В версии продукта 11.0 внедрена новая технология - «Безопасная авторизация без SSL». Теперь пароли с формы авторизации невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сервер. При этом не важно, какие соединения и протоколы используют посетители вашего сайта.
Проблема передачи пароля в открытом виде
Когда пользователи авторизуются на сайте в кафе, торговых центрах, аэропортах - из незащищенной среды, подключаясь по открытому (WiFi) или даже слабошифрованному соединению, для злоумышленников не составит труда перехватить пароль и потом использовать его в своих целях. Выходом, конечно же является использование защищенного соединения по протоколу SSL. Но, к сожалению, клиенты редко устанавливают SSL-сертификаты на свои сайты - в большинстве случаев из-за сложности самой организации такого подключения.Специалистами отдела безопасности «1С-Битрикс» разработана собственная методика безопасной аутентификации. Теперь, благодаря этой методике, пароли никогда не передаются по Сети в открытом виде. Проблема передачи пароля по Сети в открытом виде решена.
Авторизация - под замком!
Как все работает?
Безопасная аутентификация с шифрованием пароля позволяет избежать передачи пароля в открытом виде. Имя и пароль, которые пользователь вводит в форму авторизации, шифруются в браузере и отправляются в таком виде на сервер. «По дороге» эти данные нельзя распознать и расшифровать, поскольку для шифрации используюется криптостойкий алгоритм RSA с ключом 1024 бит, практически неподдающийся взлому.
Механизм безопасной авторизации
- Закрытый и открытый ключи (генерация на сервере)
- Шифрование пароля на клиенте RSA 1024 bit
- Передача в закрытом виде по каналам связи – каждый раз новое значение
- Дешифрование пароля на сервере
- Не изменяется безопасное хранение пароля в Базе Данных на сервере
Не «грузит» ли авторизация сервер?
Может возникнуть вопрос: «А не нагрузит ли безопасная авторизация сервер? И не скажется ли это на времени авторизации пользователя?» Действительно, при шифровании/расшифровке пароля на клиенте (JavaScript, RSA 1024 bit) работает достаточно сложный алгоритм, требующий значительных системных ресурсов. На сервер, конечно же, нагрузка добавится, но она адекватна и оптимизирована разработчиками «1С-Битрикс» по максимуму.Пользователь при авторизации не почувствует никаких «тормозов». Более того, он даже не заметит, что в процессе входа на сайт что-то изменилось. Все инструменты, которые использовались ранее для авторизации, продолжат работать. Например, если для входа на сайт использовался составной пароль, пользователь будет как и раньше вводить сам пароль + код, полученный, скажем, с брелка eToken.
Где включить?
Включается механизм безопасной авторизации в административной панели - в настройках Главного модуля (вкладка «Авторизация»). После включения механизма пароли всех пользователей вашего сайта будут передаваться на сервер в зашифрованном виде.
Включение безопасной авторизации
В блоке «Безопасная авторизация» необходимо:
- Активизировать опцию «Передавать пароль в зашифрованном виде»
- Сгенерировать ключ, нажав на одноименную кнопку
Для генерации ключа с помощью OpenSSL требуется правильная настройка пути к файлу openssl.cnf. Вы можете сколько угодно раз генерировать и получать новый ключ.