекс-кошелёк, то вы бегом побежите требовать его лично авторизоваться перед вами или вы не подумаете о том, что интернет – это проходной двор?

Напоследок, как вам сценарий 2 в 1 (см. опрос ниже): Алиса, она же Крейг, по аське просит Боба выслать ей в долг денег на ящик печенек, он это незамедлительно делает, а на следующий день Алиса удаляет аккаунт и жалуется Бобу, что аккаунт угнан и деньги она не брала. Так вот, Боб, наверное, тоже виноват, как считаете?

Какая должна быть авторизация на самом деле?Наверно, p2p? Чтобы не происходило перекладывания ответственности за авторизацию на неизвестно чей алгоритм, который ты не видишь, не контролируешь, на который можно только надеяться, если для этого достаточно понимания, и который, как видим, вообще, держится на честном слове. Если же не p2p, то мы попадаем на корпоратократический центр авторизации.

Да и всё-таки, что теперь делать со всеми этими интернет-проектами со слабой авторизацией, в которых общается куча народу, да ещё и зачем-то доверяют друг-другу?

Автор: worldaround

Источник

www.pvsm.ru