Практически вся безопасность зависит от различных комбинаций из трех перечисленных ниже вещей
- Криптографическое доказательство
- общий секрет
- доверенная третья сторона
и их использование для заданного уровня вероятности , чтобы проверить, что контрагент в текущей транзакции - это та же сторона, с которой у вас был первоначальный контракт.
На самом деле это все «онлайн-идентичность» - насколько вероятно, что человек, разговаривающий со мной сейчас, - это человек, которого я познакомил вчера.
Например, пароль является общим секретом, который обе стороны знают и предполагают для данного уровня вероятности того, что другой человек с секретом является тем, кем он себя считает.
То естьпросто один.
Секретный вопрос (девичья фамилия матери) - это всего лишь второй пароль на случай, если вы забудете первый.
OpenID - это надежный сторонний подход.Stackoverflow доверяет Google.Я пытаюсь войти в stackoverflow и SO передает меня в Google.Все, что видит SO - это возвращение Google, говорящее «да, он есть».
Однако, по сравнению с проникновением электронной почты, OpenID практически не используется, поэтому он не будет работать в качестве опции восстановления.
Сброс пароля электронной почты является примером прямого общего секрета с участием доверенного третьего лица.party - gmail "доверяют" обеим сторонам, поэтому можно отправить общий секрет в gmail и поверить, что для данного уровня вероятности только другая сторона сможет получить доступ к этому общему секрету.
Наконец, криптография может использоваться как доверенная третья сторона.Если я знаю ваш открытый ключ, я могу «доверять» RSA и сохранить новый пароль, зашифровав его и разместив на своем веб-сайте.Только вы можете прочитать его, так что может работать как мгновенный сброс пароля онлайн.Но проникновение в PGP / GPG намного хуже, чем в OpenID, идея не стартерная (*)
. Вам нужен второй канал связи, который вы собираете во время контракта - обычноэто электронная почта, это может быть openid, номер мобильного телефона или их открытый ключ GPG.Но вы должны собрать этот канал во время заключения первоначального контракта.
Говоря о мобильных телефонах, я увидел аккуратный телефон в своем местном магазине мобильных телефонов - они написали мне случайный пароль, а затем продавец прибыл в пароль, когда он прибыл на мой телефон - доказательство того, что владелец телефона былв магазине и послушно.(для данного уровня вероятности).
(*) на самом деле я думаю, что есть решение - http://www.itmanagerscookbook.com/Attitude/identitycrisis.html. Как вы можете сказать, попытка выразить вышеприведенные понятия - это постоянное усилие.