O crime cibernético agora se tornou um problema global. Por exemplo, Dmitry Samartsev, diretor da BI.ZONE no campo da segurança cibernética, citou os seguintes números no Fórum Econômico Mundial. Em 2018, disse ele, os danos do cibercrime à economia global chegaram a US $ 1,5 trilhão. Em 2022, as perdas já estão previstas em 8 trilhões, e em 2030 os danos dos crimes cibernéticos podem ultrapassar 90 trilhões. Para reduzir as perdas com crimes cibernéticos, é necessário aprimorar os métodos de garantia da segurança dos usuários. Atualmente, existem muitos métodos de autenticação e autorização disponíveis para ajudar a implementar uma estratégia de segurança robusta. Entre eles, muitos especialistas identificam a autorização baseada em tokens como a melhor.
Antes do advento do token de autorização, um sistema de senhas e servidores era amplamente utilizado. Agora, este sistema ainda é relevante devido à sua simplicidade e disponibilidade. Os métodos tradicionais usados garantem que os usuários possam acessar seus dados a qualquer momento. Isso nem sempre é eficaz.
Considere este sistema. Via de regra, a ideologia de sua aplicação é baseada nos seguintes princípios:
As contas são geradas, ou seja, as pessoas vêm com uma combinação de letras, números ou quaisquer símbolos conhecidos que se tornarão um login e uma senha.
Para poder fazer login no servidor, o usuário precisa salvar esta combinação única e sempre ter acesso a ela.
Se for necessário se reconectar ao servidor e fazer o login com sua conta, o usuário precisa inserir novamente a senha e o login.
O roubo de senhas está longe de ser único. Um dos primeiros casos documentados desse tipo aconteceu em 1962. Não é fácil para as pessoas se lembrarem de diferentes combinações de caracteres, então muitas vezes elas anotam todas as suas senhas no papel, usam a mesma versão em vários lugares, apenas modificam ligeiramente adicionando caracteres ou alterando o caso de uma senha antiga para usá-la em um novo lugar, de - porque as duas senhas se tornam extremamente semelhantes. Os logins pelo mesmo motivo costumam ser iguais, idênticos.
Além do perigo de roubo de dados e da complexidade do armazenamento de informações, as senhas também exigem autenticação do servidor, o que aumenta a carga na memória. Cada vez que um usuário faz logon, o computador cria um registro de transação.
– , . . , . , , . . - , , . , , .
. :
, . : , . , - USB- - , .
, , , . "magic ring" Microsoft.
, .
- , . , . , .
. . . , . : , , USB - . . , . , . , , .
. , , . .
?
- -, . , . , 3 :
( )
( , , FaceID)
, ( ), . ( (2FA)). , , . . .
?
, 60 . - , . , , .
, . , . , . , . , .
, , -. , , , . , 30 60 , . - , SMS.
, . , .
?
. - “ ”, , , .
, , 2FA, , . , - , .
, , , . , , . , , , . , .
, , . , , :
-. -, , - JSON (JWT). JWT (RFC 7519) . .
.
HTTPS-. HTTPS- , , . HTTPS-, HTTP , .
JSON -?
JSON Web Token (JWT) - (RFC 7519), JSON. . JWT ( HMAC) , , RSA ECDSA.
- JSON , : , , . JWT : «xxxx.yyyy.zzzz».
: , JWT, , HMAC SHA256 RSA.
- , . , .
- , , . , iss - , , exp - Unix Time, , , .
, JWT. - IANA JSON URI, . - , , . Base64Url.
, .
, , , , , JWT , .
Base64-URL, , HTML HTTP, XML, SAML.
:
eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NSIsIm5hbWUiOiJKb2huIEdvbGQiLCJhZG1pbiI6dHJ1ZX0K.LIHjWCBORSWMEibq-tnT8ue_deUqZx1K0XxCOXZRrBI
JWT - ; - , ; - , , .
- JWT , - , ; - JWT , - , , , ; - , .
?
, ( ), - . .
, , .. , . .
, .. , . .
. , . .
. , .