User logins: can we do better than passwords and avoid centralized services?

Transcript

1. François Marier – @fmarier login de usuários: podemos fazer algo

   melhor que usar senhas ou serviços centralizados?

2. senhas

3. problema #1: senhas são difíceis de proteger

4. None
5. None
6. None
7. None
8. None
9. None
10. None
11. None
12. None
13. None

14. bcrypt / scrypt / pbkdf2 per-user salt site secret password

    & lockout policies secure recovery

15. bcrypt / scrypt / pbkdf2 salt por usuário site secret

    password & lockout policies secure recovery

16. bcrypt / scrypt / pbkdf2 salt por usuário segredo de

    site password & lockout policies secure recovery

17. bcrypt / scrypt / pbkdf2 salt por usuário segredo de

    site políticas de senha e bloqueio secure recovery

18. bcrypt / scrypt / pbkdf2 salt por usuário segredo de

    site políticas de senha e bloqueio recuperação segura

19. bcrypt / scrypt / pbkdf2 salt por usuário segredo de

    site políticas de senha e bloqueio recuperação segura recomendações recomendações de senha para de senha para 2013 2013

20. senhas são difíceis de protoger elas são um encargo

21. ALTER TABLE user DROP COLUMN password;

22. problema #2: senhas são difíceis de lembrar

23. None

24. agenda de contas e senhas de internet

25. escolha uma senha fácil

26. escolha uma senha fácil e use ela em todos os

    lugares

27. senhas são difíceis de lembrar elas precisam ser redefinidas

28. None

29. controla conta e-mail controla todas as contas =

30. None

31. “People want a little dating before marriage.” Eric Vishria –

    Rockmelt
32. None

33. descentralizado

34. myid.com/u/francois

35. None
36. None

37. privacidade ®

38. sistemas de login existentes não são bons o suficiente

39. sistema ideal de autenticação para a web

40. sistema ideal de autenticação para a web • descentralizado simples

    para todos os navegadores

41. sistema ideal de autenticação para a web • descentralizado •

    simples para todos os navegadores

42. • descentralizado • simples • para todos os navegadores sistema

    ideal de autenticação para a web

43. • descentralizado • simples • para todos os navegadores

44. como isso funciona?

45. [email protected]

46. obtendo a prova de propriedade de um e-mail

47. autenticar?

48. autenticar? chave pública

49. autenticar? chave pública assinada chave pública

50. você tem uma atestado assinado pelo seu provedor de e-mail

    que você é o dono daquele endereço
51. None

52. logando em um site de terceiros

53. Válido por: 2 minutos wikipedia.org assertion

54. Válido por: 2 minutos wikipedia.org verificar audience assertion

55. Válido por: 2 minutos wikipedia.org verificar audience verificar validade assertion

56. Válido por: 2 minutos wikipedia.org verificar audience verificar validade verificar

    assinatura assertion

57. assertion Válido por: 2 minutos wikipedia.org chave pública

58. assertion Válido por: 2 minutos wikipedia.org

59. assertion cookie de sessão

60. demo #1: http://sloblog.io [email protected]

61. Persona já é um sistema descentralizado

62. descentralização é a resposta, mas não é a estratégia de

    adoção do produto

63. não podemos esperar até todos os domínios adotarem o Persona

64. solução: uma fallback temporária centralizada não podemos esperar até todos

    os domínios adotarem o Persona

65. demo #2: http://www.lpeu.com.br [email protected]

66. Persona já funciona com todos os domínios de e-mail

67. identity bridging

68. demo #3: http://www.reasonwell.com/ [email protected]

69. None
70. None
71. None

72. Persona supporta todos os navegadores modernos >= 8

73. Persona é descentralizado, simples e para todos os navegadores

74. é simples para os usuários, mas também é simples para

    os desenvolvedores?
75. None

76. <script src=”https://login.persona.org/include.js”> </script> </body></html>

77. navigator.id.watch({ loggedInEmail: “[email protected]”, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { // do something } ); }, onlogout: function () { window.location = '/logout'; } });

78. navigator.id.watch({ loggedInUser: “[email protected]”, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { // do something } ); }, onlogout: function () { window.location = '/logout'; } });

79. navigator.id.watch({ loggedInUser: null, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { // do something } ); }, onlogout: function () { window.location = '/logout'; } });

80. navigator.id.watch({ loggedInUser: null, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { // do something } ); }, onlogout: function () { window.location = '/logout'; } });

81. navigator.id.watch({ loggedInUser: null, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { window.location = '/'; } ); }, onlogout: function () { window.location = '/logout'; } });
82. None

83. navigator.id.request()

84. None
85. None
86. None

87. navigator.id.watch({ loggedInUser: null, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { window.location = '/'; } ); }, onlogout: function () { window.location = '/logout'; } });

88. navigator.id.watch({ loggedInUser: null, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { window.location = '/home'; } ); }, onlogout: function () { window.location = '/logout'; } });

89. def verify_assertion(assertion): page = requests.post( 'https://verifier.login.persona.org/verify', data={ "assertion": assertion, "audience":

    'http://www.lpeu.com.br'} ) data = page.json return data.status == 'okay'

90. def verify_assertion(assertion): page = requests.post( 'https://verifier.login.persona.org/verify', data={ "assertion": assertion, "audience":

    'http://www.lpeu.com.br'} ) data = page.json return data.status == 'okay'

91. def verify_assertion(assertion): page = requests.post( 'https://verifier.login.persona.org/verify', data={ "assertion": assertion, "audience":

    'http://www.lpeu.com.br'} ) data = page.json return data.status == 'okay'

92. { status: “okay”, audience: “http://www.lpeu.com.br”, expires: 1344849682560, email: “[email protected]”, issuer:

    “login.persona.org” }

93. { status: “failed”, reason: “assertion has expired” }

94. None
95. None

96. navigator.id.logout()

97. navigator.id.watch({ loggedInUser: null, onlogin: function (assertion) { $.post('/login', {assertion: assertion},

    function (data) { window.location = '/home'; } ); }, onlogout: function () { window.location = '/logout'; } });
98. None

99. 1. carregue uma biblioteca javascript 2. configure callbacks para login

    & logout 3. adicione botões de login & logout 4. verifique a prova de propriedade

100. 1. carregue uma biblioteca javascript 2. configure callbacks para login

     & logout 3. adicione botões de login & logout 4. verifique a prova de propriedade

101. 1. carregue uma biblioteca javascript 2. configure callbacks para login

     & logout 3. adicione botões de login & logout 4. verifique a prova de propriedade

102. 1. carregue uma biblioteca javascript 2. configure callbacks para login

     & logout 3. adicione botões de login & logout 4. verifique a prova de propriedade

103. você pode adicionar suporte ao Persona em quatro passos simples

104. apenas um pedido

105. None

106. ao construir um site novo: comece com Persona

107. em um site/app existente: adicione suporta ao Persona

108. Para saber mais sobre o Persona: https://login.persona.org/ https://developer.mozilla.org/docs/Persona/Why_Persona https://developer.mozilla.org/docs/Persona/Quick_Setup https://github.com/mozilla/browserid-cookbook

     https://developer.mozilla.org/docs/Persona/Libraries_and_plugins https://wiki.mozilla.org/Identity#Get_Involved @fmarier http://fmarier.org

109. identity provider API https://eyedee.me/.well-known/browserid: { "public-key": { "algorithm":"RS", "n":"8606...", "e":"65537"

     }, "authentication": "/browserid/sign_in.html", "provisioning": "/browserid/provision.html" }

110. https://eyedee.me/.well-known/browserid: { "public-key": { "algorithm":"RS", "n":"8606...", "e":"65537" }, "authentication": "/browserid/sign_in.html",

     "provisioning": "/browserid/provision.html" } identity provider API

111. https://eyedee.me/.well-known/browserid: { "public-key": { "algorithm":"RS", "n":"8606...", "e":"65537" }, "authentication": "/browserid/sign_in.html",

     "provisioning": "/browserid/provision.html" } identity provider API

112. https://eyedee.me/.well-known/browserid: { "public-key": { "algorithm":"RS", "n":"8606...", "e":"65537" }, "authentication": "/browserid/sign_in.html",

     "provisioning": "/browserid/provision.html" } identity provider API

113. https://eyedee.me/.well-known/browserid: { "public-key": { "algorithm":"RS", "n":"8606...", "e":"65537" }, "authentication": "/browserid/sign_in.html",

     "provisioning": "/browserid/provision.html" } identity provider API

114. identity provider API 1. check for your /.well-known/browserid 2. try

     the provisioning endpoint 3. show the authentication page 4. call the provisioning endpoint again

115. identity provider API 1. check for your /.well-known/browserid 2. try

     the provisioning endpoint 3. show the authentication page 4. call the provisioning endpoint again

116. identity provider API 1. check for your /.well-known/browserid 2. try

     the provisioning endpoint 3. show the authentication page 4. call the provisioning endpoint again

117. identity provider API 1. check for your /.well-known/browserid 2. try

     the provisioning endpoint 3. show the authentication page 4. call the provisioning endpoint again

118. © 2013 François Marier <[email protected]> Este obra foi licenciado sob

     uma Licença Creative Commons Atribuição-CompartilhaIgual 3.0 Nova Zelândia. Porteiro: https://secure.flickr.com/photos/wildlife_encounters/8024166802/ Top 500 senhas: http://xato.net/passwords/more-top-worst-passwords/ Pergaminho: https://secure.flickr.com/photos/27613359@N03/6750396225/ Taça de vinho: https://secure.flickr.com/photos/yourdon/3977084094/ Sinal de pare: https://secure.flickr.com/photos/artbystevejohnson/6673406227/ Créditos das fotografias: