Quali popolari servizi online consentono l'autenticazione senza password utilizzando le firme digitali? [chiuso]

1

Sto cercando servizi Web che consentano ai clienti di autenticarsi utilizzando le firme digitali.

Specialmente con l'e-commerce e i pagamenti, i clienti generalmente si autenticano usando nome e password (a volte usando un fattore aggiuntivo). Sto cercando qualcosa di completamente diverso: servizi in cui il cliente è autenticato firmando digitalmente una sfida fornita dal server, altrimenti non fornisce alcuna password.

Sono particolarmente interessato ai servizi web nel campo dell'e-commerce, ma prendo qualsiasi ben noto servizio web che possa essere usato per costruire una demo di mashup - finora non sono stato in grado di trovare alcun .

Qualcuno di voi ha familiarità con tali servizi?

    
posta nadavwr 25.03.2014 - 20:43
fonte

1 risposta

1

PKI non è un approccio molto popolare alla autenticazione a 2 fattori al di fuori dell'azienda a causa del sovraccarico di protezione le chiavi private e la gestione dei certificati, ma ci sono alcune soluzioni commerciali disponibili.

Dai un'occhiata a Layer7 .

Anni fa lavoravo per Baltimore Technologies (famoso per la prima firma digitale della legislazione ( da Bill Clinton e Bertie Ahern) e abbiamo cercato di fare esattamente quello che volevi. Autenticazione a due fattori mediante firme digitali. I problemi sono davvero:

  • Dove verranno generate e archiviate le chiavi?
  • Chi può accedere alle chiavi? e
  • Come possiamo interfacciare tra il client e il dispositivo che detiene le chiavi?

Queste non sono domande facili a cui rispondere, ma tecnologie come TPM potrebbero alla fine entrare per rispondere ad alcune di esse. Tuttavia, le chiavi non saranno ancora mobili. Quindi forse alla fine possiamo usare i dispositivi mobili per la memorizzazione delle chiavi? Ma cosa succede quando il dispositivo viene perso / rubato / rotto? E, ancora, come colleghiamo il dispositivo al browser client per scopi di autenticazione?

Forse l'implementazione più interessante dell'autenticazione dei dispositivi che ho visto è quella di Barclays Bank. PINSentry utilizza un dispositivo portatile e la carta bancomat / carta di debito per fornire l'autenticazione ai servizi online di Barclays. Controlla it fuori. Questa non è un'implementazione PKI . È un'applicazione di password monouso, ma l'applicazione viene eseguita sulla smartcard .

Il metodo più popolare per l'autenticazione a due fattori è password monouso . Questi sono disponibili in una varietà di forme e possono essere forniti dai dispositivi dedicati o dai dispositivi mobili. Esamina Authy , Accesso VIP o Google Authenticator .

    
risposta data 26.03.2014 - 06:13
fonte

Leggi altre domande sui tag