Смарт ПИН код Вольман Денис, Розенбаум Александр Проблема Бурное развитие удаленных интернет-сервисов Масса вариантов идентификации пользователя: Логин, пароль Код подтверждения через e-mail Код подтверждения через СМС Карточки сеансовых паролей PIN калькуляторы USB-токены Другие Проблема Небезопасно Вирусы, Трояны Фишинг Атаки типа ‘человек посередине’ Не защищены от утечек на сервере Неудобно Много паролей и политики их смены Неизменяемые логины Требуют дополнительных устройств Требуют совершения дополнительных действий Сколько сервисов – столько способов аутентификации Решение Технология SmartPincode Активная безопасность Требуется только смартфон Универсальный сервис с индивидуальным подходом к провайдерам услуг Нужно помнить только один PIN код Возможность интеграции с внешними приложениями Поддерживает OpenID, OAuth На сервере недостаточно информации для аутентификации Облачный сервис На базе технологии можно строить электронный паспорт гражданина SmartPassport Концепция для конечного пользователя WEB на desktop, на смартфоне есть интернет Открываем сайт Переходим по ссылке на сервер аутентификации и видим QR код Запускаем на личном смартфоне приложение Сканируем QR код Вводим верный PIN код Через мгновенье в браузере видим личную страничку WEB или приложение на smartphone WEB на desktop, на смартфоне нет доступа в Интернет SmartPincode Технология проще чем остальные технологии безопасной аутентификации Сервис основан на современной криптографии Аутентификация возможна только при физическом наличии смартфона и знании PIN-кода Процесс аутентификации можно ещё упростить Поддержка нескольких профилей Поддержка нескольких устройств Что есть, кроме идеи? Прототип сервера (без криптографии) Прототип на Windows Phone 7 (без криптографии) Проработанные сценарии и алгоритмы защиты с использованием алгоритмов современной криптографии План на 4 дня Прототип на iPhone c возможностью аутентификации на десктопе и внутри смартфона (как в браузера так и в стороннем приложении) Добавление режима ‘смартфон без интернет’ (авторизация по одноразовому паролю) Регистрация устройства на сервере с привязкой к профилю Поиск заинтересованных