Беспарольный метод веб-авторизации с использованием "bitcoin" технологий

В настоящее время клиент-серверная архитектура приобретает все более широкое распространение, поскольку в большинстве случаев пользователи пытаются получить определенную информацию централизованно, используя сервер, на котором она хранится. Большинство таких ресурсов являются защищенными, поскольку большое количество информации на них является конфиденциальной и она должна защищаться от злоумышленников. В основном доступ к этой информации на серверах происходит с помощью авторизации пользователей.

Сейчас на практике используют множество подходов, которые предлагают пользователям проходить авторизацию на сервере и получать доступ к определенной информации со своего аккаунта. Самым простым средством авторизации на данный момент является использование логина и пароля, созданных в процессе регистрации на определенном ресурсе. Именно логин и пароль позволяет идентифицировать пользователя и предоставить ему доступ к информации. Кроме логина и пароля могут использоваться и другие подходы, которые предусматривают использование ресурсов компьютера пользователя и его уникальные адреса в сети. Все эти подходы являются эффективными, но не очень защищенными. Каждый из этих параметров авторизации может быть подобранным злоумышленником и он может получить доступ к конфиденциальной информации. Именно поэтому проблема авторизации на клиент-серверных архитектурах актуальна и требует новых подходов, которые позволят максимально снизить вероятность подбора параметров авторизации, тем самым защитив эту информацию от злоумышленников.

В современных клиент-серверных архитектурах наиболее распространенными являются следующие средства авторизации на серверах:

• 1.    Простая авторизация - возможна только после регистрации на ресурсе, а для осуществления самой авторизации нужна пара логин-пароль, которые предоставляются пользователю после регистрации. [1]

• 2.    Авторизация по OpenID - метод авторизации, для использования которого требуется регистрация у так называемого «провайдера идентификации» и «зависимая сторона» - конечный ресурс, который пытается идентифицировать пользователя. Особенностью этого подхода является то, что регистрация на самом ресурсе не является обязательной, а провайдер идентификации может быть для разных ресурсов. Преимуществом в подходе является использование одной пары логин-пароль для многих ресурсов, а недостатком - этот подход еще мало распространен и очень мало ресурсов его используют. [1]

• 3.    Enum-авторизация - привязка «аккаунта» к мобильному номеру телефона. При использовании данного подхода на телефон отправляется смс-сообщение с уникальным кодом, который затем используется для авторизации на ресурсе. Преимуществом данного подхода является то, что данная авторизация по сравнению с другими является наиболее защищенной, поскольку номера телефонов являются уникальными и получить код сможет только пользователь, которому принадлежит этот номер, а недостатком в данном подходе является то, что он мало распространен. Также он может ограничивать доступ, если телефона нет рядом, или же телефон может быть украденным, в таком случае доступ к ресурсу может получить злоумышленник. [1]

• 4.    Авторизация с использованием уникальных параметров компьютера - данный подход дает возможность авторизовать пользователя, используя

его IP-адрес, Windows Login и тому подобное, или их комбинации. Используя данный подход, пользователь имеет возможность получить доступ к ресурсам, не используя пары логин-пароль или другой подобной авторизации. Преимуществом данного подхода является то, что он позволяет пользователю не принимать участие в процессе авторизации, поскольку используя данные компьютера она пройдет автоматически, а недостатком в данном подходе является то, что каждое изменение компьютера, или других ресурсов, приведет к невозможности авторизоваться на ресурсе. [1]

Все описанные выше средства авторизации, которые сейчас широко используются, имеют те или иные проблемы. Для конечного пользователя не будет очень эффективным использование пары логин-пароль каждый раз, когда он захочет посетить определенный ресурс. Привязка к телефону также заставлять пользователя выполнять определенные действия, чтобы авторизоваться. И не стоит забывать о том, что на практике каждый из этих средств авторизации может быть взломан методом подбора данных.

Каковы ж основные принципы работы "bitcoin"-схемы? Bitcoin - это система, работающая по принципу pear-to-pear. В bitcoin полностью отсутствует центр управления, система работает автономно и подчиняется определенным алгоритмам, а информация о транзакциях сохраняется у всех участников системы. Как известно, "bitcoin"-схемы позволяют корректно идентифицировать верные транзакции, основываясь на определенной цепи связей. Это происходит, когда идет обмен данными между определенными участниками и создается транзакция. Другие участники, имея корректную информацию об участниках, которые создали транзакцию, проверяют их валидность в системе, и если валидность подтверждается, транзакция также подтверждается. Данная цепь связей можно использовать именно для "беспарольной" авторизации клиентов на серверах, которые находятся в этой цепи. Сервер, авторизуя клиента, проверит, действительно ли клиент имеет с ним связь, использовав других участников в этой цепочке, у которых будет достоверная информация о том, действительно ли этот клиент имеет связь с этим сервером. Если валидность участника будет подтверждена, ему будет предоставлен доступ к ресурсу.

Основным преимуществом предложенного подхода является то, что он дает возможность авторизоваться на определенных ресурсах, не используя учетных данных. Все что нужно для авторизации - это лишь список всех блоков и транзакций, с помощью которых работает "bitcoin"-схема. По сравнению с существующими подходами, данный подход позволит минимизировать возможность взлома ресурсов мошенниками, используя учетные данные клиента, поскольку в "bitcoin"-схеме авторизация будет проходить только в том случае, когда другие пользователи будут подтверждать валидность. Основным недостатком данного подхода является то, что придется сохранять все время цепь блоков на компьютерах или других ресурсах, откуда будет вестись коммуникация с сервером. Также могут быть небольшие задержки при проверке валидности другими участниками, но данную проблему можно решить, уменьшив длину хэша блока, поскольку в клиент-серверной структуре нет смысла использовать большие хэши, потому что здесь будут проходить не манипуляции с деньгами, а лишь обмен информацией.

Итак, рассмотренный подход позволит значительно расширить клиент-серверный обмен данными, при этом обмен информации будет защищенным и его невозможно будет подделать.