我想知道登錄系統是否意味着必須上傳某個文件,然後服務器驗證這是否與存儲在服務器中的文件相同將是有用的。文件上傳替代登錄系統
我一直在想,它的優點是,「密碼」(文件)可能會很大(不必記住它)。
此外,這意味着你將不得不要求登錄名。
另一方面,一個缺點是,你將不得不「隨身攜帶」每個人都可以登錄的文件。
我不想把它變成一個哲學而不是編程。
我想看到的可用性,安全性/安全漏洞等
這或類似的東西呢?
我想知道登錄系統是否意味着必須上傳某個文件,然後服務器驗證這是否與存儲在服務器中的文件相同將是有用的。文件上傳替代登錄系統
我一直在想,它的優點是,「密碼」(文件)可能會很大(不必記住它)。
此外,這意味着你將不得不要求登錄名。
另一方面,一個缺點是,你將不得不「隨身攜帶」每個人都可以登錄的文件。
我不想把它變成一個哲學而不是編程。
我想看到的可用性,安全性/安全漏洞等
這或類似的東西呢?
我絕對不是安全專家,但這裏有一些想法。
這聽起來有點類似於公鑰加密。如果你看看它是如何工作的,我想你會感受到同樣的問題。例如,請參見http://en.wikipedia.org/wiki/Public-key_encryption
除了用戶不得不攜帶文件帶來的挑戰之外,另一個問題是如何保持該文件的安全。如果某人的電腦或拇指驅動器被盜?公鑰加密的一種常見方法是對私鑰進行加密,並要求輸入密碼才能使用它。除非您以需要此格式的表單提供文件,否則您將指望用戶保護文件。即使你願意依靠它們,也存在如何給他們提供他們需要的工具以保護文件的問題。
請注意,就像密碼一樣,如果用戶使用其中一臺從公共機器(可能存在各種間諜軟件)登錄,這些文件將很容易受到攻擊。基於文件的系統是否可能在間諜軟件下滑,因爲他們可能沒有在尋找它。然而,這與安全性並沒有太大的區別。
此外,你會想確保你散列或加密系統上的文件。否則,您將會以純文本形式存儲密碼,這將打開某人黑客入侵系統的可能性,然後能夠以任何用戶身份登錄。
你所說的可以匹配two factor(密碼+物理因素)身份驗證系統的物理因素。但它不能代替密碼,因爲密碼是你知道的東西&文件是你有。現在,如果你把密碼變成文件,你正在失去一個因素,不知何故你必須補償:-)也許使用something you are。
謝謝!真的很有趣的文章! (兩個因素之一) – Trufa 2010-10-11 16:43:36
非常有趣和啓發性的角度。這就是安全程序,沒有完美無瑕的東西。非常感謝你! – Trufa 2010-10-09 06:55:18