В Коммерсант вышел материал об инвестиции государственным фондом ФРИИ 70 миллионов рублей в стартап IDX (Identity Exchange). Миссия стартапа — создание площадки для продажи персональной информации о физических и юридических лицах. Разберемся в том, что предлагает IDX.




Суть сервиса в том, что компания-партнер IDX, которой пользователь однажды уже передал свои данные, может верифицировать их достоверность по запросу другой организации. При этом IDX не передает между партнерами сами данные, а производит сверку цифровых подписей и хэшей зашифрованных сведений.

Клиент проходит процедуру идентификации, например, при личном визите в офис. Компания поставщик данных для IDX (далее «компания А») продает информацию о пройденной идентификации другим участникам рынка.
«IDX устроен как шлюз, там нет персональных данных, значит, нет и рисков их утечки»,— подтверждает директор по эксплуатации «Акадо Телеком» Михаил Медриш. «Мы можем участвовать в проекте как поставщик информации о достоверности данных и сами заинтересованы в услугах, поскольку наши потенциальные клиенты могут быть уже идентифицированы в других сетях»,— объясняет он смысл сотрудничества с IDX.

Акадо является поставщиком информации для IDX о своих клиентах, компанией А.
Риск утечки данных при использовании системы сведен к нулю, утверждает представитель ФРИИ. В основе платформы лежит математический метод «доказательства с нулевым разглашением» (Zero-knowledge proof), использование которого позволяет убедиться в достоверности полученной информации без ее расшифровки, пояснил он.

Рассмотрим процесс продажи компанией А персональных данных клиента с использованием шлюза IDX. Предположим структуру профиля пользователя:

{
  "passport":12345,
  "first_name": "Igor",
  "last_name": "Barinov",
  "dob_year": 1970,
  "dob_month":01,
  "dob_day":01,
  "active": true
}

Компания Б, запрашивающая информацию, формирует группы атрибутов по интересующему клиенту, хеширует их и отправляет через шлюз IDX всем участникам, продающим персональные данные.

Пример запрашиваемой информации:
hash(passport+first_name+last_name+dob_year+dob_month+dob_day).

Подставим значения из структуры:
sha2(12345IgorBarinov19700101)

Получаем хеш:
f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661

Компания А, обладающая сведениями о клиенте, подтверждает наличие записи и возвращает в ответе метаданные, которые с ФИО и паспортом будут являться частью персональных данных, но в случае ZKP (Zero Knowledge Proofs) — нет.

Например,

{"request":"f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661",
"dead":false,
"phone_number":"5555555555"
}

и подписывает структуру своим приватным ключом. Шлюз IDX переправляет ответ продавца персональных данных покупателю персональных данных и учитывает факт сделки. Покупатель данных проверяет публичным ключом целостность сообщения и адресата. Биллинг IDX списывает с баланса покупателя персональных данных оплату продавцу персональных данных и комиссию.

Краткие выводы:

— используя скрытие данные в хешированных структурах, стартап IDX организует площадку по торговле персональными данными.
— государственный фонд финансирует компанию, организующую такую площадку
— зная персональные данные пользователя, третье лицо может легально получить данные и метаданные по всем используемым пользователем сервисам, чьи провайдеры продают персональную информацию через шлюз IDX

Disclaimer: автор не имеет отношения к компании IDX, Акадо, ФРИИ и соображения о принципах работы основаны на OSINT (открытых данных).
Поделиться с друзьями
-->

Комментарии (55)


  1. rganchen
    25.12.2016 00:07
    +8

    А как найти сайт компании в которую проинвестировали 70мм рублей? Или как поднять миллион долларов без сайта.


    1. kekekeks
      25.12.2016 12:33
      +3

      как поднять миллион долларов без сайта

      Сделать работающий сервис и показать финансовые результаты. Обычно инвесторы ждут не сайта, а именно этого.


      1. VolCh
        25.12.2016 13:13
        +2

        Или даже прототип сделать, а инвестиции просить именно на создание работающего сервиса.


  1. Konstantinus
    25.12.2016 00:23
    +1

    Получается покупатель верифицирует даннные Которые у него уже есть?


    1. igorbarinov
      25.12.2016 00:31

      Покупатель верифицирует факт, что данные, которые у него есть, есть и продавца + получает дополнительные атрибуты, которые он может не знать. Например, запрашивая ФИО и номер паспорта, которые он знает, получает в ответ подтверждение этого знания + номер телефона, который он не знал.

      Об этом в Коммерсанте написано так:

      Стоимость единичной идентификации данных для бизнеса в IDX варьируется от 5 до 200 руб. и зависит от объема информации и ее детализации.


      1. mird
        26.12.2016 18:31

        То есть перс данные все же разглашаются? (телефон то утек). Ну и да, зная структуру хешируемых данных можно брутфорсить недостающее


  1. icoz
    25.12.2016 02:19
    +1

    А оплачивается только успешная транзакция? А удобно пару цифр в паспорте подобрать получается.


  1. Rampages
    25.12.2016 05:56
    +2

    Очередной распил бабла… А кому будут оказываться эти услуги? Только Российским компаниям и иностранным компаниям, которые хранят пользовательские данные на серверах в России?

    Хотя всякие БКИ и так торгуют нашими персональными данными…


    1. alekssaff
      25.12.2016 20:04

      Это интересно МФО, которых обязали идентифицировать клиентов, вот только не понятно как идентификация проходит.


      1. igorbarinov
        25.12.2016 20:04

        По закону они обязаны лично идентифицировать?


  1. vladim1r
    25.12.2016 10:18
    -1

    Не нашёл другого материала с описанием проекта, но если приведённый в настоящей статье пример действительно отражает техническое решение, в которое инвестировали 70млн, то становится как-то совсем грустно и печально за рынок отечественных инвестиций. Никакой это не Zero-Knowledge, получили хеш и ответили им же с дополнительными метаданными – в чём собственно доказательство? Не достигается ключевое свойство протоколов ZK — корректность доказательства. Ну а про централизованность решения и сложность перебора таких хешей даже писать не буду. Ясно одно — авторы проекта хорошо умеют продавать :)


    1. igorbarinov
      25.12.2016 10:48

      vladim1r Вы правы. Поднять миллион долларов без описания и сайта — нужно уметь хорошо продавать!

      Leonid Filatov сайт просто не доделали еще… боевым прототипом занимались и тестовыми подключениями =) будет сайт в начале года
      Обсуждение в ФБ с одним из авторов проекта

      Про техническое решение мы можем строить догадки. Я оперирую только фактами, доступными из статьи Коммерсанта и попытался представить его в формате задачи, которую нужно реализовать.

      Проблему централизованности при продаже персданных решает Мастерчейн (блокчейн от консорциума банков), в который входит и клиент IDX — Открытие.
      Мастерчейн – это инструмент взаимодействия между участниками финансового рынка, использующий технологию распределенных реестров. Он позволяет проводить платежи в режиме онлайн, оперативно подтверждать актуальность данных о клиенте или сделке, а также быстро создавать финансовые сервисы.


      Проблему перебора хешей решат через биллинг. Каждый API запрос будет стоить от 5 до 200 рублей.


    1. Alesh
      26.12.2016 10:51

      Вообще-то 70MРуб это не за техническое решение дано, а на конечную реализацию проекта. А если так, то это не очень уж и большие деньги, во всяком случае не такие что бы охать.


  1. orsinium
    25.12.2016 10:18
    +1

    Соли нет? То есть, если компания продаёт ФИО и номер телефона, я, зная ФИО, могу подобрать номер телефона?


  1. Oskar87
    25.12.2016 10:39

    Посолят, не переживай, дело пустяковое.


    1. igorbarinov
      25.12.2016 10:50

      Oskar87 Если посолят, то соль нужно будет знать с двух сторон. Иначе продавец будет всегда возвращать false на запрос хеша от данных с добавленной солью.


      1. Vicom
        25.12.2016 20:05
        +2

        Совершенно верно. А раз посолят с двух сторон — значит я буду тоже знать соль. Значит я всё же смогу узнать про соседа всё что угодно из того, что он мне доверять не хотел бы, но кому-то когда-то по счастливой случайности сообщил (либо в связи с обстоятельствами). Так или иначе — это плохо.

        Ладно, вариант более реалистичный. Предположим участником IDX может стать только крупный игрок ниши (как пример из онлайн-торговли — участник АКИТ, там только подача заявления (или вступление?) стоит, кажется, несколько десятков тыс. руб.). Что мешает ему стать дата-гейтом/селлером для более мелких участников инфопространства? Будет пробрасывать за маржу запросы на того же самого моего соседа став посредником.

        Поправьте, если я что-то не учёл.


        1. igorbarinov
          25.12.2016 20:13

          Помешать стать дата-селлером может авторизация владельцем ПДн каждого запроса в IDX, что подтверждает один из участников. Не известно насколько описанный сценарий с «виджетом» отрицает продажу данных через шлюз.

          При взаимодействиях слабо связанных участников возникает дополнительный риск, что сотрудники компаний участников будут «подкидывать» запросы. Я наблюдал такое во время работы в сотовом операторе, когда от имени другого оператора по техническим каналам приходили запросы «пробить» абонента.


    1. an24
      25.12.2016 19:06
      +1

      Соль разрушит весь принцип


  1. VolCh
    25.12.2016 11:00

    В целом не вижу никакого криминала в схеме, если все три компании (А, Б и IDX) соблюдают требования законодательства о ПДн, в частности компания А имеет письменное согласие своего клиента о передаче его ПДн третьим лицам. По сути те же БКИ.


    1. igorbarinov
      25.12.2016 11:04

      VolCh а хеш от ПДн является ПДн по текущему законодательству?


      1. VolCh
        25.12.2016 12:20

        Сложно сказать. Думаю, сильно зависит от трактующего.


      1. Ziptar
        25.12.2016 12:48
        +1

        Вычисление хэша от ПДн является обработкой ПДн.


      1. VolCh
        25.12.2016 13:20
        +1

        Перечитал несколько раз закон — похоже на то, что это обезличенные ПДн, если считать вероятность коллизий пренебрежимо малой.


        1. igorbarinov
          25.12.2016 20:15

          Спасибо. А если к обезличенному ПДн добавляется атрибут, не позволяющий получить в сумме ПДн, то группа этих атрибутов будет являться обезличенными ПДн?


          1. VolCh
            26.12.2016 12:58

            Если этот атрибут не позволяет идентифицировать человека без других (баз) данных, то обезличенные данные остаются обезличенными и с этим атрибутом. В примере в посте номер телефона сам по себе не позволяет идентифицировать человека, а значит пакет из обезличенных данных (хэша) и номера должен считаться обезличенным.


      1. buglife
        25.12.2016 20:03

        По европейскому (ЕС) законодательству — всё, что может идентифицировать пользователя — является личными данными. Как по российскому, я не знаю.

        Например, если у клиента статически ип и он его обнародовал в сети (т.е. не проблема узнать кто за ним), то нельзя говорить «такой то ип заходил на сайт» без его разрешения.


        1. hooper
          25.12.2016 21:27

          По российскому персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. ПД не обязательно идентифицируют человека. По сути, имя твоей кошки в анкете тоже являются твоими персональными данными.
          Обезличенные ПД тоже попадают под закон. Наличие любого идентификатора уже должен попадать под более пристальный контроль соответствующих органов.


    1. nApoBo3
      25.12.2016 11:31
      +2

      Тут весьма спорный момент, поскольку нужно согласие на определённый способ использование. Я не уверен, что продажа и передача с этой точки зрения тождественны.
      Как мне кажется необходимо доработать закон о персональных данных несколькими важными пунктами. Первое не допускать навязывания разрешения на продажу данных ( т.е. нельзя отказывать человеку от участия в маркетинговой акции если он не согласен с целью обработки — продажа). Второе, обязать писать про продажу данных крупным, очень крупным шрифтом, на первой странице.
      Вообще странно получается, я например разрешил использование данных с определённой целью включая продажу компании а, но я не разрешал их использование компании б.


      1. VolCh
        25.12.2016 13:12
        +1

        Продажа и передача в 152-ФЗ именуются «предоставление» и нет никаких оговорок про возмездное или безвозмездное предоставление. Да и чисто логически — если я дал согласие на передачу данных третьим лицам, то какая мне разница получит за это оператор деньги, другие преференции (например право получать другие ПДн в обмен) или ничего не получит.

        По-моему, согласие на обработку персональных данных в общем случае даётся не конкретной компании, а вообще на обработку. Конкретная компания является лишь лицом, получившим согласие и могущим доказать это. При наличии у вас претензий к компании Б, она сошлётся на дачу вами согласия на обработку компании А с право предоставления их третьим лицам, включая компанию Б.

        Цель «продажа», «передача» или «предоставление» в здравом уме вряд ли кто напишет, напишут, например, цель «обеспечение законных интересов третьих лиц».


  1. deniskreshikhin
    25.12.2016 16:16
    -1

    Так по закону они все равно обязаны, как "оператор персональных данных" предоставлять доступ к этим данным для "уполномоченных органов". А значит обязаны хранить их в нехешированном виде.


  1. Sjam
    25.12.2016 18:11
    -2

    Так и не понял чем лучше такой подход по сравнению с blockchain?


  1. bootracer
    25.12.2016 18:18

    Вопрос в том, какие минимальные данные должны быть со стороны покупателя.
    Будет сюрприз, если оставил e-mail для скачивания файла, и по этому e-mail можно узнать имя, фамилию и паспорт…


    1. VolCh
      26.12.2016 13:06

      По опыту работы с подобными системами в разных юрисдикциях — запрос должен содержать установочные данные, выданные или зарегистрированные государством. Обычно это полное имя (для России это будет ФИО), может дата рождения, и какой-нибудь государственный суррогатный идентификатор типа типа российских ИИН, СНИЛС или номера паспорта, а расширенные данные от агента выдаются только при полном совпадении. То есть по ФИО и ИИН email узнать можно, если вы где-то вместе их предоставляли, но наоборот нельзя.


  1. yarkov
    25.12.2016 20:03
    +1

    «dob_day»: 1970
    Видимо надо «dob_year»: 1970.

    А в целом познавательно получается.


    1. igorbarinov
      25.12.2016 20:03

      Спасибо, поправил


  1. vozhd99
    25.12.2016 20:07

    Тут нужно учесть — является ли законным передача третьим лицам ваших ПД? Организация же негосударственная и явно содержит поля информации, о которых государство может не знать. Это раз.

    Два. Берём базу данных — а их много и начинаем аккуратно бомбить сайт, выявляя «валидные», получая вдобавок телефон и иные данные: собираем новую базу, создаём оболочку и идём продавать.

    Задумка хорошая, но не совсем понятно для чего и кого это нужно.


    1. VolCh
      26.12.2016 13:11

      Раз: при наличии согласия и основания на предоставление ПДн третьим лицам- законно.

      Два: думаю, что незаконно брать данные из незаконно утекших баз, то есть при проверке вам нужно будет предоставить согласие клиента на обработку.

      Очевидно нужна для субъектов финансового рынка — верификация предоставленных клиентом данных, оценка кредитоспособности и коллекшен.


  1. hooper
    25.12.2016 20:17

    Предположим Акадо и IDX зарегистрированы, как операторы ПД. Поясните пожалуйста юридически на каком основании Акадо продает (уже?) ПД клиентов в IDX, а IDX — остальным? Номер мобильного телефона тоже является персональными данными.


    1. igorbarinov
      25.12.2016 20:29

      Детали неизвестны, кроме того, что руководство IDX и Акадо связывает крепкая дружба. Комментарий об отсутствии рисков утечки ПД при применении схемы хеширования ПД директора по эксплуатации Акадо говорит об уровне его компетенции. Возможно, со стороны Акадо нет понимания юридического основания.

      «IDX устроен как шлюз, там нет персональных данных, значит, нет и рисков их утечки»,— подтверждает директор по эксплуатации «Акадо Телеком» Михаил Медриш. «Мы можем участвовать в проекте как поставщик информации о достоверности данных и сами заинтересованы в услугах, поскольку наши потенциальные клиенты могут быть уже идентифицированы в других сетях»,— объясняет он смысл сотрудничества с IDX.
      Подробнее: http://kommersant.ru/doc/3178047


      1. hooper
        25.12.2016 21:13
        +2

        Посмотрим, как у них получится. Принципами обработки персональных данных (Статья 5 152-ФЗ) говорится о не допустимости «обработка персональных данных, несовместимая с целями сбора персональных данных.». Цель сбора ПД любой коммерческой организации может быть только в рамках договора. Судя по всему, любое другое ее использование (даже ее подтверждение 3-им сторонам, тем более коммерческое) является незаконным.
        Успех этой компании будет напрямую зависеть от воображения ее организаторов, качества ФЗ и работы контролирующих органов.


        1. VolCh
          26.12.2016 13:12

          Целью такой обработки данных может быть заявлено обеспечение законных интересов третьих лиц.


  1. MisterN
    25.12.2016 20:18

    У буржуев есть биржи по продаже ПД? Кто-нибудь знает конкретные?


    1. hooper
      25.12.2016 21:05
      +1

      У буржуев есть! Но не в такой реализации, как описано в статье. Есть проект InfoScout, предлагающий самим пользователям заработать на своих данных. Есть Open Identity Exchange (OIE) — сервис подтверждения данных. Но никак не для предоставления (продажи) другим лицам. Коммерческая обработка персональных данных граждан стоит под сомнением, потому что мало кто письменно (здесь могу ошибаться) позволит сделать свои данные общедоступными, то есть даст согласие на их бесконтрольное распространение. Иные случаи для коммерческой организации нереальны в рамках 152-ФЗ.

      В статье немного неверно истолкована публикация ФРИИ и сама цель сервиса IDX.
      Назначение же сервиса следующее:
      IDX работает по принципу обмена информацией между компаниями-участницами проекта. Например, некоторое физическое лицо отсылает в одну из этих компаний свои данные по интернету. Если этот человек когда-либо уже предоставлял свои данные любой другой компании-участнице, и эти данные были проверены, то повторная проверка не требуется. Участники проекта просто посылают друг другу запрос на сверку данных через IDX. (публикация cnews.ru)


      1. igorbarinov
        25.12.2016 21:50

        В статье были выдвинуты гипотезы, например, о метаданных, поступающих вместе с обезличенными ПДн. Ожидаю опровержения гипотезы от IDX.

        По цели сервиса:
        Есть две компании, передающие между собой элементы ПДн (обезличенные ПДн) о своем клиенте и компания-шлюз, помогающая этот процесс организовать. Есть механика, позволяющая получать доход компании, предоставляющей верификацию обезличенных ПДн и шлюзу за посредничество.

        Подскажите, где я ошибаюсь в терминологии?


        1. hooper
          25.12.2016 23:41
          +2

          Мне кажется, в целях системы Вы не ошибаетесь. С их слов, все верно. IDX организует систему верификации достоверность данных между клиентами. Что-то похожее на систему удостоверяющих центров и oauth2 в жизни. Как они это реализуют, в финале увидим.

          В статье не совсем точные выводы. Персональные данные не передаются через площадку, а только верифицируются.

          Здесь интересно следующее:
          1) заявление о перспективе доступа по биометрическим параметрам пользователей. Если имеются в виду биометрические данные граждан, то здесь без поддержки государственных органов не обойтись.
          2) заявление представителя ФРИИ, что сейчас «в платформу интегрированы более десяти компаний» (Коммерсантъ). Уже сказано, обработка ПД возможна только в заранее указанных целях сбора персональных данных. Если компаниями не заявлено, что ПД будут использоваться для их проверки в другими сервисами, на лицо нарушение.

          ps: PR сработал на 5+: одновременный вброс в нескольких СМИ волнующей многих темы ПД и правильное название компании Identity Exchange (корректнее imho было назвать Authenticity Exchange) привлечет много внимания. Можно сказать, уже успешно заявили о себе.


          1. VolCh
            26.12.2016 13:48

            Персональные данные не передаются через площадку, а только верифицируются.

            Только верификация значительно снижает область применимости системы. Скорее всего, основная цель именно предоставление дополнительных данных по установочным и вариативность цены запроса тоже на это намекает.
            Уже сказано, обработка ПД возможна только в заранее указанных целях сбора персональных данных. Если компаниями не заявлено, что ПД будут использоваться для их проверки в другими сервисами, на лицо нарушение.

            Думаю, для кредитных организаций переключение (или дополнение) с традиционных БКИ на IDX не потребует изменений в процессах и формах, чисто технический вопрос, а юридически схема та же.


      1. MisterN
        27.12.2016 14:00

        Т.е. компания не получает к предоставленным пользователем фамилии и имени все паспортные данные, телефоны, почту и что там еще о нем можно прислать, «дополнительные метаданные»?
        Но ведь ПД это ресурс для таргетированной рекламы, т.е. хороший такой материальный ресурс. Сложно поверить, что корпорации не будут зарабатывать, имея такую возможность. Вопрос только в том, насколько открыто это будет происходить, нет?


  1. anatolix
    26.12.2016 17:31

    Привет.

    Мопед не мой, но у ребят из Idx тут нет аккаунтов, попросили написать.

    В реальности никакой передачи ПД нет, т.к.:
    1. такой задачи вообще не ставится.
    2. это законодательно невозможно (учим матчасть, 152-ФЗ, ага)

    IDX — он про идентификацию и верификацию, а не про продажу или обмен, автор сходу подменяет понятия и доказывает свое же ложное утверждение.

    Все работает приблизительно вот так:
    Пользователь обращается за получением сервиса в компанию А.
    Компания А должна убедиться, что пользователь — тот, за кого себя выдает.
    В простейшем случае она спрашивает его паспортные данные («фу» несолеными хешами пользоваться):
    {
    «personName»:"$2a$12$9N7qNh3dT82LmSCXKU5cRetvfJQLcP0iVgu4zc5DktcVmR4rTos2S",
    «passportData»:"$2a$12$2k00tt1Hm3WIKpQrxsYTWuv7sqyzlDdgt4JvFpgd0D895uZU5THm."
    }

    Дальше Компания B, которая знает этого пользователя, получает запрос, а в ответ отдает:
    {
    «result»: <true|false>
    }

    А IDX является шлюзом, который соединяет между собой А и B.

    И никаких ПД. И никакой торговли. И никакой сенсации.


    Пользуясь случаем: Idx is is hiring!

    Компания Idx делает крутое и удобное решение по обмену идентификацией в рунете. У нас сейчас довольно большое количество сервисов требуют строгую идентификацию пользователя, например привязку его к паспорту. В некоторых случаях это происходит из-за паранойи гос. органов(типа публичного wifi, или покупки sim карты), но в довольно большом количестве областей это оправдано(электронные платежи, электронные услуги, договора), и там и там есть огромная потребность в быстрой и безгеморройной идентификации пользователей и нет никакого системного решения.

    Мы хотим следующее: сделать сервис идентификации, в который могут подключаться поставщики персональной информации(сервис gosuslugi, банки, сотовые компании, т.е. все кто видел живьем ваш паспорт) и потребители(все кому она нужна). Когда вам надо где-то идентифицироваться вас просто редиректят на Idx, там сервис находит, кто может вашу личность подтвердить, задает пару проверочных вопросов, и позволяет вам идентифицироваться без походов на почту, поездки в офис и т.п.

    Как выглядит идеальный кандидат: вы full stack developer, java/spring на серверной стороне, html/css/js на клиентской. Будет очень круто если вы понимаете теорию криптографии (ну условно как создать протокол, который подтверждает обладание персональными данными, но никуда при этом эти данные не пересылает). Ну и вы вообще вменяемый и профессиональный человек.

    Денег на старт 200-250 тыс. рублей.

    Писать можно Светлана Белова <sbelova at iidf ru>

    Please RT.


    От себя добавлю: задача не новая, Яндекс.Деньги много лет назад умели авторизовывать аккаунты через банки-партнеры. Просто это было внутреннее решение Яндекса, а не платформа, сейчас люди решили просто написать такую систему доступную любой компании на рынке.

    И еще тут не zero knowledge proof в его чистом виде, а zero knowledge proof of knowledge aka proof of knowledge это сильно более простая штука, журналисты немного опять неточно написали.


    1. VolCh
      26.12.2016 18:39

      Компания А должна убедиться, что пользователь — тот, за кого себя выдает.


      Это ни верификация, ни идентификация, а аутентификация по сути.

      Идентификация — пользователь сообщает кто он (ФИО, логин, сертификат и т. д.)
      Аутентификация — пользователь подтверждает, что это он (пароль, эл. подпись, доступ к определенным девайсам типа сим-карты или юсб-ключа и т. п.)
      Верификация — проверка предоставленных пользователем других, не идентификационных данных.

      Не очень понятно вот это: «задает пару проверочных вопросов» — далеко не все компании, которые видели живьём мой паспорт, могут аутентифицировать меня без показа паспорта ещё раз — у них только мои паспортные данные и данные по договору с ними, то есть в принципе данные не тайные, для аутентификации не годящиеся. А те, что могут (пароли в ЛК, секретные кодовые слова, знание номера телефона для отправки смс), во-первых не имеют права их расшаривать, а во-вторых я сам не буду их вводить на стороннем ресурсе, поскольку по сути этим я предоставляю этому ресурсу полный доступ к своему аккаунту, например в ЛК банка со своими счетами и банк будет считать действия с этими данными совершенными мною.

      Для аутентификации нужна какая-то другая схема, ответы на вопросы типа «ваш пароль», «кодовое слово», «введите код из СМС» я должен вводить на ресурсе того, кто их знает. Так, например, действует подобный украинский сервис:
      — на каком-то сайте я хочу аутентифицироваться
      — перехожу на страницу аутентификации сервиса и выбираю кого-то из провайдеров, которые могут меня аутентифицировать, например, банк, в котором у меня есть ЛК
      — меня редиректит на сайт банка, там я прохожу стандартную процедуру аутентификации этого банка, потом меня редиректит на исходный сайт, а он получает от банка информацию о том, кто я.


      1. anatolix
        27.12.2016 09:56
        +1

        Я подозреваю термин идентификация тут из закона, а не учебника по компьютерной безопасности.


        Код из sms имхо вполне тянет на формулировку "проверочный вопрос".


        1. VolCh
          27.12.2016 10:14
          +1

          Возможно. Но пост на Хабре, а не на правовом портале :)

          Суть в том, что аутентифицируюсь/идентифицируюсь я на ресурсе, который видел мой паспорт и с которым мы договорились о секретных данных (провайдере), а не на ресурсе-посреднике. Провайдер лишь сообщает посреднику «да, мы видели паспорт этого человека раньше и сейчас он удостоверил свою личность сообщив нам то, что знаем только мы и он». Посредник же в лучшем случае знает (вплоть до сертифицировал) только механизм, которым я удостоверил свою личность, но ни я, ни провайдер не должны ему раскрывать наши секреты.


      1. igorbarinov
        27.12.2016 18:43

        VolCh а как называется украинский сервис?


        1. VolCh
          27.12.2016 20:05
          +1

          http://bankid.org.ua/


          1. igorbarinov
            27.12.2016 20:32

            Спасибо, показалось похожим на plaid.com