Безопасная авторизация без SSL

В версии продукта 11.0 внедрена новая технология - «Безопасная авторизация без SSL». Теперь пароли с формы авторизации невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сервер. При этом не важно, какие соединения и протоколы используют посетители вашего сайта.

В версии продукта 11.0 внедрена новая технология - «Безопасная авторизация без SSL». Теперь пароли с формы авторизации невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сервер. При этом не важно, какие соединения и протоколы используют посетители вашего сайта. 

Проблема передачи пароля в открытом виде

Когда пользователи авторизуются на сайте в кафе, торговых центрах, аэропортах - из незащищенной среды, подключаясь  по открытому (WiFi)  или даже слабошифрованному соединению, для злоумышленников не составит труда перехватить пароль и потом использовать его в своих целях. Выходом, конечно же является использование защищенного соединения по протоколу SSL. Но, к сожалению, клиенты редко устанавливают SSL-сертификаты на свои сайты - в большинстве случаев из-за сложности самой организации такого подключения. 

Специалистами отдела безопасности «1С-Битрикс» разработана собственная методика безопасной аутентификации. Теперь, благодаря этой методике, пароли никогда не передаются по Сети в открытом виде. Проблема передачи пароля по Сети в открытом виде решена. 

Форма - безопасная авторизация 
Авторизация - под замком! 

Как все работает?

Безопасная аутентификация с шифрованием пароля позволяет избежать передачи пароля в открытом виде. Имя и пароль, которые пользователь вводит в форму авторизации, шифруются в браузере и отправляются в таком виде на сервер. «По дороге» эти данные нельзя распознать и расшифровать, поскольку для шифрации используюется криптостойкий алгоритм RSA с ключом 1024 бит, практически неподдающийся взлому. 

Схема безопасной авторизации 
Механизм безопасной авторизации 
Схема безопасной авторизации: 
  •   Закрытый и открытый ключи (генерация на сервере)
  •   Шифрование пароля на клиенте RSA 1024 bit
  •   Передача в закрытом виде по каналам связи – каждый раз новое значение
  •   Дешифрование пароля на сервере
  •   Не изменяется безопасное хранение пароля в Базе Данных на сервере

Не «грузит» ли авторизация сервер?

Может возникнуть вопрос: «А не нагрузит ли безопасная авторизация сервер? И не скажется ли это на времени авторизации пользователя?» Действительно, при шифровании/расшифровке пароля на клиенте (JavaScript, RSA 1024 bit) работает достаточно сложный алгоритм, требующий значительных системных ресурсов. На сервер, конечно же, нагрузка добавится, но она адекватна и оптимизирована разработчиками «1С-Битрикс» по максимуму. 

Пользователь при авторизации не почувствует никаких «тормозов». Более того, он даже не заметит, что в процессе входа на сайт что-то изменилось. Все инструменты, которые использовались ранее для авторизации, продолжат работать. Например, если для входа на сайт использовался составной пароль, пользователь будет как и раньше вводить сам пароль + код, полученный, скажем, с брелка eToken. 

Где включить? 

Включается механизм безопасной авторизации в административной панели - в настройках Главного модуля (вкладка «Авторизация»).  После включения механизма пароли всех пользователей вашего сайта будут передаваться на сервер в зашифрованном виде. 

Включение безопасной авторизации 
Включение безопасной авторизации 

В блоке «Безопасная авторизация» необходимо: 
  • Активизировать опцию «Передавать пароль в зашифрованном виде»
  • Сгенерировать ключ, нажав на одноименную кнопку
В форме авторизации на вашем сайте появится «замочек». Это значит, что механизм безопасной авторизации включился, и все пароли теперь под замком! 


 Для генерации ключа с помощью OpenSSL требуется правильная настройка пути к файлу openssl.cnf. Вы можете сколько угодно раз генерировать и получать новый ключ.

Мы аккуратно собираем действительно полезные материалы для собственников интернет-магазинов и интернет-маркетологов, касающиеся разработки и эксплуатации быстро масштабируемых e-commerce проектов.

Мы - рядом

У Вас есть проект? Давайте его обсудим!

Приедем на встречу

г.Ростов-на-Дону, ул.Социалистическая, 74

г.Москва, ул.Люблинская, 42, офис 330

Пишите на email

info@orangecode.ru

Контактный телефон

+7 (863) 308-15-70

Skype

web_studio_orange_code

Viber

+7 (918) 505 23 85

WhatsApp

+7 (918) 505 23 85

Оставьте заявку

Расскажите немного о Вашем проекте. Мы обязательно свяжемся с Вами и сделаем коммерческое предложение, от которого Вы не сможете отказаться!