0
我實現以下登錄系統:允許用戶登錄,即使密碼稍微偏離
如果密碼是稍有不同(例如一個字符應爲大寫但是小寫)用戶可以登錄,如果以下幾點是值得尊重的:
- 登錄IP應該與之前用戶以前登錄的IP匹配。
- 輸入的密碼之間的差異應該是最小的,因此它不允許用戶登錄,如果它包含超過2/3差異。
- 可選 - 記錄用戶記下密碼並確保用戶沒有花太長時間的時間。
您對這種系統的安全性有何看法?
A
回答
1
不要這麼做
除非這個登錄腳本只不過是一個玩具,並且將再也看不到生產環境的光,不這樣做。爭辯你的觀點,原因如下:
- IP變化。即使你的用戶有一個靜態的IP地址,IP地址也可能被欺騙
- 你是如何計算這些差異的?字符串比較?您不應該將密碼存儲爲純文本。哈希比較應該是確切的,沒有擺動空間。
- 如果我在登錄時離開電腦,該怎麼辦?如果用戶一下子忘了該怎麼辦?如果用戶打字真的很糟糕,或者身體殘疾並需要花時間怎麼辦?這裏變量太多,登錄機制變得不必要的複雜,沒有真正的回報。如果有的話,一個「太快」的限制可能會更聰明,以減緩暴力破解密碼。
相關問題
- 1. DIV稍微偏離屏幕
- 2. GitLab禁用正規的用戶名密碼登錄,只允許OmniAuth登錄
- 3. 驗證系統,允許用戶稍後添加密碼?
- 4. 稍微偏離中心的按鈕
- 5. 居中腳本稍微偏離中心
- 6. HashMap的映射值稍微偏離
- 7. EditText顯示文字稍微偏離?
- 8. 將div稍微偏離中心
- 9. CSS垂直對齊稍微偏離
- 10. 使用Rails Devise,允許與SAML同時使用用戶名/密碼登錄
- 11. 登錄許多用戶使用一個用戶名和密碼
- 12. 登錄頁面允許任何密碼登錄PHP
- 13. 如何允許用戶使用密碼通過SFTP登錄,而不是私鑰?
- 14. 登錄表單允許使用空白的用戶名和密碼
- 15. 安裝BOSH使其允許用戶長時間無密碼登錄?
- 16. RE:登錄頁面。如何匹配數據庫中的用戶名和密碼以允許用戶登錄?
- 17. 登錄頁面。如何匹配數據庫中的用戶名和密碼以允許用戶登錄?
- 18. 允許root用戶登錄ftp
- 19. 只允許在用戶登錄
- 20. 允許Wordpress用戶多登錄
- 21. 不要允許用戶多次登錄
- 22. Facebook PHP SDK不允許登錄用戶
- 23. 允許守護進程用戶SSH登錄密鑰
- 24. 使用用戶名/密碼登錄Instagram
- 25. 允許密碼
- 26. 允許用戶沒有密碼?
- 27. 允許用戶更改SVN密碼
- 28. ;允許用戶更改密碼?
- 29. 設計,允許用戶更改密碼
- 30. Openlayers-3 forEachFeatureAtPixel稍微偏移
這可能應該移到http://security.stackexchange.com/ – bartonjs