Właśnie opublikowałem nową wtyczkę: No More Passwords
Obecnie mam tag beta, ponieważ logowanie do platformy to delikatny problem i nie chcę wypuszczać czegoś, co może mieć luki w zabezpieczeniach. Oto moje zapytanie:
Czy jest bezpieczny?
Wykonałem następujące czynności, aby zapewnić bezpieczeństwo:
- Nazwa użytkownika / hasło nigdy nie są przekazywane w tę iz powrotem, tylko unikatowy skrót.
- Hash jest usuwany z bazy danych, gdy jest używana, nie można użyć starych skrótów, chyba że baza danych zostanie zhakowana, ale wtedy masz większe problemy.
- Wszystkie zapytania bazy danych hash zostały pominięte, aby zapobiec atakom XSS.
- nonce dodane do wywołania ajax.
- dodano nonce i potwierdzenie na urządzeniu mobilnym, aby zapobiec atakowi CSRF.
Tutaj mam pełny opis tego, jak to działa .
Następna wersja Mam nadzieję wdrożyć oauth za pośrednictwem Twittera, ponieważ iOS działa teraz w ...
Z góry dziękuję za Twój wkład.
Edycja: Zdecydowałem, że jako dodatkową warstwę dodam sprawdzenie sessionID, aby upewnić się, że ta sama przeglądarka loguje się jak przeglądarka, która zainicjowała logowanie kodem QR.
Myślę, że to świetny pomysł, ale jak zawsze największą słabością jest czynnik ludzki, w tym przypadku sam telefon zostałby zgubiony, skradziony lub przechwycony. Czy zastanawiałeś się nad dodaniem uwierzytelniania dwuwarstwowego, takiego jak kod weryfikacyjny SMS (np. Gmail, itp.). Lub łatwiejszą alternatywą byłoby ciasteczko + tajne słowo.
Czy możesz również wspomnieć, jaki algorytm generuje kod QR na stronie o?
źródło