xmoonlight
@xmoonlight
https://sitecoder.blogspot.com

Алгоритм входа с защитой авторизационных данных от использования при их перехвате на канале?

Делаю пользовательскую зону на веб-сайте с повышенной системой защиты.


Необходимо реализовать без установки сертификата или токена, а так же любого «железа» (кроме стандартных: «мыши» и клавиатуры), вход с защитой авторизационных данных от использования при их перехвате на канале.


Т.е. обычным методом: логин и пароль.

Нужна регистрация (однократно) и авторизация (периодически). (стандартные требования...)


У кого какие мысли? Какие алгоритмы смотреть, подскажите.

Заранее, всем Спасибо за помощь.
  • Вопрос задан
  • 4209 просмотров
Решения вопроса 1
Подскажите, а какие дополнительные угрозы не дают использовать что-то типа примитивного CRAM-MD5 (быстро, все есть штатно на клиенте и на сервере)?
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
Я правильно понимаю, что вы хотите повысить безопасность системы ничего не меняя в механизме аутенификации/авторизаиции? Тогда кроме использования SSL шифрования канала вам ничего посоветовать нельзя.
Ответ написан
@lair
Чем вам HTTPS не угодил? Стандартное решение.
Ответ написан
Комментировать
bypasser
@bypasser
Присоединяюсь к HTTPS.
Ответ написан
Комментировать
Почитайте про аутентификацию с солью habrahabr.ru/post/121021/
Ответ написан
ntkt
@ntkt
Потомственный рыцарь клавиатуры и паяльника
Используйте HTTPS + аутентификацию при помощи SRP-6, как подсказывают коллеги выше.
1. Правильно настроенный HTTPS обеспечит приемлемую защиту канала обмена данными (если пользователи будут минимально сознательны).
2. SRP-6 не дает использовать перехваченные данные повторно и не дает подобрать изначальный пароль на их основе.
Даже если атакующий обойдет SSL, например, получит доступ к закрытому ключу от Вашего серверного сертификата, или от более высокого в цепочке сертификатов, вплоть до корневых, и проведет MITM-атаку, используя легитимный с точки зрения клиентского браузера поддельный SSL-сертификат, то перехваченной информации атакующему будет все равно недостаточно, чтобы аутентифицироваться вместо пользователя.

Вместо SRP-6 можно использовать более слабые стандарты типа htdigest (HTTP digest authentication, rfc2617, есть в апаче из коробки, правда, в самом простом варианте использования это будет для клиента выглядеть как некрасивое стандартное pop-up окно в браузере).
Ответ написан
asilonos
@asilonos
Программист
Логин , пароль и одноразовый пароль totp, на основе Google Authenticator
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы