Titt og ofte dukker det opp saker i mediene om brukerdatabaser med passord som har lekket til tredjepart. Allikevel er det fortstatt kombinasjonen brukernavn/epost og passord de fleste nettjenester sverger til når det kommer til autentisering av brukerne.
Noen har heldigvis begynt å ta i bruk tofaktorautentisering der man bruker passord i kombinasjon med en engangskode fra telefonen, men det gjelder fortsatt kun et fåtall.
Clef er en løsning som tar sikte på å fjerne passordet for godt. Ved å implementere løsningen på en nettside, kan brukeren logge seg på ved kun å scanne den bølgende strekkoden med Clef-appen (iOS/Android). Den krever PIN-kode ved åpning, så også dette blir en tofaktorløsning, som kombinerer noe du vet med noe du har.
Appen genererer en privat nøkkel (som forblir på telefonen) og en offentlig nøkkel som brukes for å generere signaturer. Med en slik distribuert arkitektur, hevder Clef at ingenting i selskapets databaser kan brukes for å avsløre brukernes identitet. Tjenesten bruker 2048-bit RSA asymmetriske nøkler for å identifisere brukerne og PKCS #5 for kryptering.
I det telefonen synkroniseres mot den bølgende strekkoden, sendes signaturen din til Clef, som da utveksler informasjon med den aktuelle nettjenesten via OAuth 2.0, på samme måte som når man bruker for eksempel Facebook-kontoen til å logge inn på et annet nettsted:
Clef Login from ZenWorks Productions on Vimeo.
.jpg)
kompatibelt med nyere versjoner av OpenIDoff
https://getclef.com
Les også:
- [25.09.2014] Utvikler advarer mot app-nettlesere
- [13.02.2014] Advarer mot falske Flappy Bird-spill
- [11.02.2014] Superavansert skadevareliga avslørt
- [07.02.2014] Gartner kritiserer Sotsji-rapport
