express web войти с помощью qr кода легко и безопасно
Авторизация с помощью QR
Приветствую тебя, уважаемый читатель.
Пришла ко мне как-то идея — сделать вход на сайт с помощью QR-кода. Поиск в сети дал несколько результатов:
В начале 2012 года похожий эксперимент был даже у Google (для двухфакторной аутентификации), но не прижилось.
Всё это сложные хитрые клиент-серверные реализации и они, конечно, очень крутые. А вот ключевой момент моей yet another genius идеи:
Пользователь заходит на сайт в современном браузере (где поддерживаться камера и камера есть) и подносит QR-код к камере устройства. А в коде закодированы… правильно! — данные для входа (пара логин-пароль)… просто так, в незашифрованном виде, обычным текстом. Код считывается на стороне клиента javascript’ом, данные вставляются в форму тем же javascript’ом, форма авторизации отправляется javascript’ом. По большому счёту можно использовать и другие виды штрихкодов, но QR, как мне кажется, наиболее популярен (широко распространён) для подобных задач.
И да, применять это можно не только в вебе, но и в любых непонятных ситуациях, когда требуется ввести логин/пароль/что-то с клавиатуры, а у вас есть камера и QR-код.
Наверное идея звучит глупо. Она слишком проста. Но позвольте мне рассказать почему она имеет право на жизнь.
Кому это НЕ нужно
Преимущества перед ручным вводом
Что ещё?
Безопасность
Бесспорный и главный плюс классических паролей — они хранятся в голове и набираются руками. Главная опасность вышеописанного способа — ваши QR-коды стали доступны злоумышленнику. Но если вы, как мой папа, храните все пароли в файле «Мои пароли.doc» на рабочем столе, то qr-коды даже над>жнее — их не прочитать глазами.
Пароль второго плана: зачем сервисы внедряют вход в аккаунты по QR-кодам
Интернет-сервисы запускают новые способы авторизации пользователей, которые в перспективе смогут заменить стандартные пароли. Вход в аккаунты по QR-коду уже внедрили «Яндекс», Google и Сбербанк, с 4 марта такую возможность предложит Почта Mail.ru, а Тинькофф Банк планирует сделать это в ближайшее время. Эксперты утверждают, что по-настоящему аккаунты от взлома защищает только двухфакторная авторизация пользователя.
Код быстрого реагирования
Ненадежность классической системы логин-пароль для авторизации пользователей стали отмечать многие компании, они начинают запускать на своих сервисах альтернативные способы идентификации.
С 4 марта пользователи почты Mail.ru (около 100 млн активных аккаунтов из России и стран СНГ) и других сервисов портала смогут войти на веб-страницу по QR-коду, рассказали «Известиям» в компании. Для этого необходимо отсканировать QR-код, появившийся в браузере, и подтвердить операцию в мобильном приложении. При входе в аккаунт сервис будет генерировать уникальную комбинацию, которую, в отличие от пароля, не получится использовать еще раз на другом устройстве, пояснили в компании.
Пользователи зачастую выбирают один и тот же пароль для разных сервисов или используют небезопасные, простые для запоминания комбинации символов, это облегчает злоумышленникам взлом почтового ящика, отметили в Mail.ru.
Согласно экспертным оценкам, в 81% случаев третьи лица получают доступ к чужому аккаунту с использованием украденного или ненадежного пароля, подчеркнули в компании.
В середине прошлого года почта Mail.ru ввела вход в аккаунт по одноразовому коду из SMS-сообщений или push-уведомлений. Осенью 2019-го в веб-версию была добавлена возможность открытия страницы по отпечатку пальца и с помощью внешних устройств: USB, Bluetooth- и NFC-ключей. В перспективе компания намерена полностью отказаться от паролей.
Схожие технологии внедряют и другие крупные компании.
Так, у «Яндекса» вход во все сервисы осуществляется с помощью единого интерфейса. Авторизацию с помощью QR-кода компания ввела почти год назад. В «Яндексе» говорят, что доля пользователей, выбирающих этот способ для входа, растет каждый месяц с момента запуска.
— Авторизация с помощью логина и пароля в аккаунте сейчас является основным способом входа в сервис и останется таким еще долго, так как он привычен для пользователей. Но мы добавляем новые надежные способы, — отметили в компании.
В пресс-службе Google сказали, что в почту Gmail также можно войти с помощью QR-кода — это часть двухэтапной аутентификации, которая помогает более надежно защитить аккаунт. Пользователи в этом случае могут выбирать различные уведомления — QR-код, SMS на телефон, пароль приложений, резервные коды, в случае если смартфон утерян, а также дополнительный номер телефона, пояснили в компании.
Широкий круг
Распространяется система авторизации по QR-коду и в банках. Так, Сбербанк внедрил ее для входа в свои и партнерские онлайн-сервисы еще в прошлом году, а вход в Сбербанк ID через сайт может быть выполнен с помощью push-уведомления. В кредитной организации отмечают, что большинство пользователей предпочитает по-прежнему использовать логин и пароль.
При этом пароли должны быть достаточно сложными: обязательно наличие цифр, использование регистров, комбинации нужно периодически обновлять и в целях безопасности — не записывать. Несмотря на такие меры, логин и пароль злоумышленники могут перехватить или считать с клавиш в общественных местах, пояснили в кредитной организации.
— Пароли имеют ряд недостатков, поэтому банк постепенно переходит к более удобным и безопасным методам двухфакторной аутентификации, — пояснили «Известиям» в пресс-службе Сбера.
Клиенты банка Тинькофф заходят в личный кабинет на сайте с помощью логина и пароля — этот способ авторизации привычен для большинства пользователей, сказал «Известиям» руководитель отдела развития интернет-платформы Тинькофф Максим Кирилычев. Но банк изучает альтернативные механизмы, в том числе и авторизацию по QR-коду, которая будет запущена в ближайшее время, добавил он.
Пользователям Rambler, помимо традиционного ввода логина и пароля, доступны и другие способы аутентификации, сказал «Известиям» технический директор портала Павел Петлинский. Среди них — единые профили Rambler ID и Сбербанк ID, авторизация пользователей через аккаунты в социальных сетях и на других ресурсах.
При этом в Rambler Group считают сканирование отпечатка пальца на смартфоне или ноутбуке наиболее безопасным способом авторизации, развивая его как приоритетный.
Определили риски
Будет ли пароль надежной защитой аккаунта, зависит прежде всего от действий самого пользователя, считают в «Яндексе». Он должен соблюдать несколько правил, чтобы данные были защищены. Например, использовать пароль, который сложно подобрать стороннему человеку, а также периодически его менять. Кроме того, необходимо выходить из аккаунта, если пользователь открыл его на чужом компьютере, и не применять один и тот же шифр на разных сервисах.
По словам ведущего специалиста лаборатории компьютерной криминалистики Group-IB Артема Артемова, QR-код тоже можно подделать, если телефон заражен вирусом.
Специфические риски QR-кодов, по словам эксперта, связаны с тем, что их невозможно отличить друг от друга невооруженным глазом, пользователю сложно проверить их подлинность, поэтому часто за такими шифрами могут скрываться ссылки на вредоносные ресурсы.
Артем Артемов считает, что по-настоящему безопасна только двухфакторная авторизация, причем не так важно, какой способ в качестве второго фактора будет выбран — push-уведомления, SMS-сообщения или QR-код, ведь все они генерируют одноразовый шифр.
Что такое QR-код, как им пользоваться и как создать свой код
Содержание
Содержание
Многочисленные штрих-коды каждодневно окружают нас в быту. Даже не задумываясь о них, мы постоянно контактируем с предметами, на которые нанесена маркировка. Казалось бы, скучное техническое описание. Но и они таят в себе много интересной информации, особенно если это современный QR-код.
Что такое QR-код
Необходимость контроля над товаром еще много лет назад привела к появлению первых разновидностей маркировки. Со временем маркировка приобрела привычный для нас вид — цифры с вертикальными полосами — штрих-коды. С их помощью можно получить исчерпывающую информацию об изделии. Но минусом такого способа является то, что читается данный код лишь в одном направлении. Это сильно снижает количество информации, которую может вместить код.
QR-код в свою очередь стал логичным продолжением развития штрих-кода, позволяя хранить в себе гораздо больше информации. Достигается это путем считывания информации как по горизонтали, так и по вертикали. Данные с QR-кода считываются гораздо быстрее, чем с обычного штрих-кода. Три черных квадрата по краям обозначают границы кода, а оставшийся четвертый квадрат позволяет расшифровывать код даже в неправильном положении. Еще одним плюсом современного QR-кода является возможность его сканирования с помощью смартфонов и легкое создание. Данный нюанс дает большой потенциал в его использовании, в отличие от обычного штрих-кода, для расшифровки которого требуется больше усилий.
Где используется и как считывать информацию
Сферы применения QR-кодов необъятны. Они охватывают практически каждое направление в деятельности человека. Применение QR-кодов можно условно поделить на три большие категории:
Для расшифровки исконного QR-кода потребуется современный смартфон или планшет с камерой. Как правило, такие устройства имеют уже встроенный сканер QR-кода, но, если он отсутствует, выходом будет использование специальных приложений. Они есть в достаточном количестве как на платформе iOS, так и на платформе Android.
После включения функции QR-код будет выделяться рамкой. Для распознавания устройством может потребоваться точная фиксация объектива на коде, об этом просигнализирует всплывающая подсказка. После расшифровки на экране появится окошко с данными. В конкретном примере — это ссылка на скачивание фирменного ПО к продукту.
Еще один актуальный пример, который может встретиться в быту — медиавозможности телевизора. QR-коды в передачах могут быть реализованы в разнообразных вариантах. Например, для голосования за любимый клип и исполнителя в прямом эфире.
Считывание кода с телевизора происходит аналогичным способом озвученным ранее. После расшифровки QR-кода на экране устройства появится ссылка с инструкциями.
Как создать свой собственный QR-код
Не обязательно довольствоваться уже созданными QR-кодами — проявив немного фантазии можно создать свой уникальный код. Контактные данные на визитке, гостевой Wi-Fi или, может быть, подсказки для прохождения квеста с друзьями? Легко! Благо в интернете можно найти массу сервисов по генерации кодов. Рассмотрим несколько из них.
QR Code Generator
Интерфейс сервиса состоит всего лишь из пары вкладок, которые содержат весь необходимый инструментарий. Необходимо выбрать тип информации, которую будет отображать код — это может быть путь к сайту, контакты или ссылка на профиль в социальной сети.
В примере ниже это ссылка на сайт клуба DNS. Остается выбрать рамку, форму и цвет QR-кода. Нажимаем кнопку скачивания и ждем окончания процесса. В код также можно встроить свой собственный логотип, но для этого потребуется регистрация на сервисе.
Открываем сгенерированный файл и сканируем код привычным способом. На экране появится кнопка для перехода на сайт — это заданный нами ранее клуб DNS.
The QR Code Generator
Функционал этого сервиса скромнее рассмотренного ранее, и он подойдет тем, кому нужно создать QR-код быстро и просто. Интерфейс сайта интуитивно понятен, а на выбор пользователю предоставлены основные виды информации, которые можно зашифровать в код.
Попробуем «скрыть» в коде обычный текст. Для этого выбираем вкладку «Free text» и задаем, к примеру, Клуб DNS. Кликнув по иконке опций можно выбрать размер сохраняемого файла в пикселях. Остается сохранить файл, задав ему имя и формат.
После сканирования кода на экране появится зашифрованный в QR-код текст. В данном случае это Клуб DNS.
Вне зависимости от метода создания QR-кода его можно распечатать на разнообразных поверхностях. Кроме различной полиграфии это может быть одежда или любая другая поверхность. Главный критерий — хорошая «читаемость», то есть распознавание кода.
Django: Использование QR-кодов для быстрого входа на сайт с мобильных устройств
Если у вас есть сайт, которым часто пользуются с мобильных устройств (таких как телефоны и планшетные ПК), то вы, возможно, задавались вопросом, как реализовать быстрый вход — так, чтобы пользователю не требовалось вводить ни адрес сайта, ни логин и пароль (либо E-mail и пароль).
На некоторых сайтах вы, возможно, видели возможность отправить SMS-сообщение со ссылкой для быстрого входа — это, по сути, приблизительно то же самое. Основное отличие описанного в данной заметке подхода в том, что вместо отправки SMS-сообщения мы будем генерировать QR-код, который содержит ссылку, позволяющую войти на сайт без ввода авторизационных данных.
Кстати, весь процесс написания приложения, которое приводится далее, можно посмотреть в скринкасте (есть на YouTube, либо в более хорошем качестве в виде файла MPEG2 в 1080p).
Перед тем, как начать реализовывать этот вариант авторизации, давайте рассмотрим, чем он отличается от варианта с отправкой SMS-сообщения:
Текст ниже, как и скринкаст, поясняет различные особенности реализации. Если вы хотите быстро добавить приложение на сайт, то вы можете установить его через pip:
pip install django-qrauth
В этом случае вам останется только включить схему urls приложения в ваш главный urls.py, а также добавить шаблоны. Инструкция по установке, а также исходники вы можете найти на Github.
Ниже описано, как вы можете собрать приложение самостоятельно — актуально, например, в том случае, если вы сразу хотите что-то в нём отредактировать.
Итак, прежде всего перейдём в рабочую директорию Django-проекта, в котором мы хотим добавить такую авторизацию, и создадим новое приложение. Назовём его, например, qrauth:
python manage.py startapp qrauth
В появившейся директории создадим файл qr.py:
Здесь используется модуль python-qrcode. Установить его можно с помощью pip:
pip install qrcode
Для того, чтобы получались картинки с прозрачным (а не белым) фоном, мы специально используем свой класс для создания картинок, наследуя его от qrcode.image.pil.PilImage. Если вас устраивают картинки с белым фоном, то достаточно будет написать так:
Стоит отметить, что в данном случае картинки, которые возвращает qrcode.make (и, соответственно, функция make_qr_code) неоптимальны с точки зрения размера. Например, с помощью optipng их размер удаётся уменьшить примерно на 70% (разумеется, без потери качества). Тем не менее, в большинстве случаев это непринципиально — их размер в любом случае получается небольшим (в пределах нескольких кибибайтов).
Далее создадим файл utils.py и добавим функции, которые затем будем использовать в представлениях (views):
Функция generate_random_string генерирует строку случайных символов заданной длины. По умолчанию строка составляется из букв латинского алфавита (как нижнего, так и верхнего регистра) и цифр.
Функция salted_hash солит и хэширует строку.
Теперь откроем views.py и напишем представления:
При обращении к странице с QR-кодом (qr_code_page) генерируется случайная строка из 50 символов. Далее в Redis (установить клиент можно с помощью pip install redis ) добавляется новая пара ключ-значение, где в качестве ключа задаётся солёный хэш сгенерированной случайной строки, а в качестве значения — идентификатор пользователя (это нужно для того, чтобы картинка с QR-кодом, которая добавляется на страницу, была доступна только этому пользователю). Это этого ключа устанавливается время истечения, в примере указано 300 секунд (5 минут).
В контексте шаблона при этом задаётся сгенерированная случайная строка: эта строка затем используется в адресе, по которому возвращается картинка с QR-кодом (а вот для авторизации как раз используется хэш, и в QR-код включается именно адрес с хэшем: таким образом, даже если кому-то ещё становится известен адрес картинки, то для авторизации этого будет недостаточно — для авторизации нужно знать солёный хэш для случайной строки, указанной в адресе картинки).
Далее, при загрузке картинки (qr_code_picture) случайная строка, содержащаяся в адресе картинки, опять же, хэшируется, и затем проверяется, есть ли в Redis соответствующий ключ. Если такой ключ есть, и содержит идентификатор текущего пользователя, то создаётся и возвращается QR-код, содержащий абсолютную ссылку для мгновенной авторизации на сайте. В ином случае возвращается ошибка 404.
Получение домена здесь происходит с помощью django.contrib.sites. Указать домен можно через административный интерфейс (/admin/sites/site/).
Если ваш сервер находится за reverse proxy (например, nginx), и вы используете SSL, то убедитесь, что информация об этом включается в запросы к upstream-серверу — это нужно для того, чтобы request.is_secure() выдавал правильное значение (для этого определите в настройках SECURE_PROXY_SSL_HEADER, но учитывайте, что вам нужно будет обязательно устанавливать/удалять этот заголовок на стороне прокси-сервера — иначе, если, например, ваш сайт доступен и по HTTP, и по HTTPS, то пользователь, который заходит по HTTP, сможет установить этот заголовок таким образом, что request.is_secure() будет выдавать значение True, а это плохо с точки зрения безопасности).
При переходе по ссылке для мгновенной авторизации проверяется, есть ли в Redis ключ, соответствующий указанному в ссылке хэшу. Если нет — пользователь перенаправляется на страницу с сообщением о том, что QR-код недействителен (в данном примере эта страница не требует написания отдельного представления). Если есть — то ключ в Redis удаляется, после чего проверяется, есть ли в базе данных пользователь с таким идентификатором. Если нет — опять же, происходит перенаправление на страницу с сообщением о том, что QR-код недействителен. Если есть — то происходит авторизация и пользователь перенаправляется на главную страницу сайта.
Теперь добавим файл urls.py и определим в нём схему URL приложения:
Также не забудьте открыть ваш главный urls.py (который указывается в ROOT_URLCONF), и включить туда urlpatterns из urls.py созданного приложения:
Теперь откройте директорию с шаблонами и добавьте туда каталог qrauth.
Пример для invalid_code.html:
Пример для page.html:
Собственно, теперь остаётся открыть сайт в браузере и проверить. Если QR-код успешно генерируется и отображается, попробуйте сосканировать его с помощью телефона или ещё чего-нибудь с камерой и Интернетом.
Если будут какие-то вопросы или мысли о том, какие ещё могут быть варианты для быстрой и удобной авторизации с мобильных устройств — буду рад комментариям.
Как поделиться паролем Wi-Fi с помощью простых QR-кодов
Если вы фанат, заботящийся о безопасности, то никому не придет в голову взломать ваш длинный и запутанный пароль; даже ФБР дважды подумает, прежде чем взломать его.
Но, как все мы знаем, сложно запомнить длинные и запутанные пароли, поэтому сегодня мы покажем вам простой и эффективный способ поделиться своим паролем WiFi с помощью QR-кода.
Если ваши друзья хотят подключиться или подключиться к вашему Wi-Fi, вам не нужно сообщать свой длинный пароль. Вместо этого вам нужно отправить QR-код и попросить друзей отсканировать его с помощью сканера QR-кода.
Способы передачи пароля Wi-Fi с помощью простых QR-кодов
Есть много сайтов, которые позволяют создавать QR-коды для паролей Wi-Fi. В этой статье мы собираемся использовать GoQR. Итак, давайте проверим.
Шаг 1. Прежде всего, отправляйтесь в «Goqr.me» Веб-сайт.
Шаг 2. На левой панели щелкните значок “замок” значок сразу после “SMS” значок
Шаг 3. Заполните необходимые данные, чтобы сгенерировать QR-код.
Шаг 4. С правой стороны будет отображаться предварительный просмотр QR-кода в реальном времени (вы также можете загрузить QR-код).
Шаг 5. Отсканируйте QR-код через “Сканер QR и штрих-кода”
Шаг 6. Теперь нажмите на «СоединятьЗначок для подключения к Wi-Fi.
Вот и все! Вы сделали. Вот как вы можете делиться паролями Wi-Fi с помощью простых QR-кодов на Android.
2. Поделитесь паролем Wi-Fi на Android (Android, вопросы и ответы)
Что ж, если ваш смартфон работает на Android Q или более поздней версии, вы можете легко поделиться своим паролем Wi-Fi с помощью QR-кода. Для этого выполните несколько простых шагов, приведенных ниже.
Шаг 1. Откройте панель приложений Android и нажмите на ‘Настройки’
Шаг 2. В настройках нажмите на ‘Связь’, а затем на ‘Вай фай’.
Шаг 3. На Wi-Fi нажмите на значок настроек за названием WiFi.
Шаг 4. Внизу вы найдете ‘QR код’ вариант. Нажмите на ‘QR код’ для создания QR-кода для пароля WiFi.
Шаг 5. QR-код отобразится на экране. Теперь попросите друга открыть сканер QR-кода своего телефона. Вы даже можете попросить их установить приложение Google Lens для сканирования QR-кода.
Вот и все! Вы сделали. Вот как вы можете передавать пароли Wi-Fi на Android через QR-код.
Итак, эта статья посвящена тому, как делиться паролями Wi-Fi с помощью простых QR-кодов на Android. Надеюсь, эта статья вам помогла! Пожалуйста, поделитесь им также со своими друзьями. Если у вас есть какие-либо сомнения по этому поводу, сообщите нам об этом в поле для комментариев ниже.