Что такое токен простыми словами? Для чего используется токен?

 

(11 оценок, среднее: 5,00 из 5)

Активные пользователи интернета в настоящее время очень часто сталкиваются с понятием «токен» (token). Надо заметить, что данный термин реализуется сегодня в самых разных сферах, но, однако, все они имеют отношение к каким-либо направлениям онлайн-бизнеса. Так, например, в области онлайн-финансов токены используются как полноценные заменители денежных средств. А если говорить о криптовалютной индустрии, то в этой отрасли без токенов, как известно, не проходит ни одно ICO, подразумевающее привлечение инвестиций в онлайн-проекты, связанные с эмиссией и последующим оборотом цифровых валют, обладающих криптографической защитой. И это далеко не весь перечень вариантов полезного применения токена как онлайн-инструмента в современном бизнесе, построенном на информационных технологиях. Между тем, когда возникает необходимость в определении понятия «токен», что это такое – простыми словами разъяснить бывает весьма непросто.

• Токен: сущность, назначение, основные разновидности
• Токены и криптовалюты: в чем их сходства и различия
• Особенности эмиссии токенов: условия выпуска, методы получения
• Приобретение токенов криптовалюты: особенности процедуры

Токен — что это такое простыми словами?

Простыми словами, токен – это выпущенная кем-то, цифровая виртуальная единица, стоимость которой обосновывается на усмотрение его создавшего. А их учет и действие основано на технологии блокчейн. Что позволяет путать его с традиционными единицами криптовалют, основанными на той же технологии.
Кто может выпустить токен? Это может сделать определенное лицо, а в его ценность вложить единицу товара, услугу, акции, действия и другое. При этом название он может иметь абсолютно любое. Этот процесс поучил название токенизация – это когда каждый актив выступает в виде токена. Что это может дать? Токенизируются: ценные бумаги, акции компаний, животные, продукты, консультации и т.д.. Хранятся токены на балансе электронного кошелька их создавшего. Последний передает токены на своих условиях, как за получение денежного эквивалента, так и совершение определенных действий.

HTTP Basic Authentication

Первым, что при обращении к защищенному ресурсу сервер выдаст пользователю, не имеющему доступа, будет ошибка 401 Unauthorized. При этом ответ также содержит информацию о типе аутентификации (в нашем случае – Basic), который он может принимать, и контекст, в рамках которого эта аутентификация действует (Realm). Пользователь вводит логин и пароль, они упаковываются в Base64 и отправляются на сервер для проверки. Здесь существуют различные опасности. Самая распространенная — угроза man-in-the-middle attack, или атаки посредника, в ходе которой при использовании незащищенного соединения учетные данные могут перехватить злоумышленники в момент передачи от клиента к серверу или обратно.

Для чего используется токен?

Говоря простыми словами, основной задачей токенов является обмен определенными ценностями, осуществление которого вызывает затруднения в реальном мире, ввиду расстояния между сторонами сделки, громоздкости предметов и так далее.

Нередко токен может служить, как способ заработать. Для этого, необходимо знать, какие активы имеют потенциал для роста их стоимости. Ответить на этот вопрос поможет понимание, почему предлагаемый товар или услуга может вырасти в цене в дальнейшем. Это могут быть как дефицитные активы, так и активы растущие сами по себе.

Этот принцип заложен в каждом ICO. На первоначальном этапе, когда его будущее не известно, ICO предлагает купить их токены по низкой цене, как инвестор определенного проекта, описывая, что это в будущем может принести прибыль. В случае развития проекта, токены также вырастут в цене, если они привязаны к активам проекта или используются в их бизнесе.

Очень много токенов сделано на базе блокчейна топ-криптовалюты Ethereum, что в свое время дало толчок цене Эфира.

Заявка на кредитку 100 дней без % за 0 ₽ в год

100 дней без % на покупки и снятие наличных. 50 000 ₽ снимайте каждый месяц без комиссии. 500 000 ₽ максимальный кредитный лимит. Оформить.

Виды токенов и их различия

• Equity tokens — представляют собой акции компании.
• Utility tokens — отражают некоторую ценность в рамках бизнес-модели онлайн-платформы (репутация, баллы за определенные действия, игровая валюта).
• Asset-backed tokens — цифровые обязательства на реальные товары или услуги (килограммы морковки, час работы строителя и т. п.).

Токены приложений или токены-жетоны

Эту разновидность еще называют аппкоины. Большая часть всех ICO-проектов имеет мобильную площадку либо интернет-функционал. Оборот этой единицы учета необходим главным образом для осуществления внутренних операций. Таким образом, получается, что аппкоины — это внутреннее платежное средство.

К примеру, в компании, предоставляющей услуги такси, аппкоинами можно оплатить поездки, а на сайте знакомств — приобрести премиум-аккаунт и дополнительные функциональные возможности. В некоторых проектах за токены приобретается дополнительное пространство. В играх за них продают снаряжение или способности для героев.

Кредитные токены

Одной из основных функций электронных жетонов является инвестирование обычных денег (доллары, евро, юани и т.д.) в новые проекты, которые демонстрируют высокий показатель ликвидности.

Например, приобретя кредитные токены Steem Dollar (SD), вы можете рассчитывать на доход в размере 10% годовых от общей суммы займа. При этом выплаты, согласно условиям, осуществляются в SD, несмотря на то, что платежи пользователей в основном производятся в фиатных деньгах.

Таким образом, блокчейн система Steemit получает средства на свое развитие, а пользователи доходы. Для такой бизнес-модели наличие электронных жетонов и их оборот является определяющим моментом.

Токены-акции

Как вы можете убедиться в разделе по ICO проектам, практически ежедневно мы узнаем о новых стартапах, которые привлекают финансирование посредством выпуска собственных токенов, которые приобретаются любым лицом, кому интересен проект. Возникает логичный вопрос, почему не создать сразу новую криптовалюту? Дело в том, что у инициаторов стартапов нет возможности ждать определенное время, пока новая цифровая валюта укрепит свои позиции на рынке.

Несмотря на то, что такая модель является достаточно новой и не до конца регламентирована, она смогла продемонстрировать свою эффективность, что постоянно увеличивает ее популярность. В данном случае токены можно рассматривать в качестве аналога акций, но при этом не предусматривают последующих доходов их владельцам. В редких случаях электронные жетоны предполагают предоставление доли в бизнесе и право голоса держателям при рассмотрении инициатив развития проекта.

Аппкоины

Используются как внутрисистемная денежная единица в приложениях и сервисах. Примеры:

1. TrafficX — аналог такси Uber, где для оплаты услуг применяются аппкоины.
2. MatchPool — сервис знакомств, использующий для покупки VIP-аккаунта и доп. возможностей токены Guppy. Приобрести Гуппи можно на криптовалютных биржах Liqui и Bittrex.
3. Augmenters — онлайн-игра, в которой за коины приобретается обмундирование для персонажей и апгрейд.
4. GameCredits — игровая платформа, продающая за аппкоины предметы для улучшения и принимающая донаты на оплату труда разработчиков.

Фишки используются в интернет-магазинах в виде накопительных баллов по программе лояльности, социальных сетях для оплаты стикеров или на обучающих платформах для повышения рейтинга.

Накопительные коины

Создаются параллельно с основной криптовалютой. Суть — получение дивидендов при длительном вложении либо заработок.

Яркий пример — социальная сеть Steemit, пользователи которой зарабатывают Steem. Способы заработка коинов:

1. Размещение новостей (постинг). Вознаграждение зависит от разных факторов (популярность поста, активность пользователя).
2. Голосование. Оценив определенный пост, который впоследствии становится популярным, пользователь получает монеты.
3. Покупка на биржах криптовалют: Binance, Poloniex, Bittrex , HitBTC и Huobi.
4. Вестинг — наделение правом владения токенами. Вариант подходит для сотрудников и партнеров компании.

Вкладывая средства в кредитные коины, нужно тщательно проанализировать существующие риски, чтобы не потерять деньги.

Активы

Когда токены выпускаются на продажу в биржах, фишки автоматически начинают выполнять функцию акций компании. На изменение курса влияют фундаментальные факторы. Большинство разработчиков популярных криптовалют размещает актив для торговли.

Некоторые компании предпочитают принцип инвестирования в фонды. Пример — стартапы, работающие в направлении развития солнечной энергетики, SolarDAO и Suncontract. Приобретая tokens, вкладчик становится владельцем доли предприятия.

Инвестиционная платформа TargetCoin работает по принципу доверительного управления. Дивиденды зависят от грамотного вложения средств стартапы, которые выбирают эксперты компании. Некоторые фирмы предоставляют держателям право участия в управлении предприятия с помощью голосований.

Биометрия

При использовании биометрии пользователь предоставляет образец — опознаваемое, необработанное изображение или запись физиологической или поведенческой характеристики — с помощью регистрирующего устройства (например, сканера или камеры). Этот биометрический образец обрабатывается для получения информации об отличительных признаках, в результате чего получается контрольный шаблон (или шаблон для проверки). Шаблоны представляют собой достаточно большие числовые последовательности; сам образец невозможно восстановить из шаблона. Контрольный шаблон и есть «пароль» пользователя. Контрольный шаблон сравнивается с эталонным или зарегистрированным шаблоном, созданным на основе нескольких образцов определенной физиологической или поведенческой характеристики пользователя, взятых при его регистрации в биометрической системе. Поскольку эти два параметра (контрольный и эталонный шаблон) полностью никогда не совпадают, то биометрической системе приходится принимать решение о том, «достаточно» ли они совпадают. Степень совпадения должна превышать определенную настраиваемую пороговую величину. В силу этих ограничений, биометрию нельзя относить к методам строгой аутентификации, т.к. по своей природе она является вероятностной и подвержена различным видам атак:

1. подделка отличительной черты;
2. воспроизведение поведения пользователя;
3. перехват биометрических показателей;
4. воспроизведение биометрической подписи.

Среди других недостатков стоит отметить сложность внедрения биометрических систем и дополнительные личные, культурные и религиозные аспекты применения биометрических технологий аутентификации, связанные с вмешательством в частную жизнь.

Ценность токенов

Ценность токенов зависит от того, какова на рынке их стоимость. На последнюю оказывает влияние доверие людей к проекту, выпустившему эти токены. Выходящие на ICO стартапы на первоначальном этапе обеспечены исключительно бизнес-идеей.

Токены и криптовалюты: в чем их сходства и различия

Криптовалюта представляет собой виртуальную денежную единицу, защищенную средствами криптографии и применяемую в системах блокчейн, практикующих майнинг – процедуру онлайн-выпуска цифровых монет. Криптовалюта может являться объектом купли-продажи, средством платежа при проведении транзакций в интернете, а также инструментом сохранения стоимости, что делает её полноценным аналогом настоящих денег, эмиссия которых по закону осуществляется государством.

Блокчейн-технология позволяет создавать и использовать криптовалюту в децентрализованном порядке, исключая возможность контроля её выпуска и дальнейшего оборота со стороны каких-либо официальных структур. Именно благодаря технологии блокчейн запускаются, эмитируются и успешно функционируют самые разные цифровые валюты с криптографической защитой, снискавшие сегодня огромную популярность у пользователей интернета, финансовых инвесторов и других субъектов, имеющих отношение к электронной коммерции.

Особенности эмиссии токенов: условия выпуска, методы получения

Наиболее проблемным вопросом для субъектов, разрабатывающих токены, является определение временной продолжительности периода, в течение которого планируется осуществлять эмиссию соответствующих цифровых активов (обязательств). Популярность и потенциал прибыльности цифровой монеты во многом зависит именно от срока, на протяжении которого она будет выпускаться в блокчейн-системе.

Как стать полноправным обладателем токенов? Существуют три очевидных способа, позволяющих получать токены:

1. онлайн-майнинг;
2. биржевые операции;
3. участие в ICO-проектах.

Следует отметить, что бесплатное получение токенов становится возможным лишь посредством их майнинга (онлайн-генерирования), для которого, как известно, необходимы значительные денежные инвестиции, техническое оборудование с подходящей вычислительной мощностью, специальное программное обеспечение, а также помещение, соответствующее требованиям по вентиляции и энергоснабжению.

Кстати говоря, эксперты криптовалютной индустрии сегодня уже не рекомендуют заниматься майнингом биткоина, так как есть обоснованные сомнения в том, что необходимые для этого онлайн-бизнеса вложения успеют полностью окупиться.

Специалисты утверждают, что в настоящее время самым лучшим, быстрым и комфортным вариантом получения токенов является их приобретение, которое может осуществляться посредством совершения операций на специализированных биржах или участия в проектах ICO.

Где купить токены и по какой цене

Купить токены можно на биржах или в обменниках. Стоимость зависит от их рыночной цены, которая определяется исходя из степени доверия к компании. В стартапах с запущенной ICO на начальной стадии нет никаких обеспечений, помимо идеи создателей проекта.

Приобретение токенов во время первичной продажи — это хорошая возможность получения в будущем дохода за счет инвестирования. Чтобы понять, насколько перспективен проект, проанализируйте White Paper и Roadmap. В «Белой книге» отражаются технические качества первоначальной продажи, инвестиционные преимущества, участники проекта и их идеи. В «Дорожной карте» показываются главные ступени и задачи стартапа во временной последовательности.

Принимая решение, тщательно все обдумайте, ответьте себе на ряд важных вопросов:

1. В каком виде представлен токен?
2. Что влияет на возрастание цены? Только сама компания либо еще и сторонние факторы?
3. Сколько стоит токен и оправдана ли его цена?
4. Какую нишу выбрала организация стартапа? Выгодные направления — это инновации, блокчейн и криптовалюта.

Приобрести эту единицу учета можно на нескольких этапах. На pre-ICO, в то время как главный краудсейл еще не начался. В этот момент цена токенов еще невелика, но пока не до конца ясны перспективы проекта. Для покупки нужно пройти регистрацию на веб-площадке, затем перечислить оплату на веб-кошелек.

Наиболее безопасный способ — это приобретение токенов на бирже (IEO). Их покупают уже тогда, когда они состоят в торговых парах, что подтверждает рыночное признание проекта.

Покупка токенов на ICO

Важнейшим этапом приобретения токенов новых стартапов на ICO является грамотный выбор проекта, который в будущем принесет своим владельцам и инвесторам ощутимую прибыль. Ознакомиться с предстоящими проектами ICO можно на нашем сайте.

Выбирая ICO необходимо очень внимательно изучить идею, выяснить, кто является организатором, а также есть ли у этих людей экспертиза в сфере криптовалют и соответствующих технологий. Крайне важно проанализировать, насколько жизнеспособен и применим проект, который организаторы хотят реализовать. В противном случае выбранный проект может оказаться убыточным, что приведет лишь к совершенно бессмысленной потере средств.

Для приобретения токенов в рамках ICO необходимо:

• выбрать подходящий стартап;
• перейти на официальный сайт проекта;
• перейти в раздел «Присоединиться к продаже»;
• выбрать необходимую валюту;
• ознакомиться с лицензионным соглашением;
• ввести адрес криптовалютного кошелька, с которого будет осуществляться оплата;
• указать адрес, на который будет производиться выплата;
• с помощью криптовалютного кошелька произвести перевод валюты на адрес получателя для приобретения токенов;
• дождаться проведения транзакции;
• проверить счет кошелька.

Покупка токенов через криптовалютные биржи

Разные криптобиржи поддерживают разные наборы токенов для торговли, самые популярные присутствуют практически на всех биржах, но много и таких монет которые доступны только на одной площадке.

Настоятельно рекомендуют перед приобретением токенов проанализировать динамику изменения курса, в противном случае покупка может оказаться совершенно невыгодной.

Биржи где обычно торгуются новые токены (на эти площадки их добавляют первыми, в силу того, что процесс добавления более лоялен к новым монетам):

• Binance;
• EXMO;
• YObit.

Как получить токены за регистрацию?

В рамках бонусной баунти кампании по продвижение нового проекта, некоторые ICO раздают часть своих то токенов за регистрацию пользователей и подписку на новости новой платформы.

Как можно принять участие в таких кампаниях и список актуальных на сегодняшний день баунти смотрите здесь. Данный список постоянно обновляется, следите за добавлением новых ICO с бонусными токенами при регистрации.

Основные поля

Кратко остановимся на том, какие есть стандартные полях в токене и зачем они нужны:

• iss — адрес или имя удостоверяющего центра.
• sub — идентификатор пользователя. Уникальный в рамках удостоверяющего центра, как минимум.
• aud — имя клиента для которого токен выпущен.
• exp — срок действия токена.
• nbf — время, начиная с которого может быть использован (не раньше чем).
• iat — время выдачи токена.
• jti — уникальный идентификатор токен (нужен, чтобы нельзя был «выпустить» токен второй раз).

В этой статье мы постарались дать теоретический и терминологический фундамент, который понадобится нам создании работающего решения в следующих статьях.
Stay tuned.
Спойлер второй части
Минимальная реализация интеграция Identity Server в ваше приложение выглядит так: public void Configuration(IAppBuilder app) { var factory = new IdentityServerServiceFactory(); factory.UseInMemoryClients(Clients.Get()) .UseInMemoryScopes(Scopes.Get()) .UseInMemoryUsers(Users.Get()); var options = new IdentityServerOptions { SiteName = Constants.IdentityServerName, SigningCertificate = Certificate.Get(), Factory = factory, }; app.UseIdentityServer(options); }

Минимальная реализация интеграции веб-клиента с Identity Server:
public void Configuration(IAppBuilder app) { app.UseCookieAuthentication(new CookieAuthenticationOptions { AuthenticationType = «Cookies» }); app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions { ClientId = Constants.ClientName, Authority = Constants.IdentityServerAddress, RedirectUri = Constants.ClientReturnUrl, ResponseType = «id_token», Scope = «openid email», SignInAsAuthenticationType = «Cookies», }); } Минимальная реализация интеграции веб-API с Identity Server: public void Configuration(IAppBuilder app) { app.UseIdentityServerBearerTokenAuthentication( new IdentityServerBearerTokenAuthenticationOptions { Authority = Constants.IdentityServerAddress, RequiredScopes = new[] { «write» }, ValidationMode = ValidationMode.Local, // credentials for the introspection endpoint ClientId = «write», ClientSecret = «secret» }); app.UseWebApi(WebApiConfig.Register()); }

Можно ли заработать, инвестируя в токены?

Определенно, да. Такие инвестиции могут принести неплохую прибыль, правда, не всегда. Чтобы обезопасить себя от потерь, в первую очередь, нужно взвешенно подойти к выбору ICO.

О популярности криптовалютного краудфандинга мы уже говорили, о ней же свидетельствуют и огромные суммы, собираемые стартапами таким способом, и возрастающее количество инициируемых ICO. То есть возможностей «пристроить» свои денежки хоть отбавляй. Но все ли они одинаково хороши? Нет, конечно. Поэтому, прежде, чем вкладываться в ту или иную идею, необходимо предпринять ряд простых, но действенных шагов:

1. Начните со знакомства с так называемой «Белой книгой» выбранного вами стартапа. Это подробное описание проекта с техническими характеристиками, составом команды разработчиков и ее видением будущего продукта. Дальше обратите внимание на «дорожную карту», где поэтапно, в хронологическом порядке расписано все, чего хотят достичь (или уже достигли) авторы.
2. Ваш анализ токена должен быть комплексным. Определите, что он собой представляет (акция, средство вознаграждения или платежное средство) и каковы особенности его применения. Насколько высоки шансы на рост стоимости монеты и от чего он зависит? Перспективна ли ниша, в которой собирается развиваться проект? Есть ли потенциал для развития? Представит ли проект интерес для широкой аудитории? Ну, и так далее.

Только после этого можно делать выводы об инвестиционной привлекательности идеи, в которую вы решили вложить свои «кровные».

Способы заработка на токенах

Инвестиции в токены – прибыльный вид заработка в интернете. Потребуется выбрать проект, у которого есть неплохие перспективы. После того как он вышел на биржу, можно или продавать токены, или получать проценты, начисляемые от их держания у себя.

HTTP Digest Authentication

Следующим этапом развития технологии стала чуть более сложная система HTTP digest authentication, которая исключает передачу учетных данных в открытом виде — здесь для проверки используется MD5-хеш с некоторыми примесями, что позволяет избежать подбора логина и пароля. Конечно, этот алгоритм выглядит более надежным, но и он подвержен целому ряду не самых сложных атак. Например, вот тут можно почитать об атаках более подробно.

Что такое токенизация? Ее преимущества и недостатки

Поскольку блокчейн-технология становится все более популярной и востребованной, не удивительно, что набирает оборотов процесс перевода таких операций, как учет и управление активов, на цифровые «рельсы». Это и есть токенизация. В этом случае реальные ценности воплощаются в цифровые аналоги, работать с которыми гораздо проще, быстрее и безопаснее.

Плюсы токенизации:

1. В первую очередь, к плюсам необходимо отнести значительное ускорение торгового процесса. Ведь все обходится без документального оформления на право собственности и физического перемещения активов.
2. Так как все транзакции учитываются в блокчейне, хранение и передача активов становятся значительно безопаснее.
3. Используя токенизацию, можно отказаться от посредников или прописать их функции в смарт-контракте, что снимает проблемы доверия.
4. Инфраструктура становится более функциональной, возможности платформы расширяются, благодаря подключению различных модулей.
5. И, конечно же, несомненным достоинством токенизации является удобство пользователей, которые могут интегрировать возможности платформы в свои мобильные приложения.

Минусы токенизации:

1. Никто не застрахован от потери личных пользовательских ключей или их кражи хакерами.
2. Есть проблемы и с конфиденциальностью. Обеспечить ее в публичном блокчейне достаточно непросто из-за открытости данных о транзакциях, а открытые данные просто необходимы для верификации операций.
3. И еще один «камень преткновения» – ограниченная пропускная способность децентрализованной базы данных, что усложняет процесс масштабирования.

Встроенная флэш-память

Несмотря на возможность с помощью печати на специальных принтерах превратить токен в форм-факторе смарт-карты в универсальное устройство, объединяющее бэйдж (с фотографией и ФИО владельца), средство аутентификации и карточку для прохода в помещения, в России наиболее распространённый форм-фактор подключаемых к компьютерам токенов – это USB-ключи. Связано это в первую очередь с удобством подключения – нет необходимости оборудовать каждую рабочую станцию карт-ридерами (считывателями смарт-карт). Психология пользователей, ожидающих при подключении USB-ключа появления нового диска в папке «Мой компьютер», желание сэкономить на дополнительных портах, а так же современные требования информационной безопасности во многом предопределили появление нового класса устройств. Ведущие производители аппаратных средств аутентификации предлагают комбинированную модель аппаратного USB-токена с интегрированной флэш-памятью. Помимо освобождения дополнительного USB-разъёма такое устройство имеет целый ряд преимуществ по безопасному хранению, транспортировке и удалённому доступу к конфиденциальным данным Приложения безопасности удобно хранить и запускать непосредственно из памяти токена. Аппаратная реализация криптографических алгоритмов позволяет в одном корпусе объединить сами защищаемые данные и ключи шифрования, необходимые для доступа к ним. Большой объём памяти (до 4 ГБ) позволяет размещать и автоматически запускать при подключении:

1. Драйверы самого токена;
2. Приложения безопасности (например, приложения для шифрования данных);
3. Приложения, предназначенные специально для отдельных пользователей или групп пользователей;
4. Операционные системы;
5. Файлы установки.

Подобные устройства позволяют реализовать доверенную загрузку рабочих станций, терминальных клиентов и даже серверов непосредственно из самой памяти токена вне зависимости от установленной на недоверенном компьютере операционной системы и наличия у него жёсткого диска. Интересным решением с таким токеном может быть поставка, дистрибуция, установка и тиражирование ПО.

Чем обосновано большое количество токенов?

В связи с тем, что токен — это цифровой актив, базирующийся на системе блокчейн какой-либо из криптовалют, создание такой электронной единицы гораздо проще. Кроме того такой способ является функциональным и удобным, так как является более безопасным, устраняет посредников сделки, ускоряет процессы торговли.

От привычных гражданско-правовых отношений токен отличается тем, что все сделки происходят на основе смарт-контрактов, которые являются гарантией при её заключении.

Создание токенов и проведение ICO, возможно по имеющимся проверенным алгоритмам. Для этого существует множество конструкторов в интернете. Необходимо выбрать наиболее оптимальный и создать в нем смарт-контракт.

Смарт-контракт – это набор функций, которые будут осуществляться внутри структуры: владение токенами, передача, пополнение баланса и другие. Для внесения индивидуальных функций предусмотрена плата, для начисления комиссий майнерам, так как в системе блокчейн будут осуществляться транзакции.

Выпуск токенов стандартизирован, связано это с низким риском потерять деньги, в случае ошибки смарт-контракта, а также беспрепятственного взаимодействия электронных кошельков, бирж с новыми токенами.

При создании стандартизированного токена выбирается название, символ, количество токенов, их максимальное деление. После чего информацию необходимо задеплоидить, то есть добавить в сеть.

При этом каждый новый созданный вид монет и криптовалют служит для усовершенствования системы оборота электронных денег, возможности покупать и продавать активы реального мира без ограничений, контроля со стороны государства, безопасности сделок.

Токен — это новое средство оплаты различных товаров и услуг, акций компаний, активов действующих на онлайн-платформах, что гораздо облегчает участникам заключать сделки.

Подписываемся под данными

И людям, и программам нужно знать, что данные были созданы доверенным источником и остались неизменными. Для этого была придумана технология генерации специального хеша (подписи), который подтверждает целостность информации и достоверность ее отправителя/создателя. Для создания этой самой подписи используется схема из нескольких шагов, цель которых — защитить данные от подделки.

Другие статьи в выпуске:

Xakep #247. Мобильная антислежка

• Содержание выпуска
• Подписка на «Хакер»-50%

Алгоритм хеширования может меняться, но суть этого подхода проста и неизменна: для подтверждения целостности сообщения необходимо снова найти подпись защищаемых данных и сравнить ее с имеющейся подписью.

Что такое USB-токен и как работает?

USB-токен — небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.

По факту его можно сравнить с ключом от вашей квартиры — если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.

Почему это надежнее двойной аутентификации?

Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.

Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном — слушать разговоры и читать все сообщения. Операторы эту проблему не признают, хотя ей уже больше 30 лет.

Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль — его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.

Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения. Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.

Да кто будет пользоваться этими «флешками»?

Все сотрудники из Google этим пользуются и очень довольны. В начале 2020 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог — за этот год не произошло ни одной кражи личной информации.

Теперь в Google считают, что USB-токены — самый надежный способ защитить свой аккаунт. Вот так.

Все слишком хорошо! Какие подводные?

Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах — Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.

И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth — он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.

Разбираемся детально ху из ху

В данный момент на слуху следующие протоколы:

1. OpenID — для проверки учетных данных пользователя (identification & authentication).
2. OAuth — про то, чтобы получать доступ к чему-то.
3. OpenID Connect — и про и то, и про другое одновременно.

Все три протокола позволяют пользователю не разглашать свои секретные логин и пароль недоверенным приложениям. OpenID & OAuth разрабатывались параллельно вплоть до 2014 года и объединились в итоге в OpenID connect.
OpenID 1.0 (2006) & OpenID 2.0 (2007) позволяли приложению(арб) запрашивать у доверенного сервера (authority) проверку пользователя(user). Отличия между версиями для нас несущественны.

• User –> App: Привет, это Миша.
• App –> Authority: Вот «это» Миша?
• Authority и User общаются тет-а-тет.
• Authority –> App: Да, это Миша.

OpenID Attribute Exchange 1.0 (2007) расширяет OpenID 2.0 разрешая получать и хранить профиль пользователя.

• User –> App: Привет, это Миша.
• App –> Authority: Вот «это» Миша? И если это Миша, то пришлите мне его email.
• Authority и User общаются тет-а-тет.
• Authority –> App: Да, это Миша. И его email

OAuth 1.0 (2010) позволяет пользователю разрешать приложению получать ограниченный доступ на третьесторонних серверах(third-party server), доверяющих удостоверяющему центру.

• App –> User: Mы бы хотели получить ваши картинки с другого сервера.
• Authority и User общаются тет-а-тет.
• Authority –> App: Вот вам билет (access token) на 15 минут.
• App –> Third-party server: Нам тут по билету можно получить фотографии для этого пользователя.

OAuth 2.0 (2012) делает тоже самое, что и OAuth 1.0, но только протокол существенно поменялся и стал проще.
OpenID Connect (2014) объединяет возможности OpenID 2.0, OpenID Attribute Exchange 1.0, и OAuth 2.0 в один общий протокол. Он позволяет приложениям использовать удостоверяющий центр для:

• Проверять учетные данные пользователя.
• Получать профиль пользователя (или его части).

Важно понимать, что OpenID Connect не дает доступ к внешним ресурсам. Он использует OAuth 2.0 для того, чтобы представить параметры профиля как будто это такие ресурсы.

Обычно в системах встречаются разные компоненты: пользователи, работающие через браузер, пользователи, взаимодействующие с сервером через мобильные приложения, и просто серверные приложения, нуждающиеся в принадлежащих вам данных, хранящихся на других серверах, доступ к которым осуществляется через Web API.

Single sign-on — технология единого входа — позволяет пользователю переключаться между различными приложениями без повторной аутентификации. Используя SSO можно избежать множественных логинов, так что пользователь просто не будет замечать этих переключений. При этом ситуации, когда в рамках вашей инфраструктуры таких приложений будет больше одного, встречаются постоянно. Технология единого входа особенно удобна в больших энтерпрайз-системах, состоящих из десятков приложений, слабо связанных между собой. Вряд ли пользователи будут довольны, вводя логин и пароль при каждом обращении к системе учета рабочего времени, корпоративному форуму или внутренней базе документов.

В качестве реализации мы рассматриваем протокол OAuth2. В принципе, существуют и другие, например, Kerberos, успешно взаимодействующий с Windows, но в случае гетерогенной сети, в которой существуют компьютеры, использующие и Windows-, и Mac-, и UNIX-системы, использовать проприетарные протоколы зачастую неудобно. Тем более, это касается случаев, когда доступ к вашим сервисам осуществляется через веб — здесь OAuth2 оказывается лучшим кандидатом.

На рисунке выше показано, какие именно протоколы используются при каждом типе взаимодействия.

Как мы знаем из раздела «разбираемся детально ху из ху», OpenID Сonnect нужен, чтобы получить у пользователя его учетные данные и проверить их. OAuth 2.0 нужен, чтобы получать токены доступа и с ними обращаться к ресурсам.

• OpenID Connect Provider (OP)
• Client
• User
• Scope Identity scopes – openid, profile, email
• Resource scopes – various API
• Authentication/Token Request
• Identity Token
• Access Token
• Refresh Token