На этой неделе компания HashCoins запустила открытый некоммерческий проект «Авторайзер», основная задача которого — упростить подключение emcSSL для владельцев сайтов. Являясь OAuth2-провайдером, Authorizer позволяет подключить беспарольную авторизацию на основе блокчейна Emercoin для любого сайта, CMS которого поддерживает этот протокол.



Увидеть, как это работает на практике, можно на сайтах журнала о крипторазработке Cryptor.net и сайте с сиськами, где можно залогиниться, чтобы комментировать публикации и делать подборки понравившихся молочных желёз.

По мере оцифровывания нашей реальности, всё большее значение приобретают инструменты авторизации. Старые добрые пароли уже не катят: его слишком легко взломать, если он простой — или забыть, если он сложный. Даже менеджеры паролей не решают всех проблем, потому что мы просто не можем контролировать, как с ними обращаются на другой стороне — на стороне собственно сервисов. И постоянно появляющиеся новости о компрометации базы аккаунтов какого-нибудь крупного сервиса с миллионами юзеров не добавляет уверенности в завтрашнем дне. Даже захешированные пароли можно подобрать по словарю, если есть желание.

В своей статье «Под капотом Emercoin», ведущий разработчик проекта Олег Ховайко приводит сразу несколько громких инцидентов последнего времени:

Adultfriendfinder – украдено 412 миллионов учётных записей.

OPM (база государственных служащих США) – украдено 22 миллиона записей.

Ну и отечественные хакеры тоже не отстают – Взлом «вконтакте» скомпрометировал 171 миллион учётных записей.

Тут уже не удаётся списать такие инциденты на «исключительный частный случай», тут прослеживается система. Конечно, не будем спорить – каждый взлом был уникален по-своему, но результат одинаков – массовая компрометация учётных записей пользователей, репутационные потери сайтов и организаций, и в каких-то случаях – значительные финансовые потери как пользователей, так и для сайтов и их владельцев.

EMCSSL – децентрализованный сервис беспарольного доступа к интернет-площадкам:

1. Беспарольный принцип авторизации гарантирует защиту от компрометации учётной записи пользователя, как происходит в многочисленных случаях взломов различных сервисов, потому что никакие данные в этом случае на стороне сервиса не хранятся.
2. А децентрализованность EmcSSL делает сертификат пользователя независимым от сервиса, выпустившего его — что выгодно отличает от других методов беспарольной авторизации — например, «логина через Facebook», который работает только пока работоспособен сам Facebook.

EmcSSL смещает фокус процесса аутентификации на пользователя. При генерации сертификата, генерируется и случайное число и определенная хэш-сумма, с помощью которых пользователь сам становится владельцем собственных личных данных. Сертификат состоит из публичной части и приватного ключа, который известен только пользователю.

С технологией EmcSSL доступ к идентификатору не контролирует никто кроме самого пользователя, сертификат уникален, так как проассоциирован со случайным числом.

Пользователь системы emcSSL получает эдакий «пропуск-вездеход», не зависящий ни от кого, кроме самого пользователя. Ни от «сайта в интернете», ни от сертификатора, ни от кого-либо ещё.
— пишет Олег Ховайко, главный разработчик Emercoin

Как и у всех хороших, но не признанных идей, проблемой EmcSSL была не надёжность или изящество решения, а простота внедрения в реальной жизни. Представьте себе: сотни существующих CMS — и под каждую нужно сделать интеграцию? Это безумие. Поэтому решение связать EmcSSL с OAuth напрашивалось само собой: там все интеграции уже имеются.

Этапы подключения сайта:

1. Создание сертификата. Сертификат позволит авторизоваться на странице приложений Authorizer и добавить свой сайт.
2. Создание приложения. Тут все просто. Указываете название сайта и RedirectURL (о нем чуть дальше )
3. Настройка модуля на своем сайте. Есть уже готовые модули для WordPress, Drupal и October. В настройках модуля нужно просто указать Client Id и Secret. Эти данные можно взять на странице приложений. RedirectURL зависит от выбранной CMS и указан в инструкциях к модулям.

Облачный майнинг HashFlare уже внедрил её в свои панели управлении майнерами.

Генерация сертификата EmcSSL бесплатна, а отправка записи о нём в блокчейн Emercoin стоит 0,2 эмеркоина (примерно 2,5 рубля). Назначение сбора — защита от спама и бесконтрольного автоматического выпуска сертификатов, которые бы перегрузили блокчейн Emercoin.

HashCoins работает над тем, чтобы сделать процесс выпуска сертификатов полностью бесплатным — то есть компания возьмёт на себя отправку данных в блокчейн и соответствующие расходы. Пользователю потребуется кошелёк Emercoin, на адрес которого будет отправляться сгенерированный сертификат, после чего он полностью переходить под контроль пользователя.

В случае потери физического носителя сертификата (например, кражи ноутбука или телефона), пользователь сможет вернуть контроль над сертификатом, восстановив свой Emercoin-кошелёк из бэкапа и сделать апдейт записи о сертификате в блокчейне, тем самым отменив доступ для старой версии и заменив его на новый.

Для практического использования, мы рекомендуем выпускать сертификаты самостоятельно. В этом случае у пользователя будет не только сертификат, но и шаблон сертификата, который позволит его перевыпустить с сохранением имени сертификата. Для первого же знакомства вполне можно воспользоваться нашим генератором сертификатов, только имейте в виду, что в случае утери доступа к своему сертификату, восстановить его не получится, т.к. шаблоны остаются на стороне сервера.

Сейчас «Авторайзер» практически готов. Идёт активное тестирование, поэтому если есть интерес — милости просим. Поможем подключить и настроить.

Облачный майнинг HashFlare поддерживает проекты Emercoin