Come implementare l'autenticazione senza password in un sito web

19

In una risposta a questa domanda su pw reset , D.W. dice:

Lastly, consider non-password authentication. Passwords have many problems as an authentication mechanism, and you might consider other methods of authenticating users, such as storing a secure persistent cookie on their machine with an unguessable secret to authenticate them. This way, there is no password to forget and no way for the user to be phished, though you do need to provide a way for a user to authorize access from a new machine or a new browser (possibly via email to the user's pre-registered email address).

Come si fa? Quanto è sicura e user friendly questa soluzione? Quali sono gli svantaggi principali?

    
posta JDelage 21.05.2011 - 01:22
fonte

4 risposte

8

In quasi tutti i casi in cui fai clic su "ricordami", ciò sta già accadendo sul tuo computer. Una stringa casuale di caratteri è memorizzata in un cookie e collegata al tuo account. Il motivo per cui più di questo è richiesto ha a che fare con la mobilità. Se cambi computer, come accedi di nuovo senza il nome utente / password standard? Gli utenti semplicemente non accettano i loro cookie con loro.

Nel caso del suggerimento di posta elettronica, è possibile inviare un codice casuale che può essere inserito in un campo modulo o anche cliccato come collegamento. Per alcuni livelli marginali di maggiore sicurezza, vorrei scadere quei link di clic dopo un po 'e memorizzare un codice casuale diverso come cookie.

    
risposta data 21.05.2011 - 03:16
fonte
6

Potresti trovare questo documento accademico di interesse: Cerimonie condizionate sicure e uno studio utente di un'applicazione per l'autenticazione Web . Il documento descrive un modo per utilizzare i cookie permanenti sicuri per l'autenticazione e per consentire alle persone di registrare una nuova macchina utilizzando un collegamento e-mail. Non è affatto l'unico modo - è solo un esempio e probabilmente ci sono molti altri modi possibili per fare qualcosa in questo senso.

    
risposta data 21.05.2011 - 10:46
fonte
6

Ci sono tre modi per autenticare un'identità: basata su ciò che ha (telefono, un dispositivo) o su ciò che conosce (una password, una storia) o, cosa è (la sua impronta digitale, la scansione della mano). L'ultimo è inutilizzabile in un contesto remoto.

Pertanto, la tua domanda riguarda l'utilizzo di un'alternativa a ciò che sai. Vale a dire, per usare quello che hai (di solito a tempo limitato). Questo in genere comporta token o una sola password.

Guarda alcuni di questi: link , link e link .

Sono sicuri quanto avere un telefono (e perderlo). È abbastanza amichevole.

    
risposta data 21.05.2011 - 03:06
fonte
0

Ho incontrato un processo di autenticazione abbastanza buono e semplice di questo servizio . Usa il numero del tuo cellulare per inviare una sola password tramite SMS.

    
risposta data 13.02.2012 - 21:17
fonte

Leggi altre domande sui tag