El ciberdelito se ha convertido ahora en un problema mundial. Por ejemplo, Dmitry Samartsev, director de BI.ZONE en el campo de la ciberseguridad, citó las siguientes cifras en el Foro Económico Mundial. En 2018, el daño a la economía mundial por el delito cibernético ascendió a $ 1.5 billones, dijo. En 2022, las pérdidas se pronostican ya en 8 billones, y en 2030 el daño de los delitos cibernéticos puede superar los 90 billones. Para reducir las pérdidas por delitos informáticos, es necesario mejorar los métodos para garantizar la seguridad de los usuarios. Actualmente, hay muchos métodos de autenticación y autorización disponibles para ayudar a implementar una estrategia de seguridad sólida. Entre ellos, muchos expertos identifican la autorización basada en tokens como la mejor.
Antes de la llegada del token de autorización, se usaba ampliamente un sistema de contraseñas y servidores. Ahora este sistema sigue siendo relevante debido a su simplicidad y disponibilidad. Los métodos tradicionales utilizados garantizan que los usuarios puedan acceder a sus datos en cualquier momento. Esto no siempre es efectivo.
Considere este sistema. Como regla general, la ideología de su aplicación se basa en los siguientes principios:
Se generan cuentas, es decir la gente crea una combinación de letras, números o cualquier símbolo conocido que se convertirá en un nombre de usuario y una contraseña.
Para poder iniciar sesión en el servidor, el usuario debe guardar esta combinación única y tener siempre acceso a ella.
Si es necesario volver a conectarse al servidor e iniciar sesión con su cuenta, el usuario debe volver a ingresar la contraseña e iniciar sesión.
Robar contraseñas está lejos de ser algo único. Uno de los primeros casos documentados de este tipo ocurrió en 1962. No es fácil para las personas memorizar diferentes combinaciones de caracteres, por lo que a menudo escriben todas sus contraseñas en papel, usan la misma versión en varios lugares, solo modifican levemente alguna contraseña antigua agregando caracteres o cambiando el caso para usarla en un nuevo lugar, desde - por qué las dos contraseñas se vuelven extremadamente similares. Los inicios de sesión por la misma razón a menudo se hacen iguales, idénticos.
Además del peligro de robo de datos y la complejidad de almacenar información, las contraseñas también requieren autenticación del servidor, lo que aumenta la carga de memoria. Cada vez que un usuario inicia sesión, la computadora crea un registro de transacciones.
– , . . , . , , . . - , , . , , .
. :
, . : , . , - USB- - , .
, , , . "magic ring" Microsoft.
, .
- , . , . , .
. . . , . : , , USB - . . , . , . , , .
. , , . .
?
- -, . , . , 3 :
( )
( , , FaceID)
, ( ), . ( (2FA)). , , . . .
?
, 60 . - , . , , .
, . , . , . , . , .
, , -. , , , . , 30 60 , . - , SMS.
, . , .
?
. - “ ”, , , .
, , 2FA, , . , - , .
, , , . , , . , , , . , .
, , . , , :
-. -, , - JSON (JWT). JWT (RFC 7519) . .
.
HTTPS-. HTTPS- , , . HTTPS-, HTTP , .
JSON -?
JSON Web Token (JWT) - (RFC 7519), JSON. . JWT ( HMAC) , , RSA ECDSA.
- JSON , : , , . JWT : «xxxx.yyyy.zzzz».
: , JWT, , HMAC SHA256 RSA.
- , . , .
- , , . , iss - , , exp - Unix Time, , , .
, JWT. - IANA JSON URI, . - , , . Base64Url.
, .
, , , , , JWT , .
Base64-URL, , HTML HTTP, XML, SAML.
:
eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NSIsIm5hbWUiOiJKb2huIEdvbGQiLCJhZG1pbiI6dHJ1ZX0K.LIHjWCBORSWMEibq-tnT8ue_deUqZx1K0XxCOXZRrBI
JWT - ; - , ; - , , .
- JWT , - , ; - JWT , - , , , ; - , .
?
, ( ), - . .
, , .. , . .
, .. , . .
. , . .
. , .