Attualmente desidero avviare lo sviluppo web dove creerò un sistema di login e voglio un'alternativa alla memorizzazione delle password.
La domanda è: è sicuro utilizzare l'app Google Authenticator come accesso principale insieme all'autenticazione SMS come secondo tipo di autenticazione? Se non è sicuro utilizzare l'autenticazione Google e l'autenticazione SMS come metodo principale per accedere?
Quando si parla di sicurezza, ci sono i tre paradigmi principali:
Qualcosa che hai può essere interpretato come un portachiavi RFID, l'autenticatore di Google, una chiave RSA, ecc. Qualsiasi oggetto fisico o cosa tu abbia bisogno di possedere per autenticare.
Qualcosa che conosci è più comunemente interpretato come una password, ma potrebbe anche essere una sequenza di colori o forme. Qualcosa che devi memorizzare.
Qualcosa di te . Questa è la bio-metrica: la tua impronta vocale, la tua impronta digitale, una scansione della retina, una scansione topologica 3D della tua mano, come cammini, il tuo DNA.
L'attuale standard di settore per l'autenticazione si sta spostando verso un sistema a due fattori come base di riferimento. Questo significa che hai bisogno di due dei tre paradigmi di autenticazione.
L'utilizzo dell'autenticazione Google o Facebook come uno dei tuoi sistemi a due fattori, soddisfa la parte qualcosa che conosci dell'equazione, in quanto l'utente deve conoscere le informazioni di accesso per Google o Facebook.
Inviando un utente un messaggio di testo soddisfa qualcosa che hai parte di due fattori.
L'implementazione di entrambi nel tuo schema di autenticazione ti metterà circa un anno o due davanti a gran parte del settore delle applicazioni. Il tuo unico vero problema riguarderà la sicurezza degli hash ricevuti da Google / Facebook, la creazione dell'account dell'utente e i numeri di telefono associati agli utenti.
Se il tuo tavolo con gli hash di Google / Facebook o i numeri di telefono degli utenti vengono compromessi, allora è fondamentalmente lo stesso del tuo utente che sta dando via le loro password.
Non dovresti affidarti solo a "qualcosa che hai" per il login. In un certo senso questo è probabilmente MENO sicuro di una password (supponendo che venga utilizzata una password complessa), perché un telefono viene facilmente perso o rubato; anche se è dichiaratamente meno suscettibile agli attacchi di grandi dimensioni che cercano di ottenere una grande percentuale dei tuoi utenti senza indirizzarli in modo specifico.
Se non vuoi preoccuparti di chiedere password e archiviare i loro hash da solo, o semplicemente non vuoi occuparti dei problemi seri coinvolti nell'autenticazione, guarda in OpenID o Facebook Connect o un servizio simile che consente chiedi a una terza parte fidata (ad es. Google) di autenticare l'utente per te invece di farlo da solo.
Leggi altre domande sui tag authentication sms