Mi piacerebbe utilizzare un UUID / GUID V4 per autenticare gli utenti. Per essere precisi, l'utente dovrebbe incollare l'UUID in un campo di testo per accedere al proprio account. L'UUID sarebbe dato a loro al momento della registrazione. L'UUID verrebbe combinato con un nome utente (pubblico) durante l'aut.
Supponiamo che le normali pratiche di sicurezza siano in atto (SSL, DB che detiene gli UUID è crittografato a riposo, protegge da attacchi di forza bruta, UUID non verrebbe passato in un URL, ecc.). Supponiamo che l'applicazione non sia per nulla di estremamente importante (bancario), ma è ancora abbastanza importante (fingere che si tratti di nomi di dominio, per ragioni di discussione). Non preoccuparti dei problemi di usabilità che l'utente potrebbe avere. Sono solo preoccupato per la sicurezza.
- Considerato quanto sopra, è ancora una cattiva idea?
- Pensi che sia meno sicuro di username / pass?
- Sconfiggere due UUID insieme sarà più sicuro?
Il mio obiettivo qui è quello di non memorizzare dati personali di alcun tipo (email / pass). La mia speranza è che questa sia un'alternativa valida.