CC BY
7
УДК 004.55
Струк П.В. аспирант
Дальневосточный федеральный университет
Россия, г. Владивосток БЕСПАРОЛЬНЫЙ МЕТОД ВЕБ-АВТОРИЗАЦИИ С ИСПОЛЬЗОВАНИЕМ «BITCOIN» ТЕХНОЛОГИЙ
Аннотация: в данной статье рассмотрены наиболее известные «простые» методы авторизации/регистрации на веб-ресурсах, которые не требуют специальных устройств, например смарт карт, устройств для сканирования отпечатков пальцев, сетчатки глаз и т.д., рассмотрены их плюсы и минусы, а также представлен наиболее безопасный принцип веб-авторизации с использованием «bitcoin» технологий, который не требует ввода пароля.
Ключевые слова: авторизация, идентификация, регистрация, OpenID, информационная безопасность
Struk P.V.
postgraduate of Far Eastern Federal University
Russia, Vladivostok
PASSWORDLESS METHOD TO AUTHORIZE ON THE WEB VIA "BITCOIN" TECHNOLOGIES
Abstract: This article considers the most famous "simple" authorization and registration methods at web-resources which require no specific devices to identify, such as smart cards, fingerprint or retina scanners, et cetera, considers their pro et contra as well as reprtesents the safest method of web authorization using "Bitcoin " technologies, which require no password.
Keywords: authorization, identification, registration, OpenID, information security
В настоящее время клиент-серверная архитектура приобретает все более широкое распространение, поскольку в большинстве случаев пользователи пытаются получить определенную информацию централизованно, используя сервер, на котором она хранится. Большинство таких ресурсов являются защищенными, поскольку большое количество информации на них является конфиденциальной и она должна защищаться от злоумышленников. В основном доступ к этой информации на серверах происходит с помощью авторизации пользователей.
Сейчас на практике используют множество подходов, которые предлагают пользователям проходить авторизацию на сервере и получать доступ к определенной информации со своего аккаунта. Самым простым средством авторизации на данный момент является использование логина и пароля, созданных в процессе регистрации на определенном ресурсе. Именно логин и пароль позволяет идентифицировать пользователя и
предоставить ему доступ к информации. Кроме логина и пароля могут использоваться и другие подходы, которые предусматривают использование ресурсов компьютера пользователя и его уникальные адреса в сети. Все эти подходы являются эффективными, но не очень защищенными. Каждый из этих параметров авторизации может быть подобранным злоумышленником и он может получить доступ к конфиденциальной информации. Именно поэтому проблема авторизации на клиент-серверных архитектурах актуальна и требует новых подходов, которые позволят максимально снизить вероятность подбора параметров авторизации, тем самым защитив эту информацию от злоумышленников.
В современных клиент-серверных архитектурах наиболее распространенными являются следующие средства авторизации на серверах:
1. Простая авторизация - возможна только после регистрации на ресурсе, а для осуществления самой авторизации нужна пара логин-пароль, которые предоставляются пользователю после регистрации. [1]
2. Авторизация по OpenID - метод авторизации, для использования которого требуется регистрация у так называемого «провайдера идентификации» и «зависимая сторона» - конечный ресурс, который пытается идентифицировать пользователя. Особенностью этого подхода является то, что регистрация на самом ресурсе не является обязательной, а провайдер идентификации может быть для разных ресурсов. Преимуществом в подходе является использование одной пары логин-пароль для многих ресурсов, а недостатком - этот подход еще мало распространен и очень мало ресурсов его используют. [1]
3. Enum-авторизация - привязка «аккаунта» к мобильному номеру телефона. При использовании данного подхода на телефон отправляется смс-сообщение с уникальным кодом, который затем используется для авторизации на ресурсе. Преимуществом данного подхода является то, что данная авторизация по сравнению с другими является наиболее защищенной, поскольку номера телефонов являются уникальными и получить код сможет только пользователь, которому принадлежит этот номер, а недостатком в данном подходе является то, что он мало распространен. Также он может ограничивать доступ, если телефона нет рядом, или же телефон может быть украденным, в таком случае доступ к ресурсу может получить злоумышленник. [1]
4. Авторизация с использованием уникальных параметров компьютера - данный подход дает возможность авторизовать пользователя, используя его IP-адрес, Windows Login и тому подобное, или их комбинации. Используя данный подход, пользователь имеет возможность получить доступ к ресурсам, не используя пары логин-пароль или другой подобной авторизации. Преимуществом данного подхода является то, что он позволяет пользователю не принимать участие в процессе авторизации, поскольку используя данные компьютера она пройдет автоматически, а недостатком в данном подходе является то, что каждое изменение компьютера, или других
ресурсов, приведет к невозможности авторизоваться на ресурсе. [1]
Все описанные выше средства авторизации, которые сейчас широко используются, имеют те или иные проблемы. Для конечного пользователя не будет очень эффективным использование пары логин-пароль каждый раз, когда он захочет посетить определенный ресурс. Привязка к телефону также заставлять пользователя выполнять определенные действия, чтобы авторизоваться. И не стоит забывать о том, что на практике каждый из этих средств авторизации может быть взломан методом подбора данных.
Каковы ж основные принципы работы "Ыйсот"-схемы? Bitcoin - это система, работающая по принципу реаг4о-реаг. В Ыйсот полностью отсутствует центр управления, система работает автономно и подчиняется определенным алгоритмам, а информация о транзакциях сохраняется у всех участников системы. Как известно, "Ыйсот"-схемы позволяют корректно идентифицировать верные транзакции, основываясь на определенной цепи связей. Это происходит, когда идет обмен данными между определенными участниками и создается транзакция. Другие участники, имея корректную информацию об участниках, которые создали транзакцию, проверяют их валидность в системе, и если валидность подтверждается, транзакция также подтверждается. Данная цепь связей можно использовать именно для "беспарольной" авторизации клиентов на серверах, которые находятся в этой цепи. Сервер, авторизуя клиента, проверит, действительно ли клиент имеет с ним связь, использовав других участников в этой цепочке, у которых будет достоверная информация о том, действительно ли этот клиент имеет связь с этим сервером. Если валидность участника будет подтверждена, ему будет предоставлен доступ к ресурсу.
Основным преимуществом предложенного подхода является то, что он дает возможность авторизоваться на определенных ресурсах, не используя учетных данных. Все что нужно для авторизации - это лишь список всех блоков и транзакций, с помощью которых работает "Ыйсот"-схема. По сравнению с существующими подходами, данный подход позволит минимизировать возможность взлома ресурсов мошенниками, используя учетные данные клиента, поскольку в "Ыйсот"-схеме авторизация будет проходить только в том случае, когда другие пользователи будут подтверждать валидность. Основным недостатком данного подхода является то, что придется сохранять все время цепь блоков на компьютерах или других ресурсах, откуда будет вестись коммуникация с сервером. Также могут быть небольшие задержки при проверке валидности другими участниками, но данную проблему можно решить, уменьшив длину хэша блока, поскольку в клиент-серверной структуре нет смысла использовать большие хэши, потому что здесь будут проходить не манипуляции с деньгами, а лишь обмен информацией.
Итак, рассмотренный подход позволит значительно расширить клиент-серверный обмен данными, при этом обмен информации будет защищенным и его невозможно будет подделать.
Использованные источники:
1. Хабр: русскоязычный веб-сайт в формате коллективного блога с элементами новостного сайта // Авторизация в веб: какой она может быть? [Электронный ресурс]. 3 июля 2008. URL: https://habr.com/post/28443 (Дата обращения: 22.06.2018).
УДК 376.744
Субраков А.Д. старший научный сотрудник Центр этнокультурной стратегии образования Федеральный институт развития образования
Россия, г. Москва РАЗВИТИЕ МЕТОДИКИ ПРЕПОДАВАНИЯ РОДНОГО ЯЗЫКА В НАЦИОНАЛЬНЫХ ШКОЛАХ РОССИЙСКОЙ ФЕДЕРАЦИИ182
Аннотация:
Статья посвящена вопросам истории методики преподавания родного языка в национальных школах Российской Федерации и роли Научно-исследовательского института национальных школ в становлении и развитии этого процесса.
Ключевые слова: ликвидация безграмотности, НИИ национальных школ, методика преподавания родного языка.
Subrakov A.D.
Senior research associate of the Center of ethnocultural strategy of
education
Federal institute of a development of education
Russia, Moscow
DEVELOPMENT OF THE TECHNIQUE OF TEACHING THE NATIVE LANGUAGE AT NATIONAL SCHOOLS OF THE RUSSIAN
FEDERATION
Summary:
Article is devoted to questions of history of a technique of teaching the native language at national schools of the Russian Federation and a role of Research institute of national schools in formation and development of this process.
Keywords: elimination of illiteracy, scientific research institute of national schools, technique of teaching the native language.
182 Работа выполнена в рамках проекта 27.12581.2018/12.1 «Нормативно-правовое и научно-методическое сопровождение реализации языковой образовательной политики в субъектах Российской Федерации с преобладанием би- и поли- лингвальности», выполняемому в рамках государственного задания Минобрнауки России
