SMS సందేశాలు రెండు-కారకాల ప్రమాణీకరణ (2FA) యొక్క అత్యంత ప్రజాదరణ పొందిన పద్ధతి. ఇది బ్యాంకులు, ఎలక్ట్రానిక్ మరియు క్రిప్టో వాలెట్లు, మెయిల్బాక్స్లు మరియు అన్ని రకాల సేవల ద్వారా ఉపయోగించబడుతుంది; .
ఈ పద్ధతి అసురక్షితమైనందున నేను ఈ దృష్టాంతంలో కోపంగా ఉన్నాను. ఒక SIM కార్డ్ నుండి మరొకదానికి నంబర్ను తిరిగి కేటాయించడం మొబైల్ యుగం ప్రారంభంలో ప్రారంభమైంది - SIM కార్డ్ పోయినప్పుడు నంబర్ పునరుద్ధరించబడుతుంది. "డిజిటల్ మనీ దొంగతనం నిపుణులు" మోసపూరిత పథకాలలో "రిరైట్ SIM కార్డ్" ఎంపికను ఉపయోగించవచ్చని గ్రహించారు. అన్నింటికంటే, SIM కార్డ్ని నియంత్రించే వ్యక్తి ఇతరుల ఆన్లైన్ బ్యాంకింగ్, ఎలక్ట్రానిక్ వాలెట్లు మరియు క్రిప్టోకరెన్సీని కూడా నియంత్రించవచ్చు. మరియు మీరు టెలికాం ఉద్యోగికి లంచం ఇవ్వడం, మోసం చేయడం లేదా నకిలీ పత్రాలను ఉపయోగించడం ద్వారా మరొక వ్యక్తి నంబర్ను స్వాధీనం చేసుకోవచ్చు.
SIM మార్పిడికి సంబంధించిన వేల ఎపిసోడ్లు బయటపడ్డాయి, ఈ మోసం పథకం అంటారు. SMS ద్వారా ప్రపంచం త్వరలో 2FAని వదిలివేస్తుందని విపత్తు స్థాయి సూచిస్తుంది. కానీ ఇది జరగదు - లో 2FA పద్ధతిని ఎంచుకునేది వినియోగదారులు కాదని, సేవా యజమానులు అని వారు చెప్పారు.
బ్లాక్చెయిన్ ద్వారా వన్-టైమ్ కోడ్ల డెలివరీతో సురక్షితమైన 2FA పద్ధతిని ఉపయోగించమని మేము ప్రతిపాదిస్తున్నాము మరియు సేవా యజమాని దీన్ని ఎలా కనెక్ట్ చేయవచ్చో మేము మీకు తెలియజేస్తాము.
లెక్కలు లక్షల్లోకి వెళ్తాయి
2019లో, లండన్ పోలీసుల ప్రకారం, SIM స్వాప్ మోసం 63% పెరిగింది మరియు దాడి చేసే వ్యక్తి యొక్క “సగటు బిల్లు” 4,000 GBP. నేను రష్యాలో ఎటువంటి గణాంకాలను కనుగొనలేదు, కానీ అవి మరింత అధ్వాన్నంగా ఉన్నాయని నేను ఊహిస్తున్నాను.
ప్రముఖ Twitter, Instagram, Facebook, VK ఖాతాలు, బ్యాంక్ ఖాతాలు మరియు ఇటీవల క్రిప్టోకరెన్సీలను దొంగిలించడానికి SIM మార్పిడి ఉపయోగించబడుతుంది - Bitcoin వ్యవస్థాపకుడు Joby Weeks ప్రకారం. SIM మార్పిడిని ఉపయోగించి క్రిప్టోకరెన్సీ దొంగతనానికి సంబంధించిన హై-ప్రొఫైల్ కేసులు 2016 నుండి ప్రెస్లో వస్తున్నాయి; 2019 నిజమైన శిఖరాన్ని చూసింది.
మేలో, మిచిగాన్ తూర్పు జిల్లా కోసం U.S. అటార్నీ కార్యాలయం 19 మరియు 26 సంవత్సరాల మధ్య వయస్సు గల తొమ్మిది మంది యువకులు: వారు "ది కమ్యూనిటీ" అనే హ్యాకర్ ముఠాలో భాగమని నమ్ముతారు. ముఠా ఏడు స్వాప్ దాడులకు పాల్పడింది, దీని ఫలితంగా హ్యాకర్లు $2,4 మిలియన్లకు పైగా విలువైన క్రిప్టోకరెన్సీని దొంగిలించారు. మరియు ఏప్రిల్లో, కాలిఫోర్నియా విద్యార్థి జోయెల్ ఒర్టిజ్ SIM మార్పిడికి 10 సంవత్సరాల జైలు శిక్షను అందుకున్నాడు; అతని ఉత్పత్తి క్రిప్టోకరెన్సీలలో $7.5 మిలియన్లు.
యూనివర్శిటీ విలేకరుల సమావేశంలో జోయెల్ ఓర్టిజ్ ఫోటో. రెండేళ్ల తర్వాత సైబర్ ఫ్రాడ్ కేసులో అతడిని అదుపులోకి తీసుకోనున్నారు.
SIM స్వాప్ ఎలా పనిచేస్తుంది
"మార్పిడి" అంటే మార్పిడి. అటువంటి అన్ని స్కీమ్లలో, నేరస్థులు సాధారణంగా SIM కార్డ్ని మళ్లీ జారీ చేయడం ద్వారా బాధితుల ఫోన్ నంబర్ను స్వాధీనం చేసుకుంటారు మరియు పాస్వర్డ్ను రీసెట్ చేయడానికి దాన్ని ఉపయోగిస్తారు. సిద్ధాంతంలో ఒక సాధారణ SIM స్వాప్ ఇలా కనిపిస్తుంది:
- ఇంటెలిజెన్స్ సర్వీస్. మోసగాళ్లు బాధితుడి వ్యక్తిగత సమాచారాన్ని కనుగొంటారు: పేరు మరియు ఫోన్ నంబర్. వారు ఓపెన్ సోర్స్లలో (సోషల్ నెట్వర్క్లు, స్నేహితులు) కనుగొనవచ్చు లేదా సహచరుడి నుండి స్వీకరించవచ్చు - మొబైల్ ఆపరేటర్ యొక్క ఉద్యోగి.
- నిరోధించడం. బాధితుడి SIM కార్డ్ నిష్క్రియం చేయబడింది; దీన్ని చేయడానికి, ప్రొవైడర్ యొక్క సాంకేతిక మద్దతుకు కాల్ చేయండి, నంబర్ను అందించండి మరియు ఫోన్ పోయిందని చెప్పండి.
- క్యాప్చర్ చేయండి, మీ SIM కార్డ్కి నంబర్ను బదిలీ చేయండి. సాధారణంగా ఇది టెలికాం కంపెనీలోని సహచరుడి ద్వారా లేదా పత్రాల ఫోర్జరీ ద్వారా కూడా జరుగుతుంది.
నిజ జీవితంలో విషయాలు మరింత తీవ్రంగా ఉంటాయి. దాడి చేసేవారు బాధితురాలిని ఎంచుకుని, ఆపై ఫోన్ ఉన్న లొకేషన్ను రోజూ ట్రాక్ చేస్తారు - సబ్స్క్రైబర్ రోమింగ్కు మారినట్లు సమాచారం అందుకోవడానికి ఒక అభ్యర్థన 1-2 సెంట్లు. సిమ్ కార్డు యజమాని విదేశాలకు వెళ్లిన వెంటనే, కొత్త సిమ్ కార్డు జారీ చేసేందుకు కమ్యూనికేషన్ స్టోర్లో మేనేజర్తో చర్చలు జరుపుతారు. దీని ధర సుమారు $50 (నేను సమాచారాన్ని కనుగొన్నాను - వివిధ దేశాలలో మరియు $20 నుండి $100 వరకు వివిధ ఆపరేటర్లతో), మరియు చెత్త సందర్భంలో మేనేజర్ తొలగించబడతారు - దీనికి ఎటువంటి బాధ్యత లేదు.
ఇప్పుడు అన్ని SMSలు దాడి చేసేవారిచే స్వీకరించబడతాయి మరియు ఫోన్ యజమాని దాని గురించి ఏమీ చేయలేరు - అతను విదేశాలలో ఉన్నాడు. ఆపై విలన్లు అన్ని బాధితుడి ఖాతాలకు యాక్సెస్ పొందుతారు మరియు కావాలనుకుంటే పాస్వర్డ్లను మార్చుకుంటారు.
దొంగిలించిన సొత్తు తిరిగి వచ్చే అవకాశం
బ్యాంకులు కొన్నిసార్లు బాధితులను సగానికి చేర్చి, వారి ఖాతాల నుండి బదిలీలను ఉపసంహరించుకుంటాయి. అందువల్ల, నేరస్థుడు కనుగొనబడకపోయినా ఫియట్ డబ్బును తిరిగి పొందడం సాధ్యమవుతుంది. కానీ cryptocurrency పర్సులు ప్రతిదీ మరింత క్లిష్టంగా ఉంటుంది - మరియు సాంకేతికంగా, మరియు శాసనపరంగా. ఇప్పటివరకు, మార్పిడి బాధితులకు ఒక్క ఎక్స్ఛేంజ్/వాలెట్ కూడా పరిహారం చెల్లించలేదు.
బాధితులు తమ డబ్బును కోర్టులో రక్షించుకోవాలనుకుంటే, వారు ఆపరేటర్ను నిందించారు: అతను ఖాతా నుండి డబ్బు దొంగతనం కోసం పరిస్థితులను సృష్టించాడు. సరిగ్గా అదే చేశాను , ఇచ్చిపుచ్చుకోవడం వల్ల $224 మిలియన్లను కోల్పోయిన అతను ఇప్పుడు టెలికమ్యూనికేషన్స్ కంపెనీ AT&Tపై దావా వేసాడు.
ఇప్పటివరకు, క్రిప్టోకరెన్సీ యజమానులను చట్టబద్ధంగా రక్షించడానికి ఏ రాష్ట్రంలోనూ స్కీమ్లు లేవు. మీ మూలధనాన్ని బీమా చేయడం లేదా దాని నష్టానికి పరిహారం పొందడం అసాధ్యం. అందువల్ల, స్వాప్ దాడిని నివారించడం దాని పరిణామాలతో వ్యవహరించడం కంటే సులభం. 2FA కోసం మరింత విశ్వసనీయమైన "రెండవ అంశం"ని ఉపయోగించడం అత్యంత స్పష్టమైన మార్గం.
SMS ద్వారా 2FAతో SIM స్వాప్ మాత్రమే సమస్య కాదు
సాంకేతిక కోణం నుండి SMSలోని నిర్ధారణ కోడ్లు కూడా సురక్షితం కాదు. సిగ్నలింగ్ సిస్టమ్ 7 (SS7)లో అన్ప్యాచ్ చేయని దుర్బలత్వాల కారణంగా సందేశాలు అడ్డగించబడతాయి. SMS ద్వారా 2FA అసురక్షితమని అధికారికంగా గుర్తించబడింది (US నేషనల్ ఇన్స్టిట్యూట్ ఆఫ్ స్టాండర్డ్స్ అండ్ టెక్నాలజీ దానిలో ఇలా చెప్పింది ).
అదే సమయంలో, 2FA ఉనికి తరచుగా వినియోగదారుకు తప్పుడు భద్రత యొక్క భావాన్ని ఇస్తుంది మరియు అతను సరళమైన పాస్వర్డ్ను ఎంచుకుంటాడు. అందువల్ల, అటువంటి ప్రమాణీకరణ కష్టతరం చేయదు, కానీ దాడి చేసే వ్యక్తి ఖాతాకు ప్రాప్యతను పొందడాన్ని సులభతరం చేస్తుంది.
మరియు తరచుగా SMS చాలా ఆలస్యంతో వస్తుంది లేదా అస్సలు రాకపోవచ్చు.
ఇతర 2FA పద్ధతులు
వాస్తవానికి, కాంతి స్మార్ట్ఫోన్లు మరియు SMS లలో కలుస్తుంది. 2FA యొక్క ఇతర పద్ధతులు ఉన్నాయి. ఉదాహరణకు, వన్-టైమ్ TAN కోడ్లు: ఒక ఆదిమ పద్ధతి, కానీ ఇది పనిచేస్తుంది - ఇది ఇప్పటికీ కొన్ని బ్యాంకుల్లో ఉపయోగించబడుతుంది. బయోమెట్రిక్ డేటాను ఉపయోగించే సిస్టమ్లు ఉన్నాయి: వేలిముద్రలు, రెటీనా స్కాన్లు. సౌలభ్యం, విశ్వసనీయత మరియు ధర పరంగా సహేతుకమైన రాజీలా కనిపించే మరొక ఎంపిక 2FA కోసం ప్రత్యేక అప్లికేషన్లు: RSA టోకెన్, Google Authenticator. భౌతిక కీలు మరియు ఇతర పద్ధతులు కూడా ఉన్నాయి.
సిద్ధాంతంలో, ప్రతిదీ తార్కికంగా మరియు నమ్మదగినదిగా కనిపిస్తుంది. కానీ ఆచరణలో, ఆధునిక 2FA పరిష్కారాలు సమస్యలను కలిగి ఉన్నాయి మరియు వాటి కారణంగా, వాస్తవికత అంచనాలకు భిన్నంగా ఉంటుంది.
ప్రకారం , 2FA యొక్క ఉపయోగం సూత్రప్రాయంగా అసౌకర్యంగా ఉంటుంది మరియు SMS ద్వారా 2FA యొక్క ప్రజాదరణ "ఇతర పద్ధతులతో పోలిస్తే తక్కువ అసౌకర్యం" ద్వారా వివరించబడింది - ఒక-పర్యాయ కోడ్లను స్వీకరించడం వినియోగదారుకు అర్థమయ్యేలా ఉంటుంది.
యాక్సెస్ పోతుందనే భయంతో వినియోగదారులు అనేక 2FA పద్ధతులను అనుబంధిస్తారు. భౌతిక కీ లేదా TAN పాస్వర్డ్ల జాబితాను కోల్పోవచ్చు లేదా దొంగిలించబడవచ్చు. నేను వ్యక్తిగతంగా Google Authenticatorతో చెడు అనుభవాలను ఎదుర్కొన్నాను. ఈ అప్లికేషన్తో నా మొదటి స్మార్ట్ఫోన్ విచ్ఛిన్నమైంది - నా ఖాతాలకు ప్రాప్యతను పునరుద్ధరించడంలో నా ప్రయత్నాలను అభినందిస్తున్నాను. మరొక సమస్య కొత్త పరికరానికి మారడం. భద్రతా కారణాల దృష్ట్యా Google Authenticatorకి ఎగుమతి ఎంపిక లేదు (కీలను ఎగుమతి చేయగలిగితే, ఏ భద్రత ఉంది?). ఒకసారి నేను కీలను మాన్యువల్గా తీసుకువెళ్లాను, ఆపై పాత స్మార్ట్ఫోన్ను షెల్ఫ్లోని పెట్టెలో ఉంచడం సులభం అని నేను నిర్ణయించుకున్నాను.
2FA పద్ధతి ఇలా ఉండాలి:
- సురక్షిత - మీరు మాత్రమే మరియు దాడి చేసేవారు మీ ఖాతాకు యాక్సెస్ని పొందలేరు
- విశ్వసనీయమైనది - మీకు అవసరమైనప్పుడు మీ ఖాతాకు యాక్సెస్ను పొందుతారు
- అనుకూలమైనది మరియు యాక్సెస్ చేయగలదు - 2FAని ఉపయోగించడం స్పష్టంగా ఉంటుంది మరియు తక్కువ సమయం పడుతుంది
- చౌక
బ్లాక్చెయిన్ సరైన పరిష్కారమని మేము నమ్ముతున్నాము.
బ్లాక్చెయిన్లో 2FA ఉపయోగించండి
వినియోగదారు కోసం, బ్లాక్చెయిన్లోని 2FA SMS ద్వారా వన్-టైమ్ కోడ్లను స్వీకరించినట్లుగానే కనిపిస్తుంది. డెలివరీ ఛానెల్ మాత్రమే తేడా. 2FA కోడ్ని పొందే పద్ధతి బ్లాక్చెయిన్ అందించే వాటిపై ఆధారపడి ఉంటుంది. మా ప్రాజెక్ట్లో (సమాచారం నా ప్రొఫైల్లో ఉంది) ఇది వెబ్ అప్లికేషన్, Tor, iOS, Android, Linux, Windows, MacOS.
సేవ ఒక-పర్యాయ కోడ్ను ఉత్పత్తి చేస్తుంది మరియు దానిని బ్లాక్చెయిన్లోని మెసెంజర్కు పంపుతుంది. ఆపై క్లాసిక్లను అనుసరించండి: వినియోగదారు సేవా ఇంటర్ఫేస్లో స్వీకరించిన కోడ్ను నమోదు చేసి లాగ్ ఇన్ చేస్తారు.
వ్యాసంలో బ్లాక్చెయిన్ సందేశ ప్రసారం యొక్క భద్రత మరియు గోప్యతను నిర్ధారిస్తుంది అని నేను వ్రాసాను. 2FA కోడ్లను పంపే సమస్యపై, నేను హైలైట్ చేస్తాను:
- ఖాతాను సృష్టించడానికి ఒక క్లిక్ చేయండి - ఫోన్లు లేదా ఇమెయిల్లు లేవు.
- 2FA కోడ్లతో కూడిన అన్ని సందేశాలు ఎండ్-టు-ఎండ్ కర్వ్25519xsalsa20poly1305 ఎన్క్రిప్ట్ చేయబడ్డాయి.
- MITM దాడి మినహాయించబడింది - 2FA కోడ్తో కూడిన ప్రతి సందేశం బ్లాక్చెయిన్లో లావాదేవీ మరియు Ed25519 EdDSA ద్వారా సంతకం చేయబడుతుంది.
- 2FA కోడ్తో సందేశం దాని స్వంత బ్లాక్లో ముగుస్తుంది. బ్లాక్ల క్రమం మరియు సమయముద్ర సరిదిద్దబడదు మరియు అందువల్ల సందేశాల క్రమం.
- సందేశం యొక్క "ప్రామాణికత"పై తనిఖీలు చేసే కేంద్ర నిర్మాణం లేదు. ఇది ఏకాభిప్రాయం ఆధారంగా పంపిణీ చేయబడిన నోడ్ల వ్యవస్థ ద్వారా చేయబడుతుంది మరియు ఇది వినియోగదారుల స్వంతం.
- నిలిపివేయబడదు - ఖాతాలు బ్లాక్ చేయబడవు మరియు సందేశాలు తొలగించబడవు.
- ఎప్పుడైనా ఏ పరికరం నుండి అయినా 2FA కోడ్లను యాక్సెస్ చేయండి.
- 2FA కోడ్తో సందేశ డెలివరీ నిర్ధారణ. వన్-టైమ్ పాస్వర్డ్ను పంపే సేవకు అది డెలివరీ చేయబడిందని ఖచ్చితంగా తెలుసు. "మళ్లీ పంపు" బటన్లు లేవు.
కొన్ని ఇతర 2FA పద్ధతులతో పోల్చడానికి, నేను పట్టికను తయారు చేసాను:
వినియోగదారు ఒక సెకనులో కోడ్లను స్వీకరించడానికి బ్లాక్చెయిన్ మెసెంజర్లో ఖాతాను స్వీకరిస్తారు - లాగిన్ చేయడానికి పాస్ఫ్రేజ్ మాత్రమే ఉపయోగించబడుతుంది. అందువల్ల, అప్లికేషన్ యొక్క పద్ధతులు భిన్నంగా ఉండవచ్చు: మీరు అన్ని సేవలకు కోడ్లను స్వీకరించడానికి ఒక ఖాతాను ఉపయోగించవచ్చు లేదా మీరు ప్రతి సేవకు ప్రత్యేక ఖాతాను సృష్టించవచ్చు.
ఒక అసౌకర్యం కూడా ఉంది - ఖాతా కనీసం ఒక లావాదేవీని కలిగి ఉండాలి. వినియోగదారు కోడ్తో గుప్తీకరించిన సందేశాన్ని స్వీకరించడానికి, మీరు అతని పబ్లిక్ కీని తెలుసుకోవాలి మరియు ఇది మొదటి లావాదేవీతో మాత్రమే బ్లాక్చెయిన్లో కనిపిస్తుంది. మేము దాని నుండి ఎలా బయటపడగలిగాము: మేము వారి వాలెట్లో ఉచిత టోకెన్లను స్వీకరించడానికి వారికి అవకాశం ఇచ్చాము. అయితే, ఖాతాకు పబ్లిక్ కీ అని పేరు పెట్టడం మంచి పరిష్కారం. (పోలిక కోసం, మా వద్ద ఖాతా సంఖ్య ఉంది U1467838112172792705 పబ్లిక్ కీ యొక్క ఉత్పన్నం cc1ca549413b942029c4742a6e6ed69767c325f8d989f7e4b71ad82a164c2ada. మెసెంజర్ కోసం ఇది మరింత సౌకర్యవంతంగా మరియు చదవగలిగేది, కానీ 2FA కోడ్లను పంపే సిస్టమ్కు ఇది ఒక పరిమితి). భవిష్యత్తులో ఎవరైనా అలాంటి నిర్ణయం తీసుకుంటారని మరియు "సౌలభ్యం మరియు ప్రాప్యత"ని గ్రీన్ జోన్కు తరలిస్తారని నేను భావిస్తున్నాను.
2FA కోడ్ని పంపే ధర నిజంగా తక్కువ - 0.001 ADM, ఇప్పుడు అది 0.00001 USD. మళ్ళీ, మీరు మీ బ్లాక్చెయిన్ను పెంచవచ్చు మరియు ధరను సున్నా చేయవచ్చు.
బ్లాక్చెయిన్లోని 2FAని మీ సేవకు ఎలా కనెక్ట్ చేయాలి
నేను కొంతమంది పాఠకులను వారి సేవలకు బ్లాక్చెయిన్ అధికారాన్ని జోడించడానికి ఆసక్తి చూపగలనని ఆశిస్తున్నాను.
మా మెసెంజర్ను ఉదాహరణగా ఉపయోగించి దీన్ని ఎలా చేయాలో నేను మీకు చెప్తాను మరియు సారూప్యత ద్వారా మీరు మరొక బ్లాక్చెయిన్ని ఉపయోగించవచ్చు. 2FA డెమో యాప్లో మేము ఖాతా సమాచారాన్ని నిల్వ చేయడానికి postgresql10ని ఉపయోగిస్తాము.
కనెక్షన్ దశలు:
- మీరు 2FA కోడ్లను పంపే బ్లాక్చెయిన్లో ఖాతాను సృష్టించండి. మీరు పాస్ఫ్రేజ్ని అందుకుంటారు, ఇది కోడ్లతో సందేశాలను గుప్తీకరించడానికి మరియు లావాదేవీలపై సంతకం చేయడానికి ప్రైవేట్ కీగా ఉపయోగించబడుతుంది.
- 2FA కోడ్లను రూపొందించడానికి మీ సర్వర్కు స్క్రిప్ట్ను జోడించండి. మీరు ఇప్పటికే వన్-టైమ్ పాస్వర్డ్ డెలివరీతో ఏదైనా ఇతర 2FA పద్ధతిని ఉపయోగిస్తుంటే, మీరు ఇప్పటికే ఈ దశను పూర్తి చేసారు.
- బ్లాక్చెయిన్ మెసెంజర్లోని వినియోగదారుకు కోడ్లను పంపడానికి మీ సర్వర్కు స్క్రిప్ట్ను జోడించండి.
- 2FA కోడ్ను పంపడం మరియు నమోదు చేయడం కోసం వినియోగదారు ఇంటర్ఫేస్ను సృష్టించండి. మీరు ఇప్పటికే వన్-టైమ్ పాస్వర్డ్ డెలివరీతో ఏదైనా ఇతర 2FA పద్ధతిని ఉపయోగిస్తుంటే, మీరు ఇప్పటికే ఈ దశను పూర్తి చేసారు.
1 ఖాతాను సృష్టించండి
బ్లాక్చెయిన్లో ఖాతాను సృష్టించడం అంటే ప్రైవేట్ కీ, పబ్లిక్ కీ మరియు ఉత్పన్నమైన ఖాతా చిరునామాను రూపొందించడం.
మొదట, BIP39 పాస్ఫ్రేజ్ రూపొందించబడింది మరియు SHA-256 హాష్ దాని నుండి లెక్కించబడుతుంది. ప్రైవేట్ కీ ks మరియు పబ్లిక్ కీ kpని రూపొందించడానికి హాష్ ఉపయోగించబడుతుంది. పబ్లిక్ కీ నుండి, అదే SHA-256ని విలోమంతో ఉపయోగించి, మేము బ్లాక్చెయిన్లో చిరునామాను పొందుతాము.
మీరు కొత్త ఖాతా నుండి ప్రతిసారీ 2FA కోడ్లను పంపాలనుకుంటే, ఖాతా సృష్టి కోడ్ను సర్వర్కు జోడించాలి:
import Mnemonic from 'bitcore-mnemonic'
this.passphrase = new Mnemonic(Mnemonic.Words.ENGLISH).toString()
…
import * as bip39 from 'bip39'
import crypto from 'crypto'
adamant.createPassphraseHash = function (passphrase) {
const seedHex = bip39.mnemonicToSeedSync(passphrase).toString('hex')
return crypto.createHash('sha256').update(seedHex, 'hex').digest()
}
…
import sodium from 'sodium-browserify-tweetnacl'
adamant.makeKeypair = function (hash) {
var keypair = sodium.crypto_sign_seed_keypair(hash)
return {
publicKey: keypair.publicKey,
privateKey: keypair.secretKey
}
}
…
import crypto from 'crypto'
adamant.getAddressFromPublicKey = function (publicKey) {
const publicKeyHash = crypto.createHash('sha256').update(publicKey, 'hex').digest()
const temp = Buffer.alloc(8)
for (var i = 0; i < 8; i++) {
temp[i] = publicKeyHash[7 - i]
}
return 'U' + bignum.fromBuffer(temp).toString()
}డెమో అప్లికేషన్లో, మేము దానిని సరళీకృతం చేసాము - మేము వెబ్ అప్లికేషన్లో ఒక ఖాతాను సృష్టించాము మరియు దాని నుండి కోడ్లను పంపాము. చాలా సందర్భాలలో, ఇది వినియోగదారుకు మరింత సౌకర్యవంతంగా ఉంటుంది: సేవ నిర్దిష్ట ఖాతా నుండి 2FA కోడ్లను పంపుతుందని మరియు దానికి పేరు పెట్టవచ్చని అతనికి తెలుసు.
2 2FA కోడ్లను రూపొందిస్తోంది
ప్రతి వినియోగదారు లాగిన్ కోసం 2FA కోడ్ తప్పనిసరిగా రూపొందించబడాలి. మేము లైబ్రరీని ఉపయోగిస్తాము , కానీ మీరు మరేదైనా ఎంచుకోవచ్చు.
const hotp = speakeasy.hotp({
counter,
secret: account.seSecretAscii,
});
వినియోగదారు నమోదు చేసిన 2FA కోడ్ యొక్క చెల్లుబాటును తనిఖీ చేస్తోంది:
se2faVerified = speakeasy.hotp.verify({
counter: this.seCounter,
secret: this.seSecretAscii,
token: hotp,
});
3 2FA కోడ్ని పంపుతోంది
2FA కోడ్ను సమర్పించడానికి, మీరు బ్లాక్చెయిన్ నోడ్ API, JS API లైబ్రరీ లేదా కన్సోల్ని ఉపయోగించవచ్చు. ఈ ఉదాహరణలో, మేము కన్సోల్ను ఉపయోగిస్తాము - ఇది కమాండ్ లైన్ ఇంటర్ఫేస్, బ్లాక్చెయిన్తో పరస్పర చర్యను సులభతరం చేసే యుటిలిటీ. 2FA కోడ్తో సందేశాన్ని పంపడానికి, మీరు ఆదేశాన్ని ఉపయోగించాలి send message కన్సోల్.
const util = require('util');
const exec = util.promisify(require('child_process').exec);
…
const command = `adm send message ${adamantAddress} "2FA code: ${hotp}"`;
let { error, stdout, stderr } = await exec(command);
సందేశాలను పంపడానికి ప్రత్యామ్నాయ మార్గం పద్ధతిని ఉపయోగించడం send JS API లైబ్రరీలో.
4 వినియోగదారు ఇంటర్ఫేస్
వినియోగదారుకు 2FA కోడ్ని నమోదు చేసే ఎంపికను అందించాలి, ఇది మీ అప్లికేషన్ ప్లాట్ఫారమ్పై ఆధారపడి వివిధ మార్గాల్లో చేయవచ్చు. మా ఉదాహరణలో ఇది Vue.
బ్లాక్చెయిన్ టూ-ఫాక్టర్ అథెంటికేషన్ డెమో అప్లికేషన్ కోసం సోర్స్ కోడ్ని వీక్షించవచ్చు . దీన్ని ప్రయత్నించడానికి Readme టు ఎ లైవ్ డెమోలో లింక్ ఉంది.
మూలం: www.habr.com