Небольшой вопрос про аутентификацию по отпечатку / Android

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Android [игнор отключен] [закрыт для гостей] / Небольшой вопрос про аутентификацию по отпечатку

25 сообщений из 32, страница 1 из 2

все

Небольшой вопрос про аутентификацию по отпечатку

#39716562

bobo96

Гость

Здравствуйте!
Не могу разобраться, что отправлять на сервер при авторизации по отпечатку пальца. Логин понятно, он известен, а вместо пароля что отдавать серверу ?
Если не сложно, распишите весь процесс, не в плане кода, а просто на словах, буду признателен!)

...

Рейтинг:

0 / 0

12.10.2018, 11:27

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716634

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

Вообще-то обычный логин/пароль должен быть, а вход (а не логин) в приложение - уже по отпечатку.
Это опция, а не основной вид входа.

...

Рейтинг:

0 / 0

12.10.2018, 13:04

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716644

bobo96

Гость

wadmanВообще-то обычный логин/пароль должен быть
Куда без этого. При первом входе понятно, что пользователь вводит и логин, и пароль, а второй и последующие входы уже позволяют пароль не вводить, а входить по отпечатку.

wadmanа вход (а не логин) в приложение - уже по отпечатку.
То-есть ?
Что бы войти в приложение, нужно получить ответ от сервера с:
а) Подтверждением, что пользователь ввел правильную пару логин\пароль или, в случае входа по отпечатку, пару логин+что ?
б) Получить от сервера данные по пользователю, с которыми он будет работать

wadmanЭто опция, а не основной вид входа.
А что это тогда, если не основной вид входа ?
У меня на телефоне 2 интернет-банка, в обоих вход по отпечатку, пароль не вводил уже достаточно давно.

...

Рейтинг:

0 / 0

12.10.2018, 13:30

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716808

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

bobo96а) Подтверждением, что пользователь ввел правильную пару логин\пароль или, в случае входа по отпечатку, пару логин+что ?
б) Получить от сервера данные по пользователю, с которыми он будет работать
Я решил, что вопрос задает опытный программист. Без обид. :)
Для меня само собой разумеющееся, что отпечаток для входа в приложение, которое дальше логинится по введенным ранее параметрам, так как это
wadmanопция, а не основной вид входа.

...

Рейтинг:

0 / 0

12.10.2018, 16:36

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716867

bobo96

Гость

Да какие обиды, я и не отрицаю, что еще чайник)
По теме бы что-нибудь услышать..

...

Рейтинг:

0 / 0

12.10.2018, 18:39

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716881

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

bobo96Да какие обиды, я и не отрицаю, что еще чайник)
По теме бы что-нибудь услышать..
Это и было по теме: отпечаток это лишь вход в приложение.
Остальное остается прежним, как будто логин и пароль сохранены ранее приложением.

...

Рейтинг:

0 / 0

12.10.2018, 19:33

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716897

bobo96

Гость

wadmanbobo96Да какие обиды, я и не отрицаю, что еще чайник)
По теме бы что-нибудь услышать..
Это и было по теме: отпечаток это лишь вход в приложение.
Остальное остается прежним, как будто логин и пароль сохранены ранее приложением.
Ты предлагаешь пароль хранить на устройстве что ли ?
Тогда где и в каком виде ?

...

Рейтинг:

0 / 0

12.10.2018, 20:05

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716918

Oleg Shishkin

Участник

Откуда: Нижний Новгород

Сообщения: 123

Рейтинг: 0 / 0

По уму на устройстве вообще запрещено что-нибудь конфиденциальное хранить. Но если хочется, то только в KeyStore
https://github.com/shishkin1966/CleanArchitecture5/blob/master/app/src/main/java/shishkin/cleanarchitecture/mvi/app/secure/SecureStorageSpecialistImpl.java

...

Рейтинг:

0 / 0

12.10.2018, 20:48

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716933

Oleg Shishkin

Участник

Откуда: Нижний Новгород

Сообщения: 123

Рейтинг: 0 / 0

Если что-то серьезное то через электронные ключи - например
https://www.rutoken.ru/
но там либу к шифрованию надо самому писать - у них огрызок только для примера

...

Рейтинг:

0 / 0

12.10.2018, 21:28

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39716936

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

bobo96wadmanпропущено...

Это и было по теме: отпечаток это лишь вход в приложение.
Остальное остается прежним, как будто логин и пароль сохранены ранее приложением.
Ты предлагаешь пароль хранить на устройстве что ли ?
Тогда где и в каком виде ?
Логин и пароль сохраняются в необратимом виде, который и уходит на сервер для входа.

...

Рейтинг:

0 / 0

12.10.2018, 21:33

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717023

bobo96

Гость

Oleg ShishkinПо уму на устройстве вообще запрещено что-нибудь конфиденциальное хранить.
Согласен. За ссылочку спасибо.

wadmanЛогин и пароль сохраняются в необратимом виде, который и уходит на сервер для входа.
Под "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))

...

Рейтинг:

0 / 0

13.10.2018, 10:06

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717123

Oleg Shishkin

Участник

Откуда: Нижний Новгород

Сообщения: 123

Рейтинг: 0 / 0

Под "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля

...

Рейтинг:

0 / 0

13.10.2018, 19:33

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717155

bobo96

Гость

Oleg ShishkinПод "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля
Понял, спасибо, в принципе вопрос закрыт

...

Рейтинг:

0 / 0

13.10.2018, 21:43

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717333

pand

Участник

Откуда: Украина Харьков

Сообщения: 334

Рейтинг: 0 / 0

Oleg ShishkinПод "необратимом" видом что понимается ? md5 ?
p.s. Я же чайник, забыл ?))
На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля

Помогите и мне разобраться.

а на сервер храним пароль в исходном виде ?

...

Рейтинг:

0 / 0

14.10.2018, 21:48

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717341

bobo96

Гость

pandOleg Shishkinпропущено...

На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля

Помогите и мне разобраться.

а на сервер храним пароль в исходном виде ?
Нет конечно, вычохоть.
Шифруйте в md5 + добавляйте еще какую-нибудь зашифрованную строку - так и храните.

...

Рейтинг:

0 / 0

14.10.2018, 22:34

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717423

pand

Участник

Откуда: Украина Харьков

Сообщения: 334

Рейтинг: 0 / 0

bobo96pandпропущено...

Помогите и мне разобраться.

а на сервер храним пароль в исходном виде ?
Нет конечно, вычохоть.
Шифруйте в md5 + добавляйте еще какую-нибудь зашифрованную строку - так и храните.

bobo96Oleg Shishkinпропущено...

На сервер уходит хеш (или подпись или другое преобразование любым алгоритмом - одинаковым с сервером) пароля
Понял, спасибо, в принципе вопрос закрыт

исходя из этих текстов могу предположить такой алгоритм

для регистрации

на сервер передается пароль в изначальном виде
сервер вычисляет его хэш и пишет в базу ( возможно добавля какойто текст к исходному паролю )

для авторизации
приложение вычисляет хэш с таким же текстом как и сервер и передает хэш серверу
сервер просто сравнивает хэши

как по мне такой алгоритм защищен от подбора пароля , а от перехвата защищен верой в SSL

...

Рейтинг:

0 / 0

15.10.2018, 10:35

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717444

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

pandна сервер передается пароль в изначальном виде
pandприложение вычисляет хэш с таким же текстом как и сервер и передает хэш серверу
Зачем передавать в изначальном виде, если алгоритмы идентичны?

P.S. Для полного шифрования общения между клиентом и сервером можно использовать вполне доступные алгоритмы:

YouTube Video

...

Рейтинг:

0 / 0

15.10.2018, 11:12

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717701

pand

Участник

Откуда: Украина Харьков

Сообщения: 334

Рейтинг: 0 / 0

wadman,

Диффи - Хеллман это еще одни + к защите поверх ssl
но передаем то мы зашифрованный исходный пароль ,
сервер его расшифровывает и считает от него хэш , который и записывается в базу .

мне кажется что и для авторизации логичнее использовать такой же подход ,
а не считать и передавать хеш .

ведь если мы передаем передаем хеш и сравниваем его с сохраненным в базе
то достаточно умыкнуть хеш с сервера и злоумышленник пройдет авторизацию

...

Рейтинг:

0 / 0

15.10.2018, 15:29

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717813

bobo96

Гость

pand, ничего сервер не расшифровывает, зачем ?
Всю жизнь пароль шифровали в md5, добавляли еще одну зашифрованную строку-константу, передавали на сервер и все это записывали в БД.

...

Рейтинг:

0 / 0

15.10.2018, 19:14

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717854

pand

Участник

Откуда: Украина Харьков

Сообщения: 334

Рейтинг: 0 / 0

bobo96pand, ничего сервер не расшифровывает, зачем ?

Ну зачем-то же алгоримт Д-Х был упомянут.

bobo96Всю жизнь пароль шифровали в md5, добавляли еще одну зашифрованную строку-константу, передавали на сервер и все это записывали в БД.

Я ж не спорю. От брутфорса спасет, а вот от man-in-the-middle и от утечки паролей из б.д. сервера нет .

...

Рейтинг:

0 / 0

15.10.2018, 22:10

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717908

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

pandНу зачем-то же алгоримт Д-Х был упомянут.
Для надежности.

Но расшифровывать на стороне сервера и действительно нет необходимости. Как и вообще хранить пароль в чистом виде.

...

Рейтинг:

0 / 0

16.10.2018, 07:54

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717927

pand

Участник

Откуда: Украина Харьков

Сообщения: 334

Рейтинг: 0 / 0

wadmanpandНу зачем-то же алгоримт Д-Х был упомянут.
Для надежности.

Но расшифровывать на стороне сервера и действительно нет необходимости. Как и вообще хранить пароль в чистом виде.
а в чем тогда надежность если не расшифровывать ? Д-Х защищает только пересылку пароля.

...

Рейтинг:

0 / 0

16.10.2018, 09:20

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717930

pand

Участник

Откуда: Украина Харьков

Сообщения: 334

Рейтинг: 0 / 0

pand,

Д-Х как раз хорош тем что расшифрует только доверенный получатель.

...

Рейтинг:

0 / 0

16.10.2018, 09:22

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717932

wadman

Участник

Откуда: Санкт-Петербург

Сообщения: 26 163

Рейтинг: 0 / 0

pandД-Х защищает только пересылку пароля.
Не только пароля, а пересылку любой информации скроет от подсматривающего.

Встречный вопрос: в чем смысл расшифровывать пароль? При регистрации получил "пароль" (то, что от него получилось), сохранил, потом сравнивай с тем, что от клиента приходит.

...

Рейтинг:

0 / 0

16.10.2018, 09:26

| Ответить | Цитировать | Написать

Небольшой вопрос про аутентификацию по отпечатку

#39717978

bobo96

Гость

pand, пароль, по-хорошему, никто не должен знать, кроме хозяина этого пароля. Именно поэтому и работают с md5, ибо оно не дешифруется и никто тебе не сможет предъявить, что ты воруешь пароли своих пользователей.

...

Рейтинг:

0 / 0

16.10.2018, 10:53

| Ответить | Цитировать | Написать

25 сообщений из 32, страница 1 из 2

все

Форумы / Android [игнор отключен] [закрыт для гостей] / Небольшой вопрос про аутентификацию по отпечатку

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=13&msg=39716936&tid=1330841]:	0ms
get settings:	9ms
get forum list:	12ms
check forum access:	4ms
check topic access:	4ms
track hit:	157ms
get topic data:	11ms
get forum data:	2ms
get page messages:	64ms
get tp. blocked users:	2ms
others:	259ms

total:	524ms