[XR]

link :: KeylessID

Tervitus,

Minu viimasest postitusest HV-s on palju aega mööda läinud, sest pole olnud midagi postitamisväärset - nüüd on!
KeylessID on alternatiivne teenus OAuth-ile (Facebook login, LinkedIn login) ja OpenID-le (Twitter, Dropbox).
Peaaegu iga kord, kui te logite eelpool nimetatud kontodega mõne teenusepakkuja lehele, jagate te oma privaatset infot
ning annate võimaluse teenusepakkujal teie wallile postitusi teha.
KeylessID puhul te ei jaga ühtegi rida privaatset informatsiooni ning
selle kasutamiseks ei ole vaja ühtegi parooli. Piisab ainult äppi installimisest nutitelefoni ning ekraanile kuvatava QR-koodi skännimisest.
Lisaväärtusena pakub KeylessID globaalset identifitseerimist ning intellektuaalse vara kaitset.
Ka HinnaVaatlus võib saada KeylessID kasutajaks!
Kui teile see idee meeldib, siis palun Like-ige meie Facebooki lehekülge või Share-ige kodulehe linki.

Lisaks on võimalus meid ka rahaliselt toetada. Kuna tegemist on opensource teenusega, mis suurettevõtetele ei pruugi meeldida,
siis püüame finantseeringu saada otse kasutajatelt. Kõikide annetajate vahel loosime välja tuliuue ning võrgulukuta HTC One telefoni (pildil).





Igasugune tagasiside on teretulnud!

[Sold OUT]

Tere tulemast tagas inimeste sekka. Millal asi reaalsuseks saab?

[prtv]

Demoda ka saab kuskil?

[XR]

Demo pole veel kahjuks valmis. Reaalsuseks saab lähima poole aasta jooksul.
Kui asi on kogunud piisavalt palju kommentaare ning inimestel huvi olemas, on aeg minna Indiegogo-sse investeeringuid püüdma.
Indiegogosse sellepärast, et teema ei lähe Kickstarteri tingimustega kokku ning Crowdcube-i saavad kasutada ainult UK või US-i inimesed.
Eelistame crowdfundingut.

[Sold OUT]

Vahva, jälgime huviga

[Cloner]

Idee on hea, ootame tulemust.

[Anti]

[Max Powers]

Väga hea

[Wusses]

[Hiid]

ise tegid vä?

[XR]

[XD]

Aga palun räägi, sest oma kontode ligipääsu usaldamine ühele kolmanda osapoole andmebaasile ei paista hetkel väga turvaline.
-e-
Tundub väga PGP moodi olevat.

[XR]

See on tehniline kirjeldus, mida tavauserid ei pea teadma ning kindlasti ei tahagi teada:

Registreerimine

1. Inimene registreerib ennast kasutajaks. Regamisel sisestab ta oma sotsiaalmeediate avalikud aadressid.
Näiteks https://www.facebook.com/tonis.leissoo ja http://www.linkedin.com/pub/t%C3%B5nis-leissoo/37/b37/857
Lisaks sisestab ta ka oma mailiaadressid, mida rohkem seda parem
2. Sisestatud andmete põhjal genereeritakse inimesele Public Hash,
kood mille ta paneb avalikult üles eelnimetatud sotsiaalmeediate kontodele. Lisaks confirmib ka oma e-maili aadressid, nagu tavaliselt.
3. KeylessID robot käib sisestatud aadressidel vaatamas, kas tema Public Hash on üles pandud
4. Kui koodid on kättesaadavad, siis confirmitakse, et see inimene on antud profiilide omanik ning need lingitakse tema KeylessID profiili külge
5. Inimesele genereeritakse KeylessID profiili leht, kus on kirjas tema nimi, confirmitud profiilide ikoonid,
kuupäev millest alates ta on identifitseeritud ja Trust Index. Trust Index arvutatakse confirmitud kontode põhjal.
http://www.keylessid.com/img/profile.png
Lisa "trusti" saamiseks võib inimene confirmida ka oma Paypali konto või pangakontod.
Selle jaoks ei pea muud tegema, kui kandma $1 KeylessID kontole ning selgitusse märkima tema Public Hashi.
Kui hash ning Paypali -või pangakonto omaniku nimi klapivad, siis need on confirmitud.
Lisaks võivad veel teised KeylessID kontode omanikud teiste inimeste profiilide "handshake" buttonit vajutada,
mis näitab et nad usaldavad seda inimest.

6. Inimesele genereertiakse QR-kood, mis viitab tema KeylessID kontole.
Seda saab niisama jagada ja lihtsama teenusena mailiallkirjadele lisada või siis oma fotodele jms.

Nüüd tuleb huvitavam osa.
Teenused:
1. Multi-Factor Authentication
2. Dokumentite allkirjastamine



Multi-Factor Authentication

1. Multi-Factor Authentication toimib KeylessID äppi abil.
Peale seda, kui inimesel on profiil olemas võib ta tõmmata äppi.
Peale äppi installimist genereeritakse automaatselt tema telefoni andmete põhjal Device Hash.
Kui Device Hash on genereertiud, siis peab inimene sisestama telefoni enda Public Hashi. Kas siis käsitsi (tülikas) või tema QR koodi skännimisega.
Peale seda, kui Public Hash ja Device Hash on telefonis, saadetakse need KeylessID serverile.
Nende andmete põhjal genereerib KeylessID server userile Private Hash-i.
Private Hash saadetakse krüpteeritult inimese äppi. Nüüd on tal võimalik KeylessID-d kasutada autentimiseks.

Autentimine käib ülilihtsalt, aga samas väga turvaliselt:
Selleks peab kasutaja minema teenusepakkuja kodulehele, valima KeylessID Authentication ja sisestama oma username-i.
KeylessID server genereerib selle peale one time hashi ning kuvab selle QR koodina ekraanile.
Inimene skännib äppiga seda koodi. Peale seda kontrollitakse, kas telefonis on public, private ja device hash olemas,
kui on olemas, siis saadetakse serverile "authentication request", mis on genereeritud one time hashi, private hashi,
public hashi ja device hashi põhjal. See on iga kord erinev tänu One Time Hashi skänneerimisele.
Server vaatab, kas sotsiaalmeediates on Public Hash üleval ning kas talle saadetud request on pärit õigest hash tree-st.
Kui kõik on õige, siis KeylessID server saadab teenusepakkuja serverile vastuse, et inimene on autenditud ja tema võib sisse lasta.


Dokumentide allkirjastamine

See on eriti lihtne.
Inimene laeb faili üles. Talle genereeritakse One Time Hash. Skännib seda äppiga ning signeerib sama moodi nagu autentimise puhul.
Dokumendi signatuur genereeritakse järgmiste andmete põhjal: One Time Hash, Private Hash, Public Hash, Device Hash ja lisaks veel
Timestamp Hash ning Faili sisu põhjal genereeritud hash. See kõik pannakse üheks hashtreeks kokku, mis ongi signatuur.

Peale allkirjastamist võib inimene dokumenti share-ida. Selle jaoks genereeritakse unique link, mille inimene võib saata teisele osapoolele.
Teine osapool võib dokumendi niisama all laadida ning veenduda, et allkiri on korrekte või siis dokumendile oma poolse allkirja lisada.
Teise osapoole allkirja hashtree sisaldab ka esimese osapoole hashtreed.

[Tanel]

[XR]

Üks illustreeriv pildike ka siia teemasse:


Ning artikkel, mis seletab vägagi detailselt ära, mis eksisteerivatel lahendustel viga on:
http://www.techrepublic.com/blog/security/how-passwords-can-wreck-your-two-factor-authentication/9175?tag=mantle_skin%3Bcontent

[Westswamp]

[ufo56]

[XR]

Kui seda teemat loeb mõni nutitelefoni OS-i (Android, iOS, WP8) progeja või PHP arendaja,
kellel aega üle ja tahab ennast päriselt tööle rakendada, siis võib julgelt ühendust võtta.
See oleks ideaalne stardilava reaalse töökogemuseta programmeerijale.
Open Source projektides osalemine aitab nii mõneski ettevõttes jalga ukse vahele saada

[dud66]

[XR]

Väike vaheinfo. Hetkel käib kibe ettevalmistus crowdfundingu kampaania launchimiseks.
Huvitundjaid on olnud palju, teiste seas ka Mozilla Persona leiutaja, kes hakkab suure tõenäosusega KeylessID mentoriks.

Varsti valmib ka kokkuvõte Korduvalt Küsitud Küsimustest nii Eesti kui inglise keeles.
Kui selle foorumi kasutajatel küsimusi tekib, siis küsige julgelt!

[Andrus Luht]

Miks ma peaks seda eelistama näiteks Google Authenticator'ile? https://code.google.com/p/google-authenticator/ Viimane tundub oluliselt lihtsam kasutada. Rääkimata sellest, et tõmbab vähem kõrvalist tähelepanu...

[XR]

Andrus, millist kõrvalist tähelepanu sa silmas pead?

Google Authenticator on lihtsalt üks lisafaktor tavapärasele autentimisele ehk paroolile.
See on mõeldud "soola" (salt) lisamiseks paroolidele. Et ei oleks võimalik keyloggerite või snifferite abil parooli varastada või ära arvata.

Kuid, Authenticatori kasutajad peavad sellegi poolest haldama erinevaid accounte ning nende paroole, täpselt sama moodi nagu nad on siiani teinud.
Lisaks paroolide sisestamisele peavad nad sisestama ka one time passwordi, mille nad saavad Google Authenticatori äppist.
Google Authenticatoriga sisse logimisel peab inimene sisestama oma kasutajanime, parooli ning siis ühe minuti jooksul One Time Passwordi.
Kogu see on keerukas ja aeganõudev - Google Authenticator mitte ei lisa mugavust vaid turvalisust ja seda mugavuse arvelt.

KelessID äppi IconCode on valikuline ning tulemas alles tulevikuversioonides, sest esialgu piisab ka telefoni tavapärasest lukustamisest PIN koodiga,

Keyless ID-ga sisse logimiseks on vaja teha ainult kolme asja:
-sisestada oma e-maili aadress
-võtta taskust telefon ning käivitada KeylessID äpp
-skänneerida KeylessID äppiga ekraanil olevat koodi
Kui need 3 sammu on tehtud, logitakse inimene automaatselt sisse.
Kasutaja ei pea meeles pidama ega sisestama ühtegi parooli ega koodi.

[XR]

Veel natuke seletust:

KeylessID on nagu virtuaalne ID-kaart, mis tekib erinevate profiilide sidumisel.
Inimene seob oma sotsiaalmeediate profiilid, emaili aadressid ning muud kodulehed oma online identideediga.

Seda virtuaalset ID-kaarti saab kasutada sisse logimiseks erinevatesse online teenustesse, mis on KeylessID enda süsteemiga ühendanud.

Kui kasutaja leiab uue teenuse (näiteks foorumi), kus ta ei ole veel registeeritud kasutaja ning tahab sellega liituda, siis ta seob selle foorumi oma KeylessID-ga.
Teenuse sidumine on lihtne. KeylessID toega foorumi lehel on nupp "sign up with KeylessID".
Nupu vajutamisel ning oma emaili aadressi sisestamisel kuvatakse ühekordne QR-kood, mida kasutaja skännib oma KeylessID äppiga.
See kood on teenuse spetsiifiline Private Hash, mida võib võrrelda automaatselt genereeritud parooliga, mis on 64 kohaline.
Kood sisestatakse kasutaja KeylessID äppi ning see jääb krüpteeritult ka teenusepakkuja serverisse.
Neid koode (Private Hashe) KeylessID serveritesse ei sünkroniseerita.
Kasutajal on iga teenuse kohta üks Private Hash, mis on tema telefonis ning teenusepakkuja serveris.
Näites kirjeldatud foorumisse sisse logimiseks peab kasutaja sisestama oma kasutajanime (emaili aadressi),
skänneerima kuvatud QR-koodi ning ta ongi sisse logitud.

KeylessID on Multi-Factor ja selle komponendid on:
1. Public Hash - see on seotud inimese KeylessID profiiliga. See number on avalik ning selle eesmärk on inimese tuvastamine. Võrdub tema profiili lingiga.
Sellisel kujul: www.keylessid.com/profiles/b5b037a78522671b89a2c1b21d9b80c6
2. Device Hash (device fingerprint) - see genereeritakse telefoni IMEI koodi põhjal.
Device Hash tagab, et koodide kadumisel või varastamisel ei saa neid kasutada teises telefonis.
3. Private Hash - kood, mille genereerib teenusepakkuja server. Seda võib võrrelda automaatselt genereeritud parooliga, mis on 64 kohaline.
4. One Time Hash - ekraanile kuvatav ühekordne QR-kood, mida tuleb skännida igal sisse logimisel.
See käitub nagu parooli sool (salt), mis muudab teenuse keyloggerite ja snifferite kindlaks.
Oleks võrreldav Google Authenticatori äppis kuvatama One Time Parooliga, mis on 64 kohaline.

Igal autentimisel saadetakse teenusepakkujale nende nelja komponendi (hashi) põhjal arvutatud root hash, mille brute-force attack on võimatu.

[Andrus Luht]

[XR]

Elevust ei ole kohanud ja pildistamise probleeme pole täheldanud. Sa oled esimene, kes toob selle välja kui probleemi.


Kasutajaid on erinevaid, need kes hoolivad oma andmete turvalisusest ja on neid, kes ei hooli.
Kui inimene/kasutaja ise ei hooli, siis Exchange-i sünki puhul peaks hoolima ettevõte ning tegema screenlocki kohustuslikuks.
Omast kogemusest võin öelda, et probleemid ActiveSynci policitega puuduvad.
Piisab väga lühikesest koolitusest ja kasutajad saavad aru, miks seda vaja on.

KeylessID ongi teenus ennekõike kasutajatele ja teenusepakkujatele, kes soovivad mugavat turvalisust.
Turvalisust ning mugavust korraga tõstvaid teenuseid/tooteid on väga vähe - kohe peast ei oskagi ühtegi nimetada.

Mida saavad teenusepakkujad, kes KeylessID enda süsteemiga ühendavad?
1. Kui teenusega liitumine on mugav ja kui inimesed ei pea täitma kilomeetrite pikkuseid registration forme teevad nad liitumisotsuse kergekäelisemalt.
= rohkem kasutajaid teenusepakkuja jaoks
2. Teenusepakkuja ei pea ise kasutajate halduse moodulit arendama vaid saab tasuta Multi-Factor Authentication Mooduli,
mis tähendab vähem vastutust teenusepakkujale ja suuremat meelerahu kasutajatele
(ei ole olnud vähe kordi, kui teenusepakkuja palub kõikidel kasutajatel paroolid ära vahetada, sest need on varastatud.
See ei mõju hästi ei teenusepakkuja mainele ega kasutaja turvatundele) = rohkem kasutajaid teenusepakkujale
3. Teenusepakkuja saab tema teenusega liitunud kasutajate kohta selle info, mille kasutaja on ise avalikuks teinud.
Näiteks kasutaja e-maili aadressi, avalike sotsiaalmeedia profiilide aadressid, blogide aadressi jms...
Rõhutan, teenusepakkuja saab ainult avalikud lingid ning näeb kõike, mida kasutaja on avalikult nähavaks teinud.
Teenusepakkuja ei saa juurdepääsu inimese wallile, sõpradele, laikidele jms...