На сегодняшний день человечество с головой погрязло в паролях, чему способствуют многочисленные банковские карточки, платежные системы, почтовые ящики, социальные сети и другие сервисы, специально для посещения, которых, нужно держать шифры в голове или записать в безопасном месте. Чем более насыщенным и разнообразным будет кодовое слово, тем сложнее будет его взломать, но массу надежных паролей запомнить сложно, а хранить их в бумажном или электронном виде – небезопасно. Как справляться с таким обилием паролей и не подвергнуться риску взлома со стороны хакеров?
Как правило, пароль становится не только главным препятствием на пути взломщика, но и основным ключом, при помощи которого киберпреступники творят свои дела. Но что, если полностью избавиться от кодовых слов и заменить их более надежными средствами защиты? К примеру, некоторые компании уже давно используют для аутентификации пользователя сканирование сетчатки глаза или проверяют на совпадение голос. Скорее всего, мы совсем близки к беспарольной эпохе, когда главный ключ ко всем нашим тайнам будет лежать внутри нас.
Ученые уже давно усиленно работают над созданием различных программных решений, которые смогут облегчить жизнь среднестатистического обывателя. И в последнее время плодотворная работа специалистов приносит результаты. К примеру, разрабатываются технологии единого входа, которые основаны на устаревшем протоколе Kerberos. Последний позволял пользователю без применения паролей перемещаться внутри одной программы или сайта.
С появлением децентрализованных институтов и сервисов верификации пользователей, таких как Mozilla Persona и OpenID была совершена попытка создать единый доступ к многочисленным сервисам и интернет-ресурсам, но разработчики не смогли достичь желаемого результата. Несмотря на большие инвестиции в эту отрасль, использование перечисленных выше сервисов не получило широкую огласку, а изначально перспективный проект Persona и вовсе закрыли в конце прошлого года. Основной проблемой тестируемых платформ оказался фишинг.
Немного шума удалось наделать проекту oAuth, который представляет собой открытый протокол для идентификации. Он дает возможность пользователям на временной основе предоставлять для посредников ограниченный доступ к персональным данным. Кроме этого, можно было авторизоваться при помощи безопасного аккаунта на каждом онлайн-сервисе, который способен работать с протоколом. Главным недостатком oAuth оказалась плохая защита персональных данных клиента, а также слишком большие права, вверяемые одному, главному аккаунту, в случае взлома которого, контроль над всеми данными и профилями пользователей теряется.
В последнее время популярность обрели клиентские SSL-протоколы, используемые в браузерах. Они позволяют осуществлять беспарольную авторизацию на сайтах, но чтобы подобные услуги стали обыденным делом, пользователю придется потратить немало усилий и личного времени. Существуют и альтернативные методы решения проблемы с верификацией, основанные на технологии распределенного реестра. К примеру, алгоритм NXT применяется при вхождении в аккаунт пользователя, и при этом он содержит в себе уникальную подпись клиента, которая была сгенерирована при помощи специального ключа. Данный способ не в состоянии обеспечить стопроцентную защиту от взлома, а токены в блокчейн передаются не в распределенном режиме, а целиком, что повышает вероятность перехвата кибермошенниками.
В результате многих лет испытаний появилась необходимость в таком сервисе, который позволит авторизоваться и доступно и безопасно. К когорте подобных разработок можно причислить протокол emcSSL, который на сегодняшний день является первой независимой системой управления, а также электронными ключами, созданными на базе блокчейн EmerCoin. Сродни любой другой децентрализованной сети, за сертификацию в emcSSL отвечают пользователи, тогда как технология распределенного реестра EmerCoin хранит хэши SSL-сертификатов, благодаря чему гарантируется сохранность уникального аккаунта пользователя.
Благодаря использованию блокчейн можно увеличить уровень надежности системы и масштабировать ее до необходимого уровня за счет децентрализации. Индивидуальные ключи постоянно сохраняются на компьютере пользователя, что делает невозможной утечку данных при хакерских атаках. В то же время центральный сервер, который чаще всего становится предметом охоты киберпреступников, в данной схеме просто отсутствует.
В сети encSSL личные сведения клиента сохраняются на инфокартах – зашифрованных блоках с информацией, которые хранятся в распределенном реестре EmerCoin. После того как пользователь пройдет авторизацию на том или ином интернет-ресурсе либо онлайн-сервисе, он самостоятельно принимает решение о том, какие данные он готов открыть для общего доступа. Подобный принцип работы позволяет защитить информацию тогда, когда это необходимо, и в отдельных случаях - открыть сведения (к примеру, в процессе осуществления онлайн-шопинга или заполнения анкет с личными данными). В таких случаях протокол, после вашего одобрения, откроет сайтам доступ к конкретным данным. К его минусам следует отнести сложность настройки и работы.
Компания Hashcoins довольно неожиданно подошла к решению проблемы – они создали «мультипаспорт», основанный на привычном протоколе emcSSL с рабочими элементами oAuth 2.0. С использованием нового функционала сервис станет более простым в использовании и ничуть не потеряет в безопасности. Интерфейс программы будет минимизирован и немного схож с Фейсбуком.
В конце января продукт будет представлен общественности, но компания-производитель уже сейчас объясняет алгоритм работы Authorizer. Для начала придется заполнить свою информационную карточку и личный сертификат. Можно будет сделать это на сайте продукта или в кошельке EmerCoin. Кроме этого, есть возможность самостоятельно создать сертификат за счет скриптов, но такой метод не осилит среднестатистический пользователь. Данный документ может интегрироваться в каждый из существующих браузеров, и для этого достаточно лишь привязать к ним сертификат. Но не забывайте о том, что, защищая доступ к сайтам, вы должны обезопасить и само мобильное устройство, так как в руках мошенника оно признает своим владельцем именно его, и ваши пароли будут автоматически служить преступнику.