Author

Topic: Механизм аутентификакции (Read 1283 times)

hero member
Activity: 616
Merit: 502
не сразу понял кто он... Кстати, не признают конституционным такие выборы, и справедливо ибо как быть с чурбанами кто обычно за Зюгу всем двором подвыпивши ходят голосовать ?? Эти чурбаны - тоже общество, отражают состояние нашего государства следовательно их мнение просто обязаны учесть. В нашем городе лично частенько сталкивался с тем, что люди не могут снять зарплату с карты, детей просят. А он говорит - микроплатежи..
hero member
Activity: 616
Merit: 502
Но вот рожу, знающую Сатоши (могущую ответить на неожинанный вопрос в камеру сходу) мне найти будет сложновато-с

Любой пьяница с улицы за 500 рублей.

Динамик в ухо (как для экзаменов) и в путь.

http://vladproect.ru/produkcia/41-nano-mikronaushniki-dlya-sdachi-ekzamenov-i-ege.html
http://loronline.ru/forum/viewtopic.php?t=6075
биииин, ты опередил, закрываю вкладки... Grin Только если заставить на камеру почисть уши  Roll Eyes Мышь не проскочит....
едит. да, текст - ты прав, моя фишка, тАкие ошибки наверно только я делаю, набинаю 10 пальцев и не до конца выучил курс, еще манера изложения текста, я про соменик и васголова сразу заметил, 0 реакции на сообщение про шпиенов,хахахах,...
legendary
Activity: 1386
Merit: 1000
Но вот рожу, знающую Сатоши (могущую ответить на неожинанный вопрос в камеру сходу) мне найти будет сложновато-с

Любой пьяница с улицы за 500 рублей.

Динамик в ухо (как для экзаменов) и в путь.

http://vladproect.ru/produkcia/41-nano-mikronaushniki-dlya-sdachi-ekzamenov-i-ege.html
http://loronline.ru/forum/viewtopic.php?t=6075

(на самом деле, наверное будет видно по поведению - сам придумывает ответы или повторяет)
legendary
Activity: 1386
Merit: 1000
Да что вы тут ругаетесь?!

он первый начал

Я лично не хотел бы офишировать себя

Тебя идентифицируют по уровню неграмотности текста.

Кроме твоей фотки никакой информации у биржи не остается - ни адреса, ни паспорта.
Как найти потом среди 7 миллиардов людей?
Только если будет создана глобальная база фотографий.
Да и то - есть двойники...
hero member
Activity: 616
Merit: 502
Да что вы тут ругаетесь?! Ясен пень что единственное что может остановить от многочисленных регистраций - это рожа на видео, отвечающая на вопросы админа например! Я могу иметь (и имею на разных машинах) десятки кошельков, которыми подпишу разные аккаунты. Но вот рожу, знающую Сатоши (могущую ответить на неожинанный вопрос в камеру сходу) мне найти будет сложновато-с  Grin Grin Grin Grin
legendary
Activity: 1386
Merit: 1000
Идентификация - это способ понять, кто пытается войти
Аутентификация - это способ проверки, что тот, кто пытается войти является тем, за кого себя выдает
Авторизация - после того, как мы убедились, что это кто-то он и есть, откроем ли мы ему дверь

Для начала хотя бы решить для себя, зачем все это нужно.

Для различения пользователей на сайте (в том числе i2p)

все современные биометрические системы могут работать как средство аутентификации но не надежны как средство авторизации

В этой фразе видны Ваше непонимание и терминологическая путаница.

Биометрические системы ненадежны и как средство идентификации и еще больше ненадежны как средство аутентификации. К авторизации они никакого отношения не имеют вообще.

Не туда копаете...

туда, и сейчас я это покажу

что авторизуется именно тот человек, который прошел процесс регистрации.

Это доказывается путем подписывания чего-либо приватным ключем,
который есть только у того человека, который регистрировался

что именно человек выполняет процесс аутентификации

А это не важно, если биткоин-адрес используется, значит у владельца есть на это право.
В том числе право на автоматизацию использования. Я же могу запустить бота от своего имени?

обе эти системы напрямую завязаны на физический мир

Неверно, на физический мир завязана регистрация, но никак не аутентификация и не авторизация
hero member
Activity: 616
Merit: 502
Арсен прав в том, что Скайп на данный момент просто безупречно убивает попытки сфальсифицировать личность. Я несколько раз уже был участником таких "сессий" с уважаемыми биржами при крупных финансовых операциях. Там зададут вопрос, пусть даже по английски я не смогу ответить,(с трудом) но это и будет доказательством что я "живой" и что они видели меня раньше. Это ВАЖНО. Скайп реально решает проблему аутентификации. Тут проблема в том - нужно ли оно.. Я лично не хотел бы офишировать себя, многое стоит на кану. Например, если вдруг петух в ж.. клюнет и начнут наши обхссовцы выцеплять неугодную с точки зрения ФРС(что там скрывать, наш Центробанк с президентом - их филиал..) аудиторию. Есть о чем задуматься.
legendary
Activity: 1120
Merit: 1069
2 ArsenShnurkov .

Для начала хотя бы решить для себя, зачем все это нужно.
Затем нужно понимать, например чем отличается авторизация от аутентификации. Второе - это приведение доказательства, что это тот самый пользователь, который когда то уже регистрировался, а первое - это предоставление доступа к чему-либо как следствие успешной проверки этих доказательств. И самое главное, ни то ни другое ничего не говорит о процессе регистрации, который необходимо провести ранее и о котором в основном написано в первом посте этого топика.

bitcoin как библиотека использования алгоритма хеширования, шифрования и создания электронной подписи - это еще одна библиотека (коих более чем достаточно) и далеко не самая удобная, и сомнительное это достоинство - хранить ключи доступа к чему либо в том же месте что и деньги.. все яйца в одной корзине (хотя все так и делают, так что пофиг).

Не туда копаете... конечно, исключить email (а так же sms) как посредника большинства достаточно важных процессов авторизации, но самое важное - это:
* разработать алгоритмы (и системы) проверки что именно человек выполняет процесс аутентификации (даже если это нажатие кнопки на личном брелке подтверждения),
* разработать алгоритмы проверки что авторизуется именно тот человек, который прошел процесс регистрации.

т.е. обе эти системы напрямую завязаны на физический мир (капча, как популярное средств решения первой задачи, далека от идеала и работает только как защита от 'нищих хакеров' и принципа 'неуловимого джо'). Попытки работы с человеком или его сознанием ведутся (все современные биометрические системы могут работать как средство аутентификации но не надежны как средство авторизации), недавно была даже статья о записи на подсознание человека кода и его проверки (пользователь пол часа играет в игру по типу guitar hero а система на основании скорости и типе его реакции делает вывод - верный ли это человек), но они далеки от комфортных.
legendary
Activity: 3108
Merit: 1359
Люди банки обманывают в реале, а тут какие-то скайпы, сканы...
http://www.technologyreview.com/news/424451/kindergarten-level-computer-security как пример высшей степени безалаберности.. И, думаете, в России не найдется банка с такой уязвимостью?  Wink
У ситибанка есть весьма мощный филиал в РФ, так что думаю один уже нашелся.  Grin

А если серьезно, тут дело не в отношении к безопасности, дыры есть и будут всегда, хотя бы из-за человеческого фактора.

P.S. кстати в аэропорту как-то ситибанк пристал, с предложением оформить кредитку. Ну решил поэкспериментировать, указав левые, но очень похожие на настоящие данные (при поверхностной проверке бы прокатило). Карточку не прислали.  Grin
legendary
Activity: 1386
Merit: 1000
авторизация?

Какая-то авторизация нужна,
а регистрация с email-ом подключает третью сторону (что снижает секьюрность)

Это идет в разрез с идеологией анонимности

не идет, почти никаких личных данных не собирается (таких как скан паспорта)

вообще, делает нас уязвимыми перед возможным давлением властей

Можно разместить сайт в i2p - это защитит автора сайта

нет, 'фотошоп' или что повеселее.

Это будут аккаунты с ограниченными возможностями. Скайп спасет от фотошопа.

В общем случае, скайп - это плохо, можно подумать по поводу какого-то
видео через web (flash или silverlight), это чуток сложнее, но вроде бы можно сделать

боты снова генерируют 100500 аккаунтов

Не хватит биткоинов на подтверждающие транзакции

в этой теме этих возможностей очень много.

Назови их, пожалуйста.
newbie
Activity: 5
Merit: 0
Ну ни одна система не идеальна, просто банки предоставляют в среднем гораздо меньше возможностей для обмана. А в этой теме этих возможностей очень много.
hero member
Activity: 616
Merit: 502
Люди банки обманывают в реале, а тут какие-то скайпы, сканы...
Это не так, банки не пример.Они порой совсем не серьезно относятся к безопасности, возможно, из за своих сверхприбылей..
http://www.technologyreview.com/news/424451/kindergarten-level-computer-security как пример высшей степени безалаберности.. И, думаете, в России не найдется банка с такой уязвимостью?  Wink

пс. А нужна ли нам такая авторизация? Это не только идет в разрез с идеологией анонимности, так и вообще, делает нас уязвимыми перед возможным давлением властей, объяви они проекту войну...
newbie
Activity: 5
Merit: 0
Люди банки обманывают в реале, а тут какие-то скайпы, сканы...
legendary
Activity: 1120
Merit: 1069
нет, 'фотошоп' или что повеселее и боты снова генерируют 100500 аккаунтов.
p.s. http://www.mono-1.com/monoface/main.html
legendary
Activity: 1386
Merit: 1000
Вот есть разные ключи, хеши от которых - это адреса переводов.

Для того, чтобы зарегистрировать кого-то, можно на форуме выдавать (через https)
рандомный контрольный код
и просить прислать такую сумму (в сатоши) на указанный адрес
(или сумму сделать фиксированной (платой за сервис), а адреса для приема всем разные выдавать)

Дальше, как биткоины приходят, просить прислать (например через форму POST) публичный ключ,
сравнивать его с адресом (адрес - он ведь хеш ключа?), с которого прислана сумма
и использовать этот публичный ключ для аутентификации клиента по протоколу https.

При этом:
1) не нужен email для регистрации
2) всё по https
3) эллиптическую криптографию вроде бы как apache умеет (а то я не помню, ключи там RSA или DSA)




UPD1: Можно усилить (чтобы повторную регистрацию предотвратить) - просить
1) распечатать транзакцию на листе
2) сфотографировать лицо с этой  бумагой
3) закачать эту фотографию вместо скана паспорта

(есть же замечательная библиотека OpenCV, которая в том числе умеет распознавать лица,
поэтому клонов и виртуалов с одной и той же рожой на чистую воду выведем
Достаточно сгруппировать ПОХОЖИЕ фото и представить их на досмотр одному и тому же проверяющему.)

{восстановление страницы на вконтакте устроено так:
скан паспорта + фотографию пользователя с паспортом в руке рядом с монитором на котором открыта страница голосования.
Вместо паспорта у нас private key, вместо страницы голосования - распечатанная транзакция}

Как дополнительный хинт можно использовать digital fingerprinting браузера




UPD2: Можно еще усилить (чтобы убедиться, что человек есть) - просить
показаться в скайпе после отправки фотографии.
Скайп - это не то же самое, что просить закачать фрагмент видео,
потому что можно задать пару вопросов в реалтайме.

Таким образом, будет три уровня доверия к аккаунтам (как на mtgox)




UPD3: Выборочная проверка
Чтобы cократить объем работы, сам скайп можно проверять автоматически (запросить код, получить ответ),
а совсем полную проверку делать выборочно.

Да, этапы 2 и 3 - это скайп вместо email (т.е. несекьюрно), но зато позволяет убедиться в отсутствии фотошопа

Взлетит?
Jump to: