Ostatnio się zastanawiałem, co by tu zrobić, żeby nie trzeba było wymyślać nowego hasła dla każdego serwisu. Albo inaczej - skoro mało kto wymyśla i zapamiętuje pierdylion haseł do pierdyliona serwisów - aby nie trzeba było się narażać, że hasło gdzieś wycieknie.
Można niby logować się za pomocą OpenID, OpenBleble, Facebooka, Gmaila, czy też innych popierdółek. Jest jednak sporo ludzi, którzy nie korzystają z takich serwisów albo mają np w robocie odcięte. Za to konto e-mail ma raczej każdy i chciałbym wymyślić coś, co wymaga tylko mejla.
Przykładowy schemat mógłby wyglądać tak:
- wchodzę na stronę z logowaniem, wpisuję swój adres email i klikam loguj (+ ewentualnie zapamiętaj/ nie wylogowuj),
- serwis wysyła maila z kodem uwierzytelniającym/ linkiem do logowania na mejla,
- klikam na tego linka albo wpisuję kod uwierzytelniający na stronie,
Teraz kwestie bezpieczeństwa:
- połączenie z serwisem oczywiście po HTTPS z jakimś sensownym szyfrowaniem,
- aby zapobiec phishingowi, mejle nie powinny zawierać żadnych linków, w takim razie wysyłany byłby tylko i wyłącznie kod uwierzytelniający,
Mam pytanie co do samego bezpieczeństwa mejli: czy da się przechwycić mejle? Istnieje odpowiednik HTTPSa dla mejli, tak aby można było korzystać z podpisanych certyfikatów i odrzucać połączenia z niepodpisanymi certyfikatami?
Jeżeli da się przechwycić mejla to obecne systemy logowania też zawodzą, a to za sprawą funkcjonalności pt przypominanie/ resetowanie hasła poprzez wysyłanie mejla z linkiem czy kodem. Zakładając, że ktoś podgląda mejle, to może taki link czy kod wykorzystać tuż po jego wykryciu, zanim użytkownik z niego skorzysta.