Гость
Войти | Профиль | Очистить
Действия ...
Форумы / Android [игнор отключен] [закрыт для гостей] / Небольшой вопрос про аутентификацию по отпечатку / 25 сообщений из 32, страница 1 из 2
  1  все
12.10.2018, 11:27
    #39716562
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Здравствуйте!
Не могу разобраться, что отправлять на сервер при авторизации по отпечатку пальца. Логин понятно, он известен, а вместо пароля что отдавать серверу ?
Если не сложно, распишите весь процесс, не в плане кода, а просто на словах, буду признателен!)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 13:04
    #39716634
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Вообще-то обычный логин/пароль должен быть, а вход (а не логин) в приложение - уже по отпечатку.
Это опция, а не основной вид входа.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 13:30
    #39716644
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
wadmanВообще-то обычный логин/пароль должен быть
Куда без этого. При первом входе понятно, что пользователь вводит и логин, и пароль, а второй и последующие входы уже позволяют пароль не вводить, а входить по отпечатку.

wadmanа вход (а не логин) в приложение - уже по отпечатку.
То-есть ?
Что бы войти в приложение, нужно получить ответ от сервера с:
а) Подтверждением, что пользователь ввел правильную пару логин\пароль или, в случае входа по отпечатку, пару логин+что ?
б) Получить от сервера данные по пользователю, с которыми он будет работать

wadmanЭто опция, а не основной вид входа.
А что это тогда, если не основной вид входа ?
У меня на телефоне 2 интернет-банка, в обоих вход по отпечатку, пароль не вводил уже достаточно давно.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 16:36
    #39716808
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
bobo96а) Подтверждением, что пользователь ввел правильную пару логин\пароль или, в случае входа по отпечатку, пару логин+что ?
б) Получить от сервера данные по пользователю, с которыми он будет работать
Я решил, что вопрос задает опытный программист. Без обид. :)
Для меня само собой разумеющееся, что отпечаток для входа в приложение, которое дальше логинится по введенным ранее параметрам, так как это
wadmanопция, а не основной вид входа.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 18:39
    #39716867
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Да какие обиды, я и не отрицаю, что еще чайник)
По теме бы что-нибудь услышать..
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 19:33
    #39716881
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
bobo96Да какие обиды, я и не отрицаю, что еще чайник)
По теме бы что-нибудь услышать..
Это и было по теме: отпечаток это лишь вход в приложение.
Остальное остается прежним, как будто логин и пароль сохранены ранее приложением.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 20:05
    #39716897
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
wadmanbobo96Да какие обиды, я и не отрицаю, что еще чайник)
По теме бы что-нибудь услышать..
Это и было по теме: отпечаток это лишь вход в приложение.
Остальное остается прежним, как будто логин и пароль сохранены ранее приложением.
Ты предлагаешь пароль хранить на устройстве что ли ?
Тогда где и в каком виде ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 20:48
    #39716918
Oleg Shishkin
Oleg Shishkin
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
По уму на устройстве вообще запрещено что-нибудь конфиденциальное хранить. Но если хочется, то только в KeyStore
https://github.com/shishkin1966/CleanArchitecture5/blob/master/app/src/main/java/shishkin/cleanarchitecture/mvi/app/secure/SecureStorageSpecialistImpl.java
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 21:28
    #39716933
Oleg Shishkin
Oleg Shishkin
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Если что-то серьезное то через электронные ключи - например
https://www.rutoken.ru/
но там либу к шифрованию надо самому писать - у них огрызок только для примера
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.10.2018, 21:33
    #39716936
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
bobo96wadmanпропущено...

Это и было по теме: отпечаток это лишь вход в приложение.
Остальное остается прежним, как будто логин и пароль сохранены ранее приложением.
Ты предлагаешь пароль хранить на устройстве что ли ?
Тогда где и в каком виде ?
Логин и пароль сохраняются в необратимом виде, который и уходит на сервер для входа.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.10.2018, 10:06
    #39717023
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Oleg ShishkinПо уму на устройстве вообще запрещено что-нибудь конфиденциальное хранить.
Согласен. За ссылочку спасибо.

wadmanЛогин и пароль сохраняются в необратимом виде, который и уходит на сервер для входа.
Под "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.10.2018, 19:33
    #39717123
Oleg Shishkin
Oleg Shishkin
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Под "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.10.2018, 21:43
    #39717155
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Oleg ShishkinПод "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля
Понял, спасибо, в принципе вопрос закрыт
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.10.2018, 21:48
    #39717333
pand
pand
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
Oleg ShishkinПод "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля

Помогите и мне разобраться.

а на сервер храним пароль в исходном виде ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
14.10.2018, 22:34
    #39717341
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pandOleg Shishkinпропущено...

На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля

Помогите и мне разобраться.

а на сервер храним пароль в исходном виде ?
Нет конечно, вычохоть.
Шифруйте в md5 + добавляйте еще какую-нибудь зашифрованную строку - так и храните.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.10.2018, 10:35
    #39717423
pand
pand
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
bobo96pandпропущено...


Помогите и мне разобраться.

а на сервер храним пароль в исходном виде ?
Нет конечно, вычохоть.
Шифруйте в md5 + добавляйте еще какую-нибудь зашифрованную строку - так и храните.


bobo96Oleg Shishkinпропущено...

На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля
Понял, спасибо, в принципе вопрос закрыт

исходя из этих текстов могу предположить такой алгоритм

для регистрации

на сервер передается пароль в изначальном виде
сервер вычисляет его хэш и пишет в базу ( возможно добавля какойто текст к исходному паролю )


для авторизации
приложение вычисляет хэш с таким же текстом как и сервер и передает хэш серверу
сервер просто сравнивает хэши

как по мне такой алгоритм защищен от подбора пароля , а от перехвата защищен верой в SSL
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.10.2018, 11:12
    #39717444
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pandна сервер передается пароль в изначальном виде
pandприложение вычисляет хэш с таким же текстом как и сервер и передает хэш серверу
Зачем передавать в изначальном виде, если алгоритмы идентичны?

P.S. Для полного шифрования общения между клиентом и сервером можно использовать вполне доступные алгоритмы:
YouTube Video
YouTube Video
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.10.2018, 15:29
    #39717701
pand
pand
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
wadman,

Диффи - Хеллман это еще одни + к защите поверх ssl
но передаем то мы зашифрованный исходный пароль ,
сервер его расшифровывает и считает от него хэш , который и записывается в базу .

мне кажется что и для авторизации логичнее использовать такой же подход ,
а не считать и передавать хеш .

ведь если мы передаем передаем хеш и сравниваем его с сохраненным в базе
то достаточно умыкнуть хеш с сервера и злоумышленник пройдет авторизацию
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.10.2018, 19:14
    #39717813
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pand, ничего сервер не расшифровывает, зачем ?
Всю жизнь пароль шифровали в md5, добавляли еще одну зашифрованную строку-константу, передавали на сервер и все это записывали в БД.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
15.10.2018, 22:10
    #39717854
pand
pand
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
bobo96pand, ничего сервер не расшифровывает, зачем ?

Ну зачем-то же алгоримт Д-Х был упомянут.


bobo96Всю жизнь пароль шифровали в md5, добавляли еще одну зашифрованную строку-константу, передавали на сервер и все это записывали в БД.

Я ж не спорю. От брутфорса спасет, а вот от man-in-the-middle и от утечки паролей из б.д. сервера нет .
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
16.10.2018, 07:54
    #39717908
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pandНу зачем-то же алгоримт Д-Х был упомянут.
Для надежности.

Но расшифровывать на стороне сервера и действительно нет необходимости. Как и вообще хранить пароль в чистом виде.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
16.10.2018, 09:20
    #39717927
pand
pand
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
wadmanpandНу зачем-то же алгоримт Д-Х был упомянут.
Для надежности.

Но расшифровывать на стороне сервера и действительно нет необходимости. Как и вообще хранить пароль в чистом виде.
а в чем тогда надежность если не расшифровывать ? Д-Х защищает только пересылку пароля.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
16.10.2018, 09:22
    #39717930
pand
pand
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pand,


Д-Х как раз хорош тем что расшифрует только доверенный получатель.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
16.10.2018, 09:26
    #39717932
wadman
wadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pandД-Х защищает только пересылку пароля.
Не только пароля, а пересылку любой информации скроет от подсматривающего.

Встречный вопрос: в чем смысл расшифровывать пароль? При регистрации получил "пароль" (то, что от него получилось), сохранил, потом сравнивай с тем, что от клиента приходит.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
16.10.2018, 10:53
    #39717978
bobo96
bobo96
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Небольшой вопрос про аутентификацию по отпечатку
pand, пароль, по-хорошему, никто не должен знать, кроме хозяина этого пароля. Именно поэтому и работают с md5, ибо оно не дешифруется и никто тебе не сможет предъявить, что ты воруешь пароли своих пользователей.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
  1  все
Форумы / Android [игнор отключен] [закрыт для гостей] / Небольшой вопрос про аутентификацию по отпечатку / 25 сообщений из 32, страница 1 из 2
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
созд. / загр.: 521ms
Закрыть
start [/forum/topic.php?fid=13&mobile=1&tid=1330841]:
 0ms
get settings:
 9ms
get forum list:
 13ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 166ms
get topic data:
 13ms
get forum data:
 3ms
get page messages:
 58ms
get tp. blocked users:
 1ms
others: 250ms
total:  521ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]