Давным-давно у меня возникла идея повысить безопасность своих аккаунтов и входа на сайты, требующие регистрации.
Хабр я тогда читал без регистрации, поэтому естественно ничего не писал.
Сам я не программирую на этом уровне и не связан с сайтами, предоставляющими доступ к учетным записям пользователей, то есть реализовать и протестировать идею у меня не получится, поэтому решил поделиться своей идеей со знающим человеком.
Кому это нужно больше? Наверное, Google, подумал я.
С трудом нашел адрес одного сотрудника и написал письмо.
Резюме (я — это я, С — сотрудник): Я: У меня есть идея зайти в ваш аккаунт, это повысит секретность и надежность процесса.
С.
Отправь, я найду кому отдать.
Отправляю (описание будет под диалогом).
С.
Вынужден разочаровать, но это уже сделано (и дает мне ссылку на двухэтапную аутентификацию).
Я: Это совсем не то же самое! Он предлагает двухэтапный метод аутентификации.
Требуется телефон (не очень хорошее и надежное соединение), на который отправляется код для второго этапа аутентификации.
Причем код можно менять только раз в 30 дней.
С.
(молчание).
Напоминаю.
С.
Идея плохая, не тратьте время, никому не перешлю.
Если идея плохая, то так и быть, я отказался от этого процесса.
Сегодня читаю Хабр.
Уже как зарегистрированный пользователь.
Обращаю ваше внимание на статью «Сезам, открой!» — войдите в свою учетную запись Google с помощью QR-кода.
Я думаю, что люди думают о том, как защитить своих пользователей! И я помню свою идею.
Может быть, оно кому-то еще понадобится? Теперь об идее более подробно.
Когда я о ней переписывалась, то в Интернете ничего подобного не нашла, вполне возможно, что плохо искала.
И оказывается, что этот сотрудник тоже не смог его найти! Может быть, кто-нибудь осуществит эту идею? Мне кажется, здесь нет ничего особенно сложного.
Обсудите, но особо помочь не смогу - это не мой путь.
Пароли к учетным записям электронной почты, личным страницам, форумам и т. д. всегда неизменны.
Они изменяются вручную и довольно редко самими пользователями.
Если пароль меняется нечасто, его секретность снижается.
Я предлагаю сделать автоматически меняющийся (динамический) пароль.
При этом пароль может содержать как классическую – неизменяемую часть, так и динамически изменяемую.
Если переменную часть сделать достаточно динамичной, то пока генератор ключей будет подбирать пароль, пароль будет меняться, что затруднит его подбор.
Кроме того, пароль, подсмотренный другими людьми, через десять минут станет другим.
Если кратко, то суть в том, что пароль пользователя не жесткий, а динамический и меняется по правилам и условиям, описанным при регистрации (смене пароля).
При входе в Ваш Аккаунт почтовый сервер проверяет соответствие введенного пароля текущему набору всех изменяющихся параметров.
Если совсем примитивно, то можно привести следующий пример: Вариант пароля (лучше всего часть пароля) — текущее время с точностью плюс-минус пару минут. Пользователь его набирает, система проверяет допуск (плюс-минус пару минут, мало ли, насколько точен пользователь) и пускает в систему.
Простейшие примеры привязки динамической части к различным параметрам: — Текущий час в одном из часовых поясов.
— Текущая четверть часа — 1, 2, 3, 4. - Текущие десять минут - 0, 1, 2, 3, 4, 5. — Текущая минута — 0.59. - Порядковый номер дня в году (сколько дней осталось до Нового года) - 0.365. — Текущий месяц (порядковый номер) — 1, 2, 3, …, 12. — Текущий месяц (первая буква названия) — J, F, M, …, D. — Буквы имени или фамилии президента страны — А…З.
- Сезон - зима, весна, лето, осень - выигрыш, весна, сумма, авт. — Последний курс выбранной валюты ? — Число лет со дня рождения любого выбранного человека — 0…2011. - Сколько лет осталось до определенного события - 0.? — Температура воздуха в определенном городе по прогнозу выбранного сайта.
— Преобразование числа в двоичный или другой код. Пример пароля.
415Мед125 4 – число десятков минут. 15 — текущий час в одном из часовых поясов.
Мед - действующий президент. 125 – порядковый день года.
Для запоминания можно придумать мнемонические правила.
Конкретный пример: «Время президента — день».
В отличие от двухэтапной аутентификации, в моей версии код меняется автоматически по заранее заданным правилам.
При этом оно может меняться минимум раз в 10 минут (в зависимости от того, что используется в динамической части).
И для входа не нужен телефон.
Полученные результаты.
1. Мнения разделились.
В обсуждении кому-то идея так себе, кто-то нашел рациональное зерно.
2. Аквахок 17 января 2012, 21:26 и привел примеры ниже 1 , 2 И 3 , где применяется аналогичный принцип.
Оказывается, идея с динамической частью работает. Динамическая часть будет работать примерно так же, как токен RSA SecurID по предоставленным ссылкам.
Вот еще интересная ссылка.
Муртазин сегодня написал об очень интересной банковской карте со встроенным дисплеем.
, 22:10 написал правильную мысль, которую я не смог передать сразу.
Пароль, статическая и динамическая части — это конструктор, который пользователь собирает самостоятельно.
Он ставит то, что хочет и куда хочет. 4. Кажется, С.
из диалога был прав насчет этой идеи.
Спасибо всем, кто принял участие в обсуждении! 5. Оказывается, этот алгоритм уже реализовано.
6. Дальнейшее развитие идеи появилось Динамический пароль 2.0 автор DJVU P.S. 2014. Была реализована идея разблокировки экрана смартфона.
TimePIN: украденный пароль от экрана блокировки не поможет за минуту .
Теги: #Google #пароль #аккаунт #ИТ-компании #ИТ-компании
-
Объяснение Скоростей
19 Oct, 24 -
Поддержка Sage Mas 90 – Значение Этой Услуги
19 Oct, 24 -
Делаем Свои Фото В Стиле Lytro.
19 Oct, 24 -
Яндекс Никогда Не Умрет :)
19 Oct, 24
