वेब के लिए सुरक्षित और सुविधाजनक प्रमाणीकरण तकनीक

...

वर्तमान में, वेब अनुप्रयोगों में उपयोग किए जाने वाले सभी प्रमाणीकरण तरीके या तो पर्याप्त सुरक्षित नहीं हैं या उपयोग करने के लिए बहुत असुविधाजनक है। यह इस कारण से है कि इंटरनेट के माध्यम से माइक्रोएपमेंट की वैश्विक प्रणाली अभी तक प्रकट नहीं हुई है।



मौजूदा तरीकों में से प्रत्येक की अक्षमता क्या है?

• सरल पासवर्ड: सुविधाजनक है, लेकिन कई खतरे हैं, और सबसे महत्वपूर्ण यह है कि इसके लिए इतनी अनधिकृत पहुंच नहीं है, बल्कि यह कि लगभग एक ही लॉगिन / पासवर्ड संयोजन का उपयोग कई अलग-अलग सेवाओं के लिए किया जा सकता है, जिनमें से कुछ को पर्याप्त रूप से संरक्षित नहीं किया जा सकता है।
  
  वन-टाइम पासवर्ड: सुरक्षित और अपेक्षाकृत सुविधाजनक (लेकिन, फिर भी, एक अतिरिक्त डिवाइस जोड़ा जाता है), लेकिन काफी महंगा।
  
  डिजिटल हस्ताक्षर प्रमाण पत्र: सुरक्षित, लेकिन बहुत असुविधाजनक (क्रॉस-प्लेटफॉर्म टोकन समर्थन के साथ समस्याएं), और महंगी भी।
  
  पुष्टि के लिए दूसरा संचार चैनल (आमतौर पर एक मोबाइल फोन) का उपयोग करना: अपेक्षाकृत सुरक्षित, अपेक्षाकृत सुविधाजनक, अपेक्षाकृत स्केलेबल (अभी के लिए ...)।
  
  OpenID: सुरक्षित, लेकिन वर्तमान में इस तथ्य के कारण उपयोग करना कठिन है कि 99% लोगों के पास एक विश्वसनीय वेब सर्वर नहीं है।
  
  
  
  
  
  हालाँकि, अब वैश्विक प्रमाणीकरण प्रणाली में स्वाइप करना पहले से ही संभव है, यदि आप 3 घटनाओं के संयोजन का उपयोग करते हैं जो पहले से ही एक वास्तविकता बन चुके हैं:
  
  
  • आईपीवी 6;
    
    OpenID;
    
    एक मोबाइल फोन / संचारक से स्थिर इंटरनेट कनेक्शन।
    
    
    
    यहाँ यह है:
    
    
    
    प्रदाता के नेटवर्क में होने वाला प्रत्येक मोबाइल फोन, लगातार इंटरनेट से जुड़ा रहेगा और एक स्थिर IPv6 पता होगा, साथ ही फॉर्म का एक DNS <फोन नंबर> <ऑपरेटर डोमेन> भी होगा। प्रत्येक फोन में एक एकीकृत OpenID सेवा होगी।
    
    इस प्रकार, किसी व्यक्ति को किसी भी साइट पर स्वचालित रूप से प्रमाणित करने में सक्षम होने के लिए हर सुबह अपने फोन में लॉग इन करना होगा। ऐसी प्रणाली में, ज़ाहिर है, एक भेद्यता दिखाई देती है - फोन ही, जिसके कब्जे में, हमलावर अपने मालिक को प्रतिरूपण कर सकते हैं। लेकिन यहाँ, यहां तक ​​कि पहली नज़र में, सुरक्षा के लिए कुछ तरीके हैं:
    
    0. (ऑपरेटर को कॉल पर फोन को अवरुद्ध करने का उल्लेख नहीं करने के लिए);
    
    1. कुछ संवेदनशील लेनदेन (उदाहरण के लिए, भुगतान) के लिए, आप के रूप में अतिरिक्त प्राधिकरण बना सकते हैं, उदाहरण के लिए, एक पासवर्ड (अब दो-कारक प्रमाणीकरण);
    
    2. आप बायोमेट्रिक प्रमाणीकरण जोड़ सकते हैं या एक अतिरिक्त टोकन का उपयोग कर सकते हैं, उदाहरण के लिए, एक RFID चाबी का गुच्छा जिसे एक व्यक्ति चाबी का गुच्छा, गर्दन या कलाई पर पहन सकता है, और जिसे आगे से नहीं स्थित होना चाहिए, उदाहरण के लिए, काम करने के लिए OpenID सेवा के लिए फोन से 2 मीटर।
    
    मुझे लगता है कि अन्य उचित तरीके हैं ...
    
    
    
    ऐसी प्रणाली में, मोबाइल ऑपरेटर मोबाइल माइक्रो-बैंकों की भूमिका निभा सकते हैं, अगर भुगतान सीधे ऑपरेटर के व्यक्तिगत खाते या प्रमाणीकरण सेवा प्रदाताओं से किया जाता है (इस दृष्टिकोण को लागू करने के लिए पहले प्रयास किए जा रहे हैं, लेकिन मालिकाना प्रमाणीकरण प्रणाली के साथ जिनकी स्केलिंग की कोई संभावना नहीं है। व्यक्तिगत भुगतान प्रणालियों के दायरे से परे)।