Сервис для внешней авторизации пользователей

Современные интернет-сервисы готовы предоставлять серьёзные возможности управления (в том числе, финансового). Если через общедоступные каналы связи пустить финансовые и управленческие потоки, это потребует серьёзных мер безопасности. Среди этих мер рассмотрим возможности авторизации (проверки прав доступа).

Типы авторизации:

1. Прямая (как на форумах: логин-пароль), в том числе, по OpenID






2. Относительная (при попытке пользователя выполнить авторизацию сервис выдаёт случайную последовательность, которую пользователь должен разместить по ранее указанной ссылке)







3. Косвенная (по ссылкам берётся сторонний контент: заголовок и содержимое. Если ссылка для заголовка не задана, то в качестве заголовка берутся первые 80 символов содерджимого)

-

Чего вообще не хватает, так это теории о способах защиты информации
А также, не хватает графических способов представления систем раздельного доступа.
Где-то в Инете всё это есть. Осталось найти и принесть…

Интересные мысли опубликованы на У данного пользователя нет прав размещать ссылки! , но там не хватает рисунков и подробностей…

Предлагаю один из вариантов:
Составной ключ: часть ключа хранит пользователь, а другую часть хранит внешний сервис, третья часть хранится на сайте, куда требуется войти этому пользователю. Осталось обозначить безопасный алгоритм, …

Ещё одна идея: вместо пароля использовать информацию из прошлого сеанса (когда пользователь был успешно авторизован). В этом случае даже вход с другого устройства не будет разрешён: если для авторизации не предоставить специальный файл (который хранился на другом компьютере принадлежащего этому же пользователю).

Идея о комбинированных паролях:
Для входа на все сайты человек запоминает лишь один простой пароль. Но, на самом деле, этот пароль является ключом к настоящему (оригинальному) паролю, который уже будет уникален для каждого интернет-сервиса.

Этот настоящий пароль можно хранить как на внешнем сервере, так и на компьютере пользователя (выбор конкретного способа определится на основе анализа рисков). А можно хранить и комбинировано… В случае комбинированного хранилища взлом не всех его составляющих означает невозможность заполучить уникальный пароль.

Резервное хранилище.
Кроме основных способов входа, как правило, возможны дополнительные обходные (и довольно хлопотные) пути. Их применение оправдано в нестандартных случаях: когда пароли утеряны, украдены или недоступны.

Чем реже применяются способы резервного входа, тем труднее их использовать для несанкционированных действий.

Почитайте интереса ради про протокол OpenID. В нем, отчасти, эти идеи реализованы. Кроме того, сейчас достаточно часто используется авторизация через социальные сети (и ее поддержка есть даже в текущей версии IntB).

В дальнейшем у меня есть идея сделать возможность связывания профилей пользователя IntB на разных форумах (причем за основу взять все тот же OpenID), чтобы передавался не только логин и аватар, но и все настройки вообще, а также можно было находясь на одном форуме, получать уведомления о выбранных событиях на другом, но это в очень отдаленных планах.

В обозримом будущем (3.00 Release или 3.10) планируется также сделать API для авторизации через произвольный внешний источник для того, чтобы любители интегрировать сайт с CMS могли писать соответствующие задаваемые библиотеки.

В общем случае это неверно (или я не понял вашу мысль).

Хорошо.