Только что выложил новый плагин: No More Passwords
В настоящее время он помечен как бета, потому что вход на платформу является чувствительной проблемой, и я не хочу выпускать что-то, что может иметь дыры в безопасности. Итак, вот мой запрос:
Это безопасно?
Я сделал следующее для обеспечения безопасности:
- Имя пользователя / пароль никогда не передаются взад и вперед, только уникальный хеш.
- Хэш удаляется из базы данных, как только он используется, старые хэши, которые не использовались, не могут быть использованы, если база данных не взломана, но тогда у вас есть большие проблемы.
- Все запросы к базе данных хэша были исключены для предотвращения атак XSS.
- nonce добавлен в вызов ajax.
- добавлен одноразовый номер и подтверждение на мобильном конце для предотвращения атаки CSRF.
Здесь у меня есть полное описание того, как это работает .
Следующая версия, я надеюсь реализовать oauth через твиттер, так как iOS теперь работает в ...
Спасибо за ваш вклад заранее.
Редактировать: я решил, что в качестве добавленного слоя я добавлю проверку sessionID, чтобы убедиться, что это тот же браузер, который входит в систему, как браузер, который инициировал вход в систему с QR-кодом.
Я думаю, что это отличная идея, но, как всегда, самая большая слабость - это человеческий фактор, в данном случае это будет потерянный, украденный или перехваченный телефон. Задумывались ли вы о добавлении двухслойной аутентификации, такой как код подтверждения SMS (например, gmail и т. Д.). Или более простой альтернативой может быть печенье + секретное слово.
Также можете ли вы указать, какой алгоритм генерирует QR-код на вашей странице?
источник