Haber

BitPay BitAuth, bir Parola Doğrulama Protokolü Sunar

Atlanta, Gürcistan merkezli BitPay bugün sunucu tarafında şifre saklama alanını azaltmak (veya ortadan kaldırmak için) ve böylece etkisini azaltmak için tasarlanmış BitAuth adı verilen yeni şifre kullanmadan daha az kimlik doğrulama aracı sunuyordu tehlikeye atılmış bir sunucunun.

"Müşterilerimizin verilerin güvenliğini en iyi şekilde nasıl koruyacağımız konusunda, finansal bilgilerle ilgilenirken özellikle kritik öneme sahip olan, uzun ve dikkatli bir düşünceye imza attık. Aşina olduğunuz mevcut kimlik doğrulama şemaları, kullanıcı adı ve parola, istemci tarafı SSL sertifikaları veya hatta paylaşılan sırları içermektedir - incelememizin sonunda, bunların her birinin çeşitli şekillerde eksik olduğunu tespit ettik, bu nedenle, şirket, BitAuth'u inşa ettiler, "diye yazdı Salı, bir blog yazısında yazdı.

"Geliştirici saldırıları önlemek ve dizinin uygulanmasını sağlamak için bir nonce kullanılmaktadır" diye yazan şirketin geliştiricileri yazıyordu.

Sisteme bir bakış

BitAuth, orijinal olarak bit çekirdeği geliştiricisi Jeff Garzik tarafından önerilen "şifreleme anahtarlığına dayalı yeni bir indentity formatı" olan bir SIN veya Sistem Kimlik Numarası kullanır.

"SIN bir Bitcoin adresine benziyor" yazan geliştiriciler, "SIN'in dünyayla açıkça paylaşılabileceğini, buna karşılık gelen özel anahtar istemci tarafında tutulduğundan ve hiç gönderilmediğini de ekliyor" tel üzerinde. "

BitPay:

[blockquote style =" 2 "] BitAuth kimlik doğrulama şeması, tanıdık kullanıcı adı (veya e-posta) ve şifre tamiri ile doğrudan uyumludur.Aslında, özel anahtarları saklarken, şifreleyerek şifrelemenizi öneririz bir parola, bu nedenle bu saldırı veya uzlaşmaya karşı dirençlidir.BitAuth yöntemiyle başlıca fark şifrenin herhangi bir biçimde asla tel üzerinden gönderilmemesidir [/ blockquote]

Bu özel sistemi kullanan kullanıcı, yine de bir kullanıcı adı veya şifre girmek için benzer bir deneyimle karşılaşmaya devam edecek, ancak "özel anahtarın şifresini çözmek için daha sonra bu şifreyi kullanıp talebi imzalamak için kullanıyor" diyor BitPay.

Kullanılan sunucu tehlikeye atılırsa, kullanıcının kimlik doğrulama formunun bütünlüğü dokunulmaz, ancak hikaye yerel bilgisayarlarda depolandığı için son kullanıcının bilgisayarına zarar verildiği halde farklıdır.

Sistemin geleneksel yöntemlerle karşılaştırması aşağıda anlatılmıştır. kimlik doğrulama, quo BitPay'den:

İstemci makinenin yalnızca bir uzlaşması sistemin güvenliğini tehlikeye atabilir.

  1. Özel anahtar sunucuya hiç açıklanmadığından, HMAC'deki gibi bir yan kanal üzerinden sunucu ve istemci arasında değiştirilmesi gerekmez.

  2. Bitcoin protokolünün uygulandığı her yerde uygulanması kolay.

  3. Bitcoin adreslerinden ayrılmış ve finansal işlemlerden daha açık bir ayrım yapılmasına ve daha fazla gizliliğe izin verilmesine imkân tanıyor.

  4. Kimlik taşınabilir duruma gelir - aynı kimlik birden fazla hizmette kullanılabilir, böylece kimliğinizi yanınızda götürürsünüz.

  5. "BitAuth'ın yaygın şekilde benimsenmesinin (veya benzer bir planın) web güvenliğini artıracağını ve bu mekanizmayı benimseyen yeni hizmetleri görmeyi sabırsızlıkla beklediğini" belirtiyor.

BitAuth açık kaynaktır ve GitHub'da görüntülenebilir. Daha fazla bilgi için, buradaki blog yazılarını ziyaret edin.